Le contrôle des applications, garant de la sécurité du réseau 2ème partie

Sommaire

Les meilleures idées sont les plus simples ?

L’idée qui sous-tend le mode Default Deny est très simple et très logique.  Toutefois, ce mode était destiné jusqu’à présent à un cercle très restreint d’utilisateurs. Ceci s’expliquait principalement par les difficultés techniques dans la mise en œuvre d’une solution acceptable pour un large éventail d’utilisations et qui supprimait toute une série de restrictions critiques.

Nouvelle phase de développement d’Application Control

L’application du mode Default Deny implique une redéfinition des priorités lors du choix de la stratégie de sécurité : délaisser la liberté d’action et le confort des utilisateurs finaux au profit de la réalisation de la tâche principale de n’importe quel système de protection des informations, à savoir réduire au minimum le risque de fuite et/ou de pertes de données critiques pour l’entreprise.

Toutefois, l’introduction antérieure du mode strict de contrôle des applications avait entraîné de graves restrictions fonctionnelles, rendant pratiquement impossible l’utilisation d’un tel système. La prise en charge efficace du mode Default Deny requiert l’existence d’une fonctionnalité complémentaire sans laquelle le passage à ce mode pourrait interrompre le fonctionnement normal du réseau de l’entreprise.

Quand une entreprise décide de passer au mode Default Deny, les administrateurs système sont confrontés à différentes tâches et pour aider ces administrateurs à réaliser ces tâches sans difficultés, Application Control, en sa qualité de module principal de gestion des applications du réseau de l’entreprise, devait faire l’objet de des modifications notables.

Donc, l’utilisation du mode Default Deny est devenu possible uniquement après l’introduction de la fonctionnalité suivante :

  • Inventaire : collecte des informations sur toutes les applications installées dans le réseau, sur tous les ordinateurs et ressources réseau.
  • Catégorisation : répartition des applications recensées sur le réseau en groupes fonctionnels : composants du système d’exploitation, navigateurs, multimédia, jeux, etc.
  • Configuration ou Application Management : mise en place pour les utilisateurs ou des groupes d’utilisateurs de restrictions sur le lancement et l’exécution d’applications appartenant à des catégories déterminées (c’est la définition des stratégies de sécurité).
  • Liste blanche dynamique : base de connaissances sur toutes les applications commercialisées à travers le monde. Informations actuelles et régulièrement mises à jour sur les applications, leur réputation, les catégories auxquelles elles appartiennent et les applications similaires populaires/recommandées.  Il s’agit de données de pointe proposées par les éditeurs de solutions de sécurité.
  • Mécanismes sûrs de mises à jour des applications : outils autonomes pour la mise à jour des applications les plus utilisées, ce qui débarrasse l’administrateur de la nécessité de réaliser la tâche répétitive d’identification et de légalisation des applications à mettre à jour sur le réseau.
  • Prise en charge des utilisateurs et des sources d’applications de confiance : dispositif qui offre aux administrateurs réseau et aux ingénieurs en sécurité informatique des outils simples et pratiques de légalisation des applications. Il s’agit notamment de la composition de liste de ressources réseau de confiance sur Internet et dans le réseau local de l’entreprise (HTTP/FTP/Dossiers partagés/etc.) – sources d’applications inoffensives dont l’installation et l’utilisation est autorisée.
  • Test et prise en charge du mode d’exploitation expérimentée : outils de détection statique ou dynamique des conflits système qui surviennent lors du déploiement de certaines stratégies de sécurité (incompatibilité/arrêt du fonctionnement de certaines applications) qui pourraient perturber les processus métier.
  • Commentaires et assistance aux utilisateurs : outils d’administration des incidents qui surviennent afin d’alléger au maximum l’accompagnement des utilisateurs et l’assistance apportée à ces derniers.
  • Surveillance et audit : outils avancés pour la collecte, l’organisation et la systématisation des rapports.

Arrêtons-nous un instant su la composante clé du concept Whitelist Security Approach : la base dynamique des fichiers inoffensifs (liste blanche dynamique). L’intérêt pour la technologie de la liste blanche dynamique provient non seulement de ses aspects techniques, mais également de ses aspects organisationnels sans lesquels il est impossible de garantir l’efficacité maximale de la base Whitelist.

Liste blanche dynamique : base de connaissances dynamique sur les applications

Qu’est-ce qu’une base Dynamic Whitelist ? Il s’agit d’une base de données sur tout ce qui touche aux applications légitimes. Du point de vue technique, la base Dynamic Whitelist est une énorme base d’applications inoffensives qui est enrichie sans cesse de nouvelles distributions, de fichiers divers et, le plus important, de données sur les objets. La qualité et l’exhaustivité des données dans ce genre de source de données de pointe dépend des fournisseurs. Les principaux éditeurs de solutions de sécurité composent eux-mêmes les bases Dynamic Whitelist. 

La base Dynamic Whitelist est un composant indispensable pour réaliser trois des sept tâches exécutées dans le cadre de Default Deny (cf. tableau ci-dessus). Il est évident que la qualité de la solution proposée par un éditeur dépendra directement de la qualité de la base de connaissances utilisée.

Afin de pouvoir accomplir les tâches reprises ci-dessus, la base doit contenir les éléments suivants :

  1. Informations de base sur l’application : éditeur, nom de l’application, sa version et autres informations extraites pour la plupart des attributs des objets.
  2. Informations approfondies (niveau expert) :
    • données sur le niveau de risque (classification de l’application, sa réputation) : de confiance ou non, douteuse, etc.
    • catégorie de l’application : application système, navigateurs, jeux, applications de bureautique, etc. ;
    • domaine d’application : comptabilité et finances, marketing, ressources humaines, CRM, logistique, etc.
    • applications alternatives : informations relatives aux applications similaires ;
    • données statistiques telles que sa popularité, sa répartition géographique, etc.

Outre la nature des données qu’elle contient, quelles sont les autres exigences imposées à ce genre de base de connaissances ?

Avant toute chose, une base Dynamic Whitelist, comme son nom l’indique, doit être dynamique. Chaque jour, c’est une multitude de nouvelles applications légitimes et de mises à jour pour des applications existantes qui est diffusée et cela signifie que les fournisseurs de solutions de sécurité doivent réagir sur le champ à la moindre modification dans le monde des applications en mettant à jour leurs bases de connaissances. Et pour ce faire, il faut garantir l’enrichissement régulier et en temps utiles des bases d’applications inoffensives depuis une multitude de sources réparties dans différentes régions. De plus, cette mise à jour doit être automatisée car il s’agit ici de volumes de données astronomiques (des téraoctets de données par jour). Dans ce contexte, les fournisseurs des bases Dynamic Whitelist propagent sur Internet des crawlers qui sont des agents de recherche qui ont pour mission de surveiller l’apparition de nouvelles applications et, le cas échéant, de télécharger de nouvelles mises à jour.

Afin de garantir l’actualité des bases de données, il faut développer des partenariats technologiques entre les éditeurs de logiciels antivirus et les éditeurs et revendeurs d’applications (Independent Software Vendors). Ces partenariats doivent permettre d’obtenir les nouvelles applications avant leur commercialisation afin de pouvoir les traiter et les analyser (classification et catégorisation) et de réduire ainsi les faux positifs : cas d’incompatibilité entre les solutions de sécurité et l’application de l’éditeur partenaire.

L’autre source possible d’informations est le réseau d’informations global créé par l’éditeur sur la base de sa communauté d’utilisateurs. Il faut signaler qu’un tel réseau d’informations constitue un avantage concurrentiel non négligeable. Il permet de suivre les métadonnées relatives aux applications lancées sur les ordinateurs et d’ajouter à la base des connaissances des informations sur l’émergence de nouvelles applications et la diffusion de : 

Kaspersky Lab dispose de tous les composant cités pour enrichir la base Dynamic Whitelist. A l’heure actuelle un réseau de partenaires développé comptant quelques centaines de membres à travers le monde, les dizaines de millions de participants au réseau d’informations international Kaspersky Security Network et le vaste réseau d’agents de recherche automatisés garantissent l’enrichissement permanent de la base de connaissance dynamique de Kaspersky Lab, soit en moyenne plus d’un million de nouveaux fichiers par jour.

La qualité de la base dynamique Whitelist de Kaspersky Lab a été démontrée dans le cadre d’un essai indépendant réalisé par la société West Coast Labs. D’après les résultats de ce test, notre base contient des informations relatives à 94 % de l’ensemble des applications inoffensives distribuées dans le monde.

Le contrôle minutieux du moindre objet ajouté à la base Dynamic Whitelist est indispensable et il est primordial de maintenir à jour les informations relatives à la réputation de chacun d’entre eux. En effet, une application considérée aujourd’hui comme inoffensive pourrait contenir demain du code malveillant dangereux.

Il convient de signaler que l’analyse régulière de la base Dynamic Whitelist n’est pas une tâche simple. Outre les outils de traitement et d’analyse automatisés des informations, il faut pouvoir compter sur une équipe d’experts de premier plan capables d’analyser le code et de prendre une décision finale dans les éventuels cas de collisions logiques. Les petits éditeurs ou les éditeurs de solutions gratuite ne peuvent se permettre un tel laboratoire d’analyse antivirus. De plus, les caractéristiques du traitement d’une application malveillante ou inoffensive différent. Idéalement, la société doit disposer non seulement d’un laboratoire d’analyse des virus, mais également d’un laboratoire spécialisé dans la composition de la base Whitelist. L’équipe de ce laboratoire doit surveiller les flux de données entrants, entraîner les systèmes intelligents et réagir sur le champ dans les situations d’urgence (Kaspersky Lab dispose d’un tel laboratoire).

De la théorie à la pratique : Endpoint 10 de Kaspersky Lab

Les administrateurs des réseaux en entreprise réalisent des tâches complexes et souvent répétitives qui impliquent la maintenance d’une multitude de postes de travail affectés à des fonctions diverses. L’adoption du concept Whitelist Security Approach (mode Default Deny) garantit un niveau de sécurité supérieur pour le réseau de l’entreprise. Le déploiement du mode Default Deny avec ses restrictions strictes au niveau du système impose la mise en œuvre, dans les logiciels correspondants, d’outils d’automatisation des tâches que l’administrateur doit exécuter.

Pour voir ce passage de la théorie à la pratique, nous allons prendre l’exemple des logiciels de la famille Endpoint Security de Kaspersky Lab et passer en revue toutes les étapes du cycle de vie depuis l’inventaire des applications jusqu’à l’assistance offerte au réseau de l’entreprise (après le déploiement du produit).

Le concept Whitelist Security Approach a été utilisé pour la première fois dans Kaspersky Endpoint Security 8 for Windows en 2011. En 2013, Kaspersky Endpoint Security 10 for Windows propose des fonctionnalités encore plus étendues, notamment dans le domaine Application Control.


Étapes du cycle de vie (Default Deny)

  • Inventaire. Dès le début, après l’installation de la solution, l’administrateur doit lancer la procédure d’inventaire automatique des applications installées sur le réseau de l’entreprise. Dans le cadre de cette tâche, Kaspersky Endpoint Security collecte les informations relatives à chaque application installée sur les ordinateurs et les ressources réseau de l’entreprise.

  • Résultat de l’inventaire des applications pour le répertoire indiqué

  • Catégorisation (automatique, à l’aide de la base Dynamic Whitelist) Une fois l’inventaire terminé, la catégorisation des applications se réalise automatiquement : les applications sont scindées en différents groupes en fonction de règles définies dans la solution (système d’exploitation, multimédia, périphérique, jeux, navigateurs, etc.). Nous tenons à signaler que cette fonctionnalité n’est pas offerte par tous les éditeurs qui ont intégré le concept Application Control à leurs solutions. Toutefois, nous avons estimé qu’elle était indispensable pour simplifier la gestion de la grande diversité d’applications installées dans le réseau d’une entreprise. Pour cette raison, nous avons scindé notre base Whitelist en 16 catégories de niveau supérieur et en 96 catégories secondaires (cf. notre catalogue des catégories).

  • Catalogue des catégories de Kaspersky Lab

    Afin de déterminer les composants critiques du système d’exploitation et des pilotes Kaspersky Endpoint Security intègre une catégorie spéciale de fichiers de système d’exploitation : Golden Image. Cette catégorie reprend tous les composants indispensables pour Win XP, Vista, Win7, Win8 (32 et 64) et plus de 15 versions traduites pour chacun d’entre eux (au total, plus de 100 versions et localisations). L’administrateur doit simplement ajouter les fichiers de la base Whitelist locale à la catégorie Golden Image et la configuration de Default Deny est terminée. 

  • Catégorisation (manuelle) Il ne faut pas perdre de vue que la liste blanche de n’importe quel éditeur de solutions de protection ne peut contenir les informations relatives à toutes les applications installées dans le réseau d’une entreprise en particulier. En effet, il n’est pas rare qu’une société utilise un logiciel spécialisé exclusif développé en interne ou sur commande. Le module Application Control de Kaspersky Endpoint Security 10 permet à l’administrateur de créer une liste blanche locale. 
  • Kaspersky Endpoint Security 10 propose également une fonction de catégorisation multivectorielle. Cela signifie qu’une application peut appartenir simultanément à plusieurs catégories.


    Possibilité de catégorisation des fichiers par l’utilisateur

  • Configuration. Kaspersky Endpoint Security permet d’administrer les applications catégorisées en fonction d’utilisateurs ou de groupes d’utilisateurs. Par exemple, il est possible d’autoriser l’utilisation d’applications de la catégorie « Accounting » uniquement pour les employés de la comptabilité afin que personne d’autre ne puisse avoir accès aux informations financières de la société.
  • C’est à ce niveau qu’il est possible de limiter l’utilisation d’applications dépourvues de licence ou sans rapport avec l’activité. Ainsi, il est possible d’interdire par exemple l’utilisation de toute application pour laquelle la société ne possède pas de licence ou d’interdire tous les clients de messagerie instantanée, à l’exception de Skype. Il est également envisageable d’interdire l’utilisation de versions spécifiques d’une application, par exemple interdire tous les navigateurs, à l’exception de la version indiquée d’Internet Explorer.

  • Mécanismes sûrs de mise à jour des applications La mise à jour automatique des applications dans Kaspersky Endpoint Security est garantie par la technologie Trusted updaters. Elle permet d’exécuter une mise à jour sécurisée des applications en tenant compte des chaînes complexes d’appels logiciels exécutés pendant la mises à jour.
  • Test et prise en charge du mode d’exploitation expérimentée. Dans la mesure où la mise en place de stratégies de sécurité strictes dans le réseau n’est pas à prendre à la légère, nous proposons le mode spécial Test Mode qui permet à l’administrateur de modéliser et d’évaluer le fonctionnement de n’importe quelle règle. En mode Test Mode, les applications ne sont pas bloquées mais l’administrateur peut voir, grâce aux rapports, ce qui se passerait dans la réalité. Il peut ainsi introduire les corrections de rigueur dans les règles avant le déploiement et éviter ainsi les réactions négatives des utilisateurs ou les perturbations des processus métier de l’entreprise en cas de dysfonctionnement des règles.
  • Commentaires et assistance aux utilisateurs. L’environnement informatique de l’entreprise est dynamique et pour cette raison, l’utilisateur doit toujours pouvoir demander à l’administrateur l’autorisation pour lancer une nouvelle application et l’administrateur doit pouvoir, d’un simple clic sur un bouton dans l’interface, autoriser ou refuser cette demande. Notre solution offre ces deux possibilités. Afin de garantir la souplesse du fonctionnement même en mode Default Deny, notre solution permet à l’administrateur de réagir aux réclamations des utilisateurs. Si une application a été bloquée pour une raison quelconque et que l’utilisateur estime qu’elle est indispensable à son travail, il lui suffit de cliquer sur le bouton « Envoyer une demande » et l’administrateur reçoit automatiquement la notification.

  • Exemple de message envoyé automatiquement à l’administrateur système en cas de blocage du lancement d’une application.

    L’année dernière, des laboratoires de test indépendants se sont tournés vers le nouveau domaine des tests du concept Application Control. Deux sociétés ont vérifié l’efficacité de la technologie Application Control dans le cadre de la protection contre les attaques ciblées et l’administration des applications non autorisées.

    Au début de l’année 2012, la société West Coast Labs a publié un rapport sur les résultats du premier test indépendant dans le secteur et la technologie de Kaspersky Lab a obtenu la première position.

    Ensuite, la société Dennis Labs a également organisé un test comparatif et a présenté les résultats au début de l’année 2013. Notre solution a obtenu pour la deuxième fois consécutive les meilleures notes.

Conclusion

L’augmentation du nombre de menaces et, plus important, leur nature de plus en plus complexe, obligent les éditeurs de logiciels antivirus à trouver de nouvelles solutions pour garantir la protection efficace des réseaux en entreprise. Le nouveau concept baptisé Whitelist Security Approach permet d’exécuter dans le système uniquement les applications vérifiées qui figurent dans des listes blanches. L’exécution d’applications inconnues ou non autorisées est interdite. Par conséquent, un programme malveillant ne peut tout simplement pas s’exécuter dans le système. Cette approche offre une protection contre les menaces complexes et inconnues, notamment les attaques ciblées.

Whitelist Security Approach est un nouveau développement des technologies de contrôle des applications (Application Control), de la mise en œuvre du mode Deny Default (blocage par défaut) et de la technologie innovante des listes blanches (liste blanche dynamique).

La mise en œuvre du mode de sécurité renforcée Default Deny requiert des fonctionnalités complémentaires. Les scénarios de fonctionnement d’Application Control doivent prévoir quelques mécanismes simples tels que l’inventaire, la catégorisation, la configuration (Application Management), la souplesse de l’administration des stratégies de la liste blanche locale et la possibilité d’utiliser la base dans le nuage Dynamic Whitelist capable de réagir sur le champ aux changements fréquents qui caractérisent le monde des applications. De leur côté, les fonctionnalités de test et de prise en charge de l’exploitation expérimentée sont indispensables pour assurer une bonne transition vers le mode Default Deny.

Whitelist Security Approach vient en aide à l’administrateur système dans l’exécution de plusieurs tâches :

  • Contrôle (autorisation, interdiction, restrictions souples et audit) du lancement d’applications inoffensives sur les postes de travail conformément à la stratégie de sécurité en vigueur dans la société.
  • Bénéfice de l’expérience du fournisseur de la solution dans le caractère inoffensif des fichiers de la base Dynamic Whitelist.
  • Garantie du fonctionnement normal des applications inoffensives et autorisées.
  • Gestion de catégories d’applications et non pas d’applications distinctes.
  • Surveillance, contrôle et réaction face aux problèmes liés au blocage d’une application quelconque en phase de production.
  • Optimisation de l’utilisation des ressources informatiques de la société et amélioration des performances grâce au contrôle de l’utilisation des applications tierces ou sans licence dans le réseau.

Application Control associé au mode Default Deny est un outil puissant et pratique qui simplifie la tâche de l’administrateur système au niveau de la maintenance des postes de travail et du réseau de l’entreprise et qui garantit la sécurité de ce réseau.

Nous considérons que la technologie WSA (Whitelist Security Approach) est un des éléments clés dans les dispositifs de protection des réseaux d’entreprise de demain. Nous pensons également qu’il n’existe pas de solution universelle ou de technologie unique capable de protéger les utilisateurs contre toutes les menaces. C’est la raison pour laquelle les entreprises ont tout intérêt à protéger leurs réseaux à l’aide d’une puissante solution pour terminaux qui intègre différentes technologies de protection. Seul un système de protection et de contrôle à plusieurs niveaux est en mesure d’offrir la protection maximum possible aux réseaux en entreprise.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *