Une couche 8 pour limiter les cyber-attaques « sous les radars »

Face aux menaces très sérieuses que font peser les attaques APT sur toutes les entreprises, les solutions actuelles de filtrage s’inclinent trop souvent.  Afin d’augmenter l’efficacité des « cyber-radars », des dialogues entre solutions de filtrage hétérogènes s’instaurent au niveau des applications.

2015 a vu la « consécration » des cyber-attaques auprès des COMEX. Rien d’étonnant. Selon une étude du cabinet PwC, elles auraient augmentées à l’échelle du globe de 48% en 2014. Le rapport estime à 42,8  millions le total des attaques en 2014, soit l’équivalent de 117 339 attaques par jour. Parmi elles, une catégorie inquiète particulièrement les dirigeants : les APT (Advanced Persistent Threat).

APT : une nouvelle menace ?

Une APT est une catégorie d’attaques ciblées mettant en œuvre de nombreuses techniques connues en cyber-menaces : injection SQL, XSS, etc. Les attaquants sont très motivés et dotés de compétences techniques mais surtout de moyens inhabituels. Ils mettent en œuvre une coordination entre moyens techniques et humains. Les cyber-attaquants se basent sur la combinaison de méthodes et d’outils ayant fait leur preuve ; Résultats : ces familles d’attaques APT plus que d’autres  parviennent souvent à passer sous les radars (“low and slow”) via leurs techniques furtives. La furtivité est un des marqueurs forts des attaques APT qui ne recherchent pas systématiquement à exploiter une vulnérabilité.

APT : 80% des cyberattaques portées au niveau applicatif

Si les attaquants trouvent une porte entrouverte, ils l’utilisent. Des démonstrations effectuées lors de Black Hat 2015 le montraient clairement. Rappelons que 80% des attaques se font au niveau applicatif. (http://bit.ly/1Gyhv31)

Pour répondre au défi lancé par les APT, les solutions de protection se sont renforcées ces dernières années séparément et à chaque niveau : infra, systèmes, réseaux et applications traitant les données. Afin de renforcer ce dispositif, des corrélations « secure » à l’aide d’outils tels que les SIEMs existent mais se montrent insuffisantes face à la puissance des attaques APT. Il faut maintenant aller plus loin afin d’établir une corrélation en temps réel des événements plus seulement au niveau des systèmes et  réseaux mais au niveau applicatif.

Automatiser la veille événementielle

Il s’agit d’automatiser les réponses, d’affiner les rapports et de produire des informations directement exploitables par n’importe quel responsable et pas seulement IT. La corrélation d’événements doit le prouver pour ceux qui en doutent encore : une sécurité simple est le gage d’une sécurité efficace.

En 2016, les performances purement techniques ne suffisent plus. Bien que ces dernières s’avèrent très utiles afin de contrôler et de gérer efficacement différents types de trafic (VPN, YouTube ou Facebook) notamment au niveau 7 (niveau d’application) il faut apporter plus d’intelligence au niveau des dialogues entre solutions et notamment accentuer les échanges entre applications hétérogènes. Il faut enrichir la couche 8, celle de l’intelligence de la cyber-sécurité afin de l’ouvrir au plus grand nombre.

Des solutions homogènes en environnement hétérogène

Pour y parvenir, il est indispensable d’établir un dialogue entre solutions d’abord homogènes donc pensées et développées par un seul éditeur ; Puis très vite, cette nouvelle couche huit évoluera dans des environnements forcément hétérogènes. Des dialogues s’établiront entre toutes les solutions du marché : réseaux, systèmes, applications… C’est la seule condition pour filtrer efficacement les APT. Bref s’élever dans les couches pour que les APT ne passent plus sous les radars.

Partagez Passer sous les radars

http://wp.me/p2YJS1-2fj

Image Creative Commons de David Orban