octobre 3, 2012
Refus par Défaut au Refus Complet ?
Dans tout juste une douzaine d’années, la communauté informatique souterrainesera passée d’un simple amusement de jeunes voyous(un amusement pour eux, mais pas vraiment pour les victimes) à des cyber-gangs internationaux organisés et sophistiqués, soutenus par les États, aux attaques de menaces persistantes avancées sur des infrastructures critiques. Il s’agit d’une vraie métamorphose.
Revenons à l’ère du vandalisme, pour diverses raisons les cyber-voyousont essayé d’infecter autant d’ordinateurs que possible, et c’est précisément pour protéger les ordinateurs de ces attaques massives que le logiciel antivirus traditionnel a été conçu (et a fait un assez bon travail). De nos jours, les nouvelles menaces sont tout simplement l’opposé. La cyber-racaille connaît sur le bout des doigts les technologies d’anti-logiciel-malveillant, et essaye de passer aussi inaperçue que possible, choisissant souvent l’option ciblée – précision exacte – des attaques. Et c’est tout à fait logique depuis la perspective de leur business.
Il est évident que la communauté souterrainea changé; cependant, le paradigme de la sécurité, hélas, reste lui le même : la majorité de sociétés continuent à appliquer des technologies conçues pour des épidémies massives – c’est-à-dire, une protection périmée – pour contrer des menaces modernes. En conséquence, dans le combat contre les logiciels malveillants, les sociétés maintiennent des positions surtout réactives et défensives, et ont toujours un coup de retard sur les agresseurs. Puisqu’aujourd’hui nous faisons face à une augmentation constante des menaces inconnues, pour lesquelles aucun fichier ou des signatures sur le comportement à adopter n’ont été développés, les logiciels antivirus n’arrivent tout simplement pas à les détecter. Au même moyen, la cyber-racaille contemporaine (pour ne pas mentionner la cyber-armée) vérifie méticuleusement à quel point leurs programmes malveillants sont bons en restant inconnus des Anti-Virus. Ce n’est pas bon. Pas bon du tout.
La situation devient davantage paradoxale quand vous découvrez qu’il existe dans l’arsenal actuel de l’industrie de sécurité suffisamment de concepts alternatifs de protection construits dans les produits – capable d’affronter directement de nouvelles menaces inconnues.
Aujourd’hui, je vais vous parler d’un tel concept …
Désormais, dans la sécurité informatique, une société a le choix entre deux postures par défaut en ce qui concerne la sécurité : « l’Autorisation par défaut » – où l’on permet à tout (chaque morceau de logiciel) ce qui est non-explicitement interdit de s’installer sur des ordinateurs; et « le Refus par défaut » – où l’on interdit à tout ce qui est non-explicitement permis (dont j’ai brièvement parlé ici).
Comme vous le devinerez probablement, ces deux postures de sécurité représentent deux positions opposées dans l’équilibre entre l’usabilité et la sécurité. Avec l’Autorisation par Défaut, toutes les applications lancées ont carte blanche pour faire ce qu’elles savent très bien faire sur un ordinateur et/ou un réseau, et AV prend ici le rôle du légendaire garçon hollandais – qui surveillant de près la digue, vit apparaître une fuite, et boucha frénétiquement les trous avec ses doigts (avec des trous de différentes tailles qui (sincèrement) apparaissent régulièrement).
Avec le Refus par Défaut, ce sont les applications opposées auxquelles on empêche par défaut d’être installées, à moins qu’elles ne soient incluses dans la liste de logiciels vérifiés de la société. Aucun trou dans la digue – mais probablement pas un gros volume d’eau qui coule avec l’Autorisation par Défaut.
En plus de la croissance des logiciels malveillants, les sociétés (leur département IT particulièrement) ont beaucoup d’autres maux de tête en rapport avec l’Autorisation par Défaut. Premièrement : l’installation de logiciel et services improductifs (jeux, communicateurs, P2P clients … – leur nombre dépend de la politique d’une organisation donnée); deuxièmement : l’installation de logiciels non-vérifiés, et donc potentiellement dangereux (vulnérable) à travers lesquels les cyber-voyous peuvent se frayer un chemin dans un réseau d’entreprise; et troisièmement : l’installation de logiciels d’administration à distance, qui permettent l’accès à un ordinateur sans la permission de l’utilisateur.
Au sujet des deux premières choses, les maux de tête semblent évidents. En ce qui concerne la troisième, laissez-moi apporter un peu de clarté avec une de mes Explications Technologiques personnelle !
Il y a peu de temps nous avons mené une enquête auprès de sociétés auxquelles nous avons posé la question suivante : « Comment les salariés violent-ils des règles de Sécurité informatique adoptées en installant des applications non-autorisées ? » Les résultats que nous avons obtenus sont visibles dans le camembert ci-dessous. Comme vous pouvez le voir, la moitié des violations proviennent de l’administration à distance. Cela veut dire que des salariés ou des administrateurs de systèmes installent des programmes d’accès à distance pour avoir accès aux ressources internes ou aux ordinateurs pour faire des diagnostics et/ou « des réparations ».
Les chiffres parlent d’eux-mêmes : c’est un grand problème. Il est intéressant d’observer que l’enquête n’a pas pu établir clairement quand, pourquoi, ou par qui des programmes d’administration à distance ont été installés (les salariés répondaient souvent qu’un ancien collègue les avaient installés).
Le danger réside dans le fait que de tels programmes ne sont pas bloqués par un Anti-Virus traditionnel. De plus, du fait que de tels programmes sont déjà installés sur beaucoup de PC, il est probable que peu de personnes fassent attention à eux. Et même si elles faisaient attention à eux -rien ne peut nous dire, comme on le suppose, qu’ils ont été installés par l’IT. Une telle situation est typique pour des réseaux – peu importe leur taille. Il s’avère qu’un salarié peut installer pour un collègue un tel programme qui reste inaperçu. Ou un salarié peut obtenir l’accès à son ordinateur ou celui de quelqu’un d’autre depuis un réseau externe. Ce qui est encore plus dangereux, c’est que cette échappatoire quasi-légitime peut être utilisé abusivement par des cyber-voyous et des anciens salariés malintentionnés aussi facilement que par des salariés actuels.
Avec l’Autorisation par Défaut, le réseau d’entreprise devient une jungle infestée de mauvaises herbes –un mélange de toutes sortes de logiciels bizarres et merveilleux, sans qu’aucune mémorisation de quand, pourquoi, ou par qui ils ont été installés soit possible. La seule façon d’empêcher un tel méli-mélo ? Une politique de Refus par Défaut.
Au premier coup d’œil, l’idée de Refus par Défaut a l’air plutôt simple. Mais c’est juste une apparence. En pratique, c’est une tâche qui est loin d’être facile. Elle est constituée de trois composants principaux : (1) une grande base de données bien catégorisée, de programmes légitimes vérifiés; (2) un ensemble de technologies fournissant une automatisation maximale du processus de mise en œuvre; et (3) des outils faciles à utiliser pour la gestion ultérieure du mode de Refus par Défaut.
Et maintenant nous allons tourner une page de publicité. Autrement dit, je vais vous expliquer comment les trois composants susdits s’intègrent dans nos produits d’entreprise.
Dans l’ensemble, le processus ressemble à cela :
La première étape l’inventaire automatique – le système rassemblant des informations sur toutes les applications installées dans les ordinateurs personnels et les ressources du réseau. Les applications sont alors toutes catégorisées (également de manière automatique). Tout ceci avec un coup de main de notre base de données du nuage de logiciels vérifiés (liste blanche), qui contient des renseignements sur plus de 530 millions de fichiers sûrs dans 96 catégories; c’est ce qui aide le département IT à décider ce qui est bon et ce qui est mauvais. Cette étape permet déjà d’avoir une bonne vision de ce qu’il se passe vraiment sur le réseau – et de ce qui est mauvais.
Ensuite – la classification : étiquetage du logiciel classé comme « Vérifié » ou « Interdit » selon la politique de sécurité, en prenant en compte « les droits » particuliers de certains salariés et leurs groupes. Par exemple, la catégorie « multimédia » peut être accessible pour les départements de marketing et de Relations Publiques, mais reste inaccessible à tous les autres. Par exemple, une fois que les heures de travail sont terminées – quelqu’un ou tout le monde peut lancer…SETI@Home. S’ils en ont vraiment l’envie.
Par ailleurs, avant que le Refus par Défaut soit entièrement opérationnel, nous avons besoin de tester ses implémentations. En nous basant sur les tests nous obtenons un rapport sur ce qui s’est éteint après la mise en place de chaque règle spécifique. Vous reconnaîtrez que, par exemple, priver le département du patron de Civilization ne serait pas la meilleure idée? Et bien sûr, ce test est aussi automatique.
Et finalement, après la mise en œuvre du Refus par Défaut vient la routine de monitorisation et de maintenance. Avec l’aide de la technologie de Vérification de mises à jour, des applications dignes de confiance sont actualisées lorsque les mises à jour apparaissent. Le département IT fournit des renseignements détaillés sur quand et comment elle a essayé de se lancer depuis la liste interdite – et par qui. De plus, les utilisateurs peuvent envoyer une demande et se voir accorder la permission d’installer telle ou telle application directement dans le client KES.
Après la lecture de ce qui figure au-dessus, il serait bien de demander, « Pourquoi vous donnez-vous autant de mal avec l’antivirus si vous avez des politiques si strictes ? »
Eh bien, tout d’abord, du point de vue technologique -et ceci peut sembler surprenant- bien qu’un tel concept comme « l’anti-virus » n’existait pas durant une éternité, il continue à être aujourd’hui une catégorie de logiciel ! Cette (non-existence) est due au fait que même « le plus simple » des produits domestiques (je parle de nous – notre Anti-Virus) – est un kit sophistiqué, tandis que les solutions qui incorporent le rôle d’anti-virus classique fonctionnent, ooh voyons –avec probablement seulement 10-15 % de sécurité globale. Le reste est composé de systèmes pour empêcher les attaques de réseau, la recherche de vulnérabilité, la protection proactive, centraliser la gestion, le trafic Web et le contrôle de dispositifs externes et bien d’autres choses; et n’oublions pas le Contrôle D’application impliqué dans la mise en œuvre du très soignée mode de Refus par défaut.
Néanmoins, l’antivirus en tant que technologie d’analyse de signature existe toujours et reste significatif. C’est toujours un outil efficace pour traiter des infections actives et récupérer des fichiers, il continue d’être une partie indispensable de la protection multiniveau.
Revenons au Refus par Défaut… Il semblerait d’abord qu’il s’agisse d’une sorte de prends-le, utilise-le, et profites-en. Mais en réalité la situation n’est pas si simple. Peu importe ce que je dis à nos gars du département des ventes et à nos clients, le public a en général des préjugés sur cette technologie – comme avec toutes les nouvelles choses. J’entends souvent, « nous sommes une société créative et nous ne voulons pas limiter nos salariés dans leur choix de logiciels. Nous avons une culture éprise de liberté … très bien, mais n’avez-vous pas entendu parler de BYOD ? ». Attendez une minute. De quoi me parlez-vous ?! Permettez-vous de dire tout ce que vous considérez nécessaire et bon ! Tout ce qu’il récupère est rentré dans la base de données des nouvelles applications ou rangé au bon endroit dans la console de gestion du Security Center : dix secondes ! La plupart des actes des personnes sont basés sur des préjugés; et j’en conviens. Mais le Refus par Défaut protège simplement les gens afin qu’ils ne commettent pas d’erreurs.
Eh bien oui, comme vous vous en douterez facilement – je recommande fortement le Refus par Défaut. Il a été testé et félicité par le West Coast Labs et Gartner, qui nomment régulièrement cette approche comme l’avenir de la sécurité informatique. Je suis confiant sur le fait que le monde est sur le point d’adopter largement cette technologie, et qu’il sera capable d’intensifier le combat contre le cyber-mal. Au lieu de réagir à de nouvelles menaces au rythme ou elles surgissent, les sociétés pourraient établir leurs propres règles du jeu et auraient ainsi un pas d’avance sur la résistance informatique.
Tout ce qu’il faut, c’est penser un peu à comment éviter les actions imprudentes.