Face à cela, les outils historiques ne semblent pourtant que trop peu adaptés aux nouvelles menaces, de plus en plus volatiles (40% des attaques ne s’appuient sur aucun fichier déposé sur un poste compromis, d’après une étude de l’institut Ponemon pour Barkly). En conséquence, un nouveau type de solution de sécurité est apparu, mêlant efficacité de détection et remédiation adaptative, les Endpoint Detection & Response (EDR).

AUX ORIGINES : LES ANTIVIRUS

A l’heure du trentième anniversaire de la première annonce de neutralisation d’un virus, les antivirus figurent aujourd’hui parmi les solutions les plus utilisées dans la protection des équipements terminaux que sont les serveurs et les postes de travail. Seulement, de nouvelles stratégies de défense viennent aujourd’hui consolider les fortifications de nos systèmes d’information, afin de faire face à un spectre plus large d’attaques et de menaces.

Une réponse toujours nécessaire face aux attaques connues

Que ce soit pour nettoyer un support de stockage USB ou un serveur critique, les antivirus bénéficient d’une réputation d’outils indispensables grâce à leur stratégie, allant de la détection de fichiers à signatures virales connues à la remédiation, ainsi qu’à leur faible taux de faux-positif.

Aujourd’hui largement employés par l’ensemble des acteurs numériques, certains antivirus efficaces permettent un investissement minime face à des conséquences majeures. Pour exemple, les coûts de l’attaque massive Wannacry sont estimés à près d’un milliard de dollars – mais la somme aurait pu être beaucoup plus élevée. En effet, comme l’a démontré le groupe de recherche MRG Effitas, certains antivirus peuvent bloquer les attaques les plus notables émanant de la faille EternalBlue, par détection de signatures au travers du réseau.

Partant de ce constat, certaines solutions antivirales semblent répondre à la majorité des attentes d’une entreprise « connectée », à savoir détecter les menaces les plus massives. Cependant, la recrudescence des attaques ciblées et sur-mesure laisse envisager une banalisation du contournement de ces défenses traditionnelles. Ces attaques peuvent conduire à une intrusion dans les  systèmes d’information les plus critiques, dans un environnement où le nombre d’infrastructures augmente et devient par conséquent plus complexe à maitriser. De plus, l’efficacité des antivirus reste dépendante de la multiplicité des attaques, et par conséquent d’une récolte efficace et complète des signatures virales.

Des mécanismes insuffisants face à l’évolutivité des cyber attaquants

Deux limites sont aujourd’hui mises en cause pour juger de la légitimité des antivirus à l’avenir. Elles sont majoritairement liées à la collecte et au stockage des bases antivirales perpétuellement alimentées.

1. Le délai de mise à jour des bases virales
   Dans un environnement constamment modelé par les cyber-attaquants, une première limite est la durée de mise à jour des banques de signatures virales. Comme rappelé par F-Secure à Gartner, « il y aura toujours un délai entre l’acquisition d’un échantillon, son analyse, et la création de la détection ». Il en découle un délai conséquent d’alimentation et d’adaptation des bases de signatures, pouvant conduire à la détection d’un virus plusieurs jours après infection.

2. Une détection principalement basée sur la recherche d’attaques connues
   Les attaques de type zero-day se caractérisent par l’absence de publication et de réponse connue à leur encontre, souvent due à leur récente réalisation. Pouvant pourtant partager des comportements avec des attaques connues, elles ne figurent pas dans le périmètre de détection des antivirus. Et bien que des mécanismes IDS (Intrusion Detection System) et de machine learning se soient greffés afin d’élargir les comportements détectés, ceux-ci ne représentent que peu de challenge pour un attaquant et sont potentiellement sources de faux-positifs.

En définitive, aucun attaquant censé ne s’est jamais entendu dire :

“D*mn there is an antivirus… Oh well too bad…”

Mais comment se prémunir face a ces attaques ?

Annoncée en préambule, la technologie EDR fait son apparition en 2013 et fonde sa stratégie sur la prévention d’attaques avancées, via l’utilisation de schémas de compromission connus. Pour cela, la clé de l’efficacité d’un EDR se trouve dans la collecte d’un maximum d’informations en continu.

A travers ses fonctions principales, un outil de Endpoint Detection and Response répond à trois besoins majeurs des équipes de sécurité des entreprises :

1.Détection    2.Investigation   3. Remédiation

Voici ci-dessous une vue globale des fonctionnalités possibles :

• Une détection intelligente en temps-réel :

• Une investigation intuitive et complète :
  • Recherche exhaustive d’indicateurs de compromission (IOC) sur l’ensemble des équipements terminaux distants (hash, nom de fichiers, date de création, taille, autres attributs) ;
  • Timeline (ou Kill-Chain) des évènements déroulés lors d’une attaque. Elle peut contenir des informations relatives aux augmentations de privilèges, aux escalades horizontales (exécution sur des machines tierces), etc.

Le détail d’un fichier peut être représenté comme suit :

• Une remédiation automatique ou sur demande :

Dans l’objectif de prioriser les interventions des équipes de sécurité, des mécanismes de scoring de la criticité des alertes permettent aux opérateurs de hiérarchiser les actions. Et, même si la suppression automatique de processus malveillants permet une première remédiation facile, d’autres remédiations « on-demand » et réalisables à distance sont envisageables :

A noter que les mécanismes présentés ci-dessus ne sont pas forcément présents dans toutes les solutions se présentant comme EDR. La présence d’un antivirus intégré n’est par exemple pas une garantie, tant l’efficacité des autres mécanismes de détection s’accélère et permet des performances de détection équivalentes.

Suivant le niveau de maturité de chaque solution, il est par conséquent nécessaire d’adopter une stratégie réalisée sur-mesure en regard des ressources matérielles/logicielles, des données métier à protéger et des ressources financières mobilisables.

Contextualisation pour une strategie sur-mesure

Une combinaison entre solutions historiques et innovantes

Puisque les EDR permettent la coexistence d’autres solutions de prévention, il n’est pas nécessaire de se séparer de son actuel antivirus afin de compléter ses défenses. Pour autant, l’aspect financier du maintien de deux solutions distinctes sur le même périmètre peut être un handicap.

De plus, certains EDR peuvent aussi intégrer des antivirus raisonnables, qui deviennent d’autant plus efficaces dans l’investigation des évènements lorsqu’ils sont liés à la même console de supervision. A l’inverse, plusieurs acteurs de solutions antivirales essayent de faire migrer leur solution vers les technologies EDR, ceci afin d’alimenter leur offre de protection Endpoint.

En se concentrant sur des scénarios adressables par la technologie EDR, nous pouvons noter la présence de solutions permettant :

1. L’utilisation d’une console d’investigation et de remédiation centralisée et permettant la protection de sites distants
2. L’interfaçage avec un SIEM ou des outils d’authentification (type Active Directory)
3. La restauration d’un OS infecté par un ransomware vers un état sain
4. L’adaptation de la remédiation opérée, afin qu’elle soit automatique ou manuelle

Des points de vigilance à adresser

Pour autant, un EDR n’est pas à considérer comme une solution miracle car :

• Il peut devenir destructeur entre de mauvaises mains, ce qui nécessite notamment un durcissement de configuration, une revue de la gestion des accès ou encore une procédure de patch management ;
• Certains mécanismes de contournement sont possibles, Wannacry en est un exemple via son utilisation d’un mécanisme de détection d’un environnement sandbox. Si une sandbox était utilisée pour l’exécuter, le virus retardait le lancement de son attaque (le temps que se déroulent les analyses de protection) afin de contourner la défense ;
• Il représente une potentielle surface d’attaque supplémentaire, avec ses propres vulnérabilités logicielles, en raison par exemple du besoin de privilèges élevés des agents déployés sur les postes.

« En 2019, les fonctionnalités des antivirus et des EDR auront fusionné dans une seule et même offre » (Gartner)

L’intérêt que représentent les EDR n’est pas anodin, comme partagé dans une étude Gartner prédisant la fusion de leurs mécanismes de détection, d’investigation et de remédiation avec un socle plus mature, celui des antivirus (source : Gartner, « Magic Quadrant for Endpoint Protection Platforms 2017 », 2017), à partir de 2019.

Le chiffre d’affaires généré par le marché des EDR a doublé entre 2015 et 2016. L’intérêt grandissant de ce domaine d’innovation laisse prédire, selon Gartner, une croissance annuelle de près de 50% du chiffre d’affaires global lié aux EDR jusqu’en 2020.

Actuellement présent sur près de 5% de l’ensemble des équipements compatibles, ce nouvel outil à la mode semble prédisposé à davantage de résonnance dans les stratégies de protection de nos postes de travail, de serveurs mais aussi de nos smartphones.

Les éditeurs

Une liste -non exhaustive- d’acteurs du monde des EDR est renseignée à titre indicatif ci-dessous.

Cet article EDR : Nouveau challenger dans la protection des endpoints est apparu en premier sur RiskInsight.

Certes, les attaques évoluent, exploitant de plus en plus des vulnérabilités non dévoilées (type 0-days), ou faisant appel à des méthodes de phishing avancées contre lesquels les antivirus paraissent bien impuissants.

Même s’ils sont aujourd’hui loin d’être suffisants, leur utilité est pourtant toujours réelle.

 De l’antivirus au client unique de sécurité, les éditeurs ont fait évoluer leur offre

L’outil désigné par « antivirus » couvre en fait, dans la majorité des cas, plusieurs fonctions : antivirus (et de manière plus générale, antimalware), mais aussi pare-feu personnel, Host IPS (HIPS), outil de contrôle des ports USB…

C’est ce que l’on appelle le « client unique de sécurité » sur le poste de travail.

Il constitue aujourd’hui un rempart évident contre les infections, en particulier celles qui sont involontaires (clé USB infectée) ou récurrentes (virus anciens qui réapparaissent ponctuellement).

L’expérience des nombreux audits menés par Solucom montre qu’il protège parfois aussi contre des attaques plus complexes. Il peut par exemple détecter l’ exploitation d’une vulnérabilité pour laquelle le système n’aurait pas reçu le correctif, de type Conficker.

Il suffit d’ailleurs de se connecter à une console antivirus d’entreprise pour s’en convaincre : les détections/suppressions de virus sont encore nombreuses et régulières. En particulier, on constate souvent un pic lors des fameux scans hebdomadaires, souvent décriés par les utilisateurs pour les ralentissements qu’ils provoquent sur les postes (et leur manque d’efficacité supposé).

Plusieurs initiatives de grands comptes visant à diminuer leur fréquence ont d’ailleurs vu le jour.Elles n’ont jamais abouti, tant ces scans paraissent aujourd’hui encore  nécessaires – ne serait-ce que dans un rôle de « voiture-balai » afin de nettoyer le résidu récurrent de logiciels malveillants en tout genre. En revanche, une approche réaliste pour réduire le temps de scan est possible : réaliser un scan différentiel. Seuls les fichiers modifiés par rapport à la semaine précédente sont scannés.

 Le futur des antivirus est… dans le Cloud !

 Pour autant, les limites des antivirus ne font que s’affirmer depuis des années :

•  Les malwares sont de plus en plus complexes, leurs variantes innombrables, et même les éditeurs les plus réactifs ne sont plus capables de suivre la cadence.

• Dans les meilleurs cas, les définitions virales sont mises à jour quotidiennement sur les postes de travail : c’est déjà trop au vu des vitesses de propagation.

Un problème d’historique apparaît également : comment cumuler toutes les définitions de virus anciens et nouveaux, sans que la taille des fichiers contenant ces définitions n’explose, ralentissant encore le poste de travail, tout en nécessitant de plus en plus de temps à déployer ?

Les éditeurs d’antivirus commencent à proposer une réponse à ces problématiques, à travers le Cloud. Plutôt que de scanner un fichier sur le poste de travail, il s’agit d’en faire un hash (empreinte unique pour chaque fichier), qui est envoyé sur un serveur de l’éditeur, dans le Cloud. Il est alors comparé à une base de données mondiale, et peut même faire l’objet d’une note de « réputation » selon sa probabilité d’être ou non malveillant. L’information est alors renvoyée à l’antivirus sur le PC, qui prend les actions nécessaires le cas échéant.

Cette méthode prometteuse a toutefois ses contraintes : la nécessité d’une connexion internet, de qualité et le manque de maîtrise de la réaction de l’antivirus en cas de faux positif.

 Des changements de plateforme structurants

 Un dernier élément vient s’ajouter à la question de l’évolution des antivirus : il s’agit de l’évolution des systèmes d’exploitation eux-mêmes.

Les OS modernes intègrent en effet un certain nombre de mécanismes de sécurité natifs, qui rendent les attaques plus difficiles : isolement inter-applicatif, applications et drivers signés, mécanismes de cryptographie…

 Les deux principales plateformes mobiles en sont un bon exemple : tandis que l’efficacité des rares antivirus reste à démontrer sur Android, ils sont tout simplement interdits par Apple sur iOS. Pourtant, à part quelques vulnérabilités médiatisées, les cas d’infection dans le cadre d’une utilisation normale sont anecdotiques.

Ceci reste cependant à nuancer : les attaquants évaluent au final les coûts/bénéfices de chaque type d’attaque. Lorsque le développement de virus sur smartphone sera plus lucratif que l’exploitation d’une faille de navigateur Web, il deviendra sans doute à la mode…

Le cas de Windows 8 est encore différent : s’il dispose d’un environnement « nouvelle génération » avec les applications du Windows Store, il propose une rétrocompatibilité avec les programmes plus anciens… y compris malveillants.

N’enterrez donc pas tout de suite votre antivirus, il pourrait encore vous servir pendant des années !

Cet article Un antivirus sur votre PC entreprise en 2013 ? Pour quoi faire ? est apparu en premier sur RiskInsight.