juillet 23, 2020
Un système d’alerte précoce pour les cyber-gardes (alias Adaptive Anomaly Control – contrôle des anomalies adaptatif)
Le plus probable, si vous travaillez normalement dans un bureau, c’est que votre bureau soit actuellement plutôt ou totalement vide, juste comme le nôtre. Dans notre siège, vous ne verrez que quelques gardes de sécurité, et le seul bruit que vous entendrez sera le bourdonnement des systèmes de refroidissement de nos serveurs lourdement chargés, étant donné que tout le monde est branché et travaille depuis chez soi.
Vous n’imaginez pas que, sans être vus, nos technologies, nos experts et nos produits travaillent 24 heures sur 24 et 7 jours sur 7 pour protéger le cybermonde. Mais c’est le cas. Cependant, les méchants préparent en même temps de nouveaux tours de passe-passe. Heureusement, nous disposons d’un système d’alerte précoce dans notre collection d’outils de cyberprotection. Mais j’y reviendrai dans un instant…
Le rôle d’un responsable de la sécurité informatique ressemble en quelque sorte à celui d’un garde forestier : pour attraper les braconniers (malwares) et neutraliser la menace qu’ils représentent pour les habitants de la forêt, il faut d’abord les trouver. Bien sûr, vous pouvez simplement attendre que le fusil d’un braconnier se déclenche et courir vers l’endroit d’où provient le son, mais cela n’exclut pas la possibilité que vous arriviez trop tard et que la seule chose que vous puissiez faire soit de nettoyer les dégâts.
Vous pourriez devenir complètement paranoïaque en plaçant des capteurs et des caméras vidéo partout dans la forêt, mais vous pourriez alors vous retrouver à réagir à chaque bruissement capté (et bientôt à perdre le sommeil… et la tête). Mais lorsque vous réalisez que les braconniers ont appris à très bien se cacher, et en fait, à ne laisser aucune trace de leur présence, il devient alors évident que l’aspect le plus important de la sécurité est la capacité à séparer les événements suspects des événements réguliers et inoffensifs.
De plus en plus, les cyberbraconniers de notre époque se camouflent à l’aide d’outils et d’opérations parfaitement légitimes.
Quelques exemples : l’ouverture d’un document dans Microsoft Office, l’octroi d’un accès à distance à un administrateur système, le lancement d’un script dans PowerShell et l’activation d’un mécanisme de cryptage des données. Ensuite, il y a aussi la nouvelle vague de malwares sans fichiers qui ne laissent aucune trace sur un disque dur, ce qui limite sérieusement l’efficacité des approches traditionnelles de la protection.
Exemples : (i) L’acteur de menaces Platinum a utilisé des technologies sans fichier pour accéder à des ordinateurs d’organisations diplomatiques (ii) des documents de bureau avec une charge utile malveillante ont été utilisés pour des infections de phishing dans les opérations de l’APT de DarkUniverse ; et il y a encore bien d’autres cas. Un autre exemple : le crypteur sans fichier » Mailto » (alias Netwalker), qui utilise un script PowerShell pour charger le code malveillant directement dans la mémoire des processus système de confiance.
Maintenant, si la protection traditionnelle n’est pas à la hauteur, il est possible d’essayer d’interdire aux utilisateurs toute une série d’opérations, et d’introduire des politiques strictes sur l’accès et l’utilisation des logiciels. Cependant, dans ce cas, les utilisateurs et les méchants finiront probablement par trouver des moyens de contourner les interdictions (tout comme la prohibition de l’alcool a toujours été contournée).
Il vaudrait beaucoup mieux trouver une solution permettant de détecter les anomalies dans les processus standard et d’en informer l’administrateur du système. Mais l’essentiel est qu’une telle solution apprenne à déterminer automatiquement et précisément le degré de » suspicion » des processus dans toute leur diversité, afin de ne pas tourmenter l’administrateur du système en criant constamment au loup !
Eh bien, vous l’avez deviné ! Nous avons une solution de ce type : Adaptive Anomaly Control, un service construit sur trois composants principaux – des règles, des statistiques et des exceptions.
Les règles couvrent les applications de bureau principales, Windows Management Instrumentation, les scripts standard et les autres composants, et une liste d’activités » anormales « . Ces règles font partie de la solution et n’obligent pas l’administrateur à les créer à nouveau.
Après l’activation, pendant environ deux semaines, le système étudie les processus qui se déroulent habituellement dans une organisation, détecte les écarts par rapport aux règles standard (c’est-à-dire qu’il ramasse des statistiques) et crée une liste » personnalisée » d’exceptions. Cette période d’étude peut être complétée, par exemple, par la création par l’administrateur du système de ses propres exceptions pour un processus spécifique, ou par la découverte d’une anomalie imprévue. Le processus d’étude peut même être divisé en départements, de sorte que, par exemple, les responsables des finances ne puissent pas lancer de scripts Java, tandis que les responsables de R+D ne peuvent pas avoir accès aux outils financiers.
Le système signale tout écart par rapport à la liste des exceptions, en indiquant à la fois le processus et le dispositif suspect sur lequel il est lancé. Par exemple, le lancement de l’invite de commandes ou de l’hôte d’une application HTML par un script PowerShell depuis une application de bureau ou une machine virtuelle est techniquement possible, mais ce n’est pas une opération autorisée. Ou disons que si un fichier portant un nom typique pour un fichier système est enregistré dans un dossier qui n’est pas un dossier système, ce serait un signal pour examiner de très près l’application.
En outre, l’administrateur du système peut bloquer un processus ou l’autoriser, mais en en informant l’utilisateur. De plus, sur demande, la période d’observation de certaines règles peut être prolongée afin d’étudier plus attentivement la manière dont elles seront appliquées à l’avenir.
» Alors pourquoi la protection des points terminaux est-elle nécessaire si le système fonctionne si bien ? » demande le garde forestier l’administrateur système. Parce qu’Adaptive Anomaly Control doit être considéré comme un système d’alerte précoce, indiquant simplement où une activité suspecte a lieu. Lutter réellement contre la menace, c’est le travail des autres composants de protection clés, comme les solutions EDR.
Et voilà pour votre explication de ce qu’est Adaptive Anomaly Control.
PS : Et je n’ai pas utilisé la comparaison avec les gardes forestiers par hasard, car les forêts (et la campagne sauvage) sont au premier plant des mes pensées actuellement : je dois commencer à faire mes bagages pour mon expédition estivale dans des lieux sauvages de l’Altaï. La protection individuelle et les systèmes d’alerte précoce sont exactement le genre de choses dont j’aurai besoin…