- Celle qui est effectuée à partir d’une opportunité détectée par un hackeur, par exemple du spam, du ransomware ou suite à des scans de vulnérabilité sur internet. On pourrait comparer cette attaque à un criminel dans la rue qui va voler un porte-monnaie dépassant de la poche arrière d’un passant.
- Celle qui est ciblée vers une victime spécifique, par exemple du spear-phishing, de l’ingénierie sociale ou une APT. Ce type d’attaque arrive lorsque la cible détient quelque chose avec une valeur connue, ceci pourrait s’apparenter à un vol dans une bijouterie.
Protéger contre le premier type d’attaque n’est pas compliqué, il suffit de ne pas être le « low hanging fruit » et d’avoir une meilleure sécurité que les autres. C’est généralement le niveau de sécurité qu’offre les solutions génériques installées par les compagnies informatiques.
Nous avons reçu beaucoup de questions suite au case study concernant le hack d’une société financière genevoise. Nous souhaitons partager avec vous notre approche et notre philosophie en termes de cyber-securité et vous présenter comment nous protégeons nos clients.
D’un point de vue général, nous pouvons différencier deux types de cyberattaques :
1. Celle qui est effectuée à partir d’une opportunité détectée par un hackeur, par exemple du spam, du ransomware ou suite à des scans de vulnérabilité sur internet. On pourrait comparer cette attaque à un criminel dans la rue qui va voler un porte-monnaie dépassant de la poche arrière d’un passant.
2. Celle qui est ciblée vers une victime spécifique, par exemple du spear-phishing, de l’ingénierie sociale ou une APT. Ce type d’attaque arrive lorsque la cible détient quelque chose avec une valeur connue, ceci pourrait s’apparenter à un vol dans une bijouterie.
Protéger contre le premier type d’attaque n’est pas compliqué, il suffit de ne pas être le « low hanging fruit » et d’avoir une meilleure sécurité que les autres. C’est généralement le niveau de sécurité qu’offre les solutions génériques installées par les compagnies informatiques.
Protéger contre le deuxième type d’attaque représente plus un défi et c’est dans ce domaine que ZENData a une réelle expertise. Essentiellement, notre mission est de rendre une cyber-attaque tellement compliquée et chère, qu’il serait plus rentable pour un criminel de procéder à une attaque physique (traditionnelle).
La surface d’attaque & le maillon le plus faible
Dans les théories de guerres, l’attaquant a généralement l’avantage : il peut choisir, le où, le quand et le comment de son attaque ; de plus il a l’opportunité de s’attaquer au maillon le plus faible d’une chaîne. Finalement, il lui suffit d’un seul succès pour réussir. A contrario, le protecteur doit toujours être sur ses gardes et protéger la totalité de son environnement.
Afin de limiter les opportunités d’attaques (email, logiciel, navigation sur internet, clef USB, serveur public, etc.) qu’un hackeur pourrait utiliser pour pénétrer un système, ZENData va donc diminuer la surface d’attaque de ses clients et de ce fait, diminuer le nombre de maillons dans une chaîne. Par exemple, la majorité des entreprises active le protocole POP et IMAP sur leur serveur email bien que tous les utilisateurs ne se connectent qu’à travers MAPI, OWA et ActiveSync. En désactivant les protocoles non utilisés, il y a une diminution de la surface d’attaque et donc moins d’opportunités pour un hackeur.
Aussi, afin de changer le paradigme traitant le fait que l’attaquant ait l’avantage de ne devoir réussir qu’une seule attaque alors que le protecteur doit toutes les arrêter, ZENData met en place de la sécurité en profondeur. Ainsi afin de pouvoir réussir une attaque, le hackeur ne devra pas en réussir simplement une, mais il va devoir combiner simultanément des attaques sur tous les niveaux de défenses et toutes les réussir avant qu’elles ne puissent être détectées et bloquées.
Adapter la sécurité en fonction de la menace
La sécurité est souvent considérée comme une contrainte à la productivité et l’efficacité, c’est pour cela qu’il est toujours important de correctement balancer le niveau de sécurité en fonction de la menace. Prenons l’exemple de la France avec le Plan Vigipirate. Il définit plus de 300 points de mesures qui ont été soigneusement choisis et préparés en avance. Ces points de mesures sont, en cas de nécessité, activés par échelons selon la menace terroriste actuelle.
Pour chacun de ses clients, ZENData met en place des procédures à appliquer selon le niveau de leur menace. Tel le Plan Vigipirate, nous avons des mesures à appliquer en permanence qui sont un compromis entre sécurité et confort d’utilisation, et des mesures plus strictes (voire contraignantes) que nous activons lorsque la menace est plus haute. Pour ce faire, ZENData reste proche de l’actualité afin de savoir quels sont les risques et collabore intimement avec ses clients afin de savoir s’ils ont des menaces spécifiques ou ponctuelles.
La théorie du médecin chinois
Dans la Chine antique, les médecins n’étaient payés que tant que leur patient était en bonne santé et les paiements cessaient au moment où le patient tombait malade. De cette façon, les médecins avaient tout intérêt à garder leur patient en bonne santé. ZENData pense que cette philosophie devrait être étendue de nos jours et appliquée dans la cyber-sécurité. Si une compagnie d’informatique peut faire plus d’argent lorsque ses clients sont victimes de piratage, il y a peu de chances qu’elle ait les meilleurs intérêts de ses clients à cœur.
ZENData suit donc la même approche. Nous ne facturons pas une intervention lorsqu’un incident se produit sur le système de nos clients. Notre intérêt n’est donc pas de gagner de l’argent grâce aux problèmes de sécurité informatique de nos clients, mais de les protéger au mieux afin qu’ils ne se fassent pas attaquer. Ceci nous force donc à utiliser les meilleurs produits du marché et à être proactifs dans notre protection.
En pratique comment tout cela s’applique ?
Reprenons l’exemple de notre compagnie financière qui s’est fait pirater. ZENData met en pratique tous ces principes afin de vous protéger.
Voici comment l’attaque s’est déroulée :
- L’assistante du directeur reçoit un email de phshing.
- En cliquant sur le lien dans l’email, un malware est téléchargé.
- Le malware se déploie sur le système de la victime.
- Le malware communique avec son serveur de C&C.
- Les données sont exfiltrées vers le hackeur.
Voici comment les solutions ZENMail et ZEN360 peuvent protéger chacune des étapes de l’attaque :
- Les serveurs email de ZENData vérifient la réputation, le SPF, le DKIM et le DMARC de chaque email reçu. Ceci permet de détecter si l’email provient d’un serveur piraté, d’une impersonification ou si le contenu a pu être modifié lors du transfert.
- Les pièces jointes des emails sont scannées par trois antivirus et exécutées dans une chambre à détonation avant d’être transmises dans la boîte de destination. Les liens dans les emails sont tous remplacés par un URL proxy afin de pouvoir vérifier, en temps réel (lorsque l’utilisateur clique dessus), s’ils sont malveillants.
- ZENData isole dans une micro-VM le navigateur lorsqu’il visite des URL dont la provenance est un lien dans un email. Ainsi toute attaque ou exploitation de vulnérabilité restera contenue et ne pourra pas infecter le système.
- ZENData utilise un antivirus nouvelle génération (finaliste 2016 par SC Magazing contre les APT, meilleur score en protection par Forester Wave, Visionaire dans la quadran magic de Gartner etc.) afin de pouvoir détecter des virus encore inconnus et du code malveillant avant même qu’il ne puisse s’exécuter.
- Les firewalls de ZENData utilisent des whitelists et blacklists afin de pouvoir limiter et contrôler les pages web naviguées. Si un utilisateur communique sur un site inhabituel ou a mauvaise réputation, le processus est soit bloqué, soit une alerte est envoyée à ZENData pour investigation.
- ZENData détecte les anomalies dans les communications et découvre rapidement si des ordinateurs ont des comportements inhabituels ou anormaux. Le cas échant l’ordinateur peut être mis en quarantaine le temps d’une analyse.
L’utilisation de solutions génériques de sécurité en entreprise est identique à l’installation de sprinklers dans une usine de feux d’artifice où il est permis de fumer. Les entreprises doivent avoir des outils professionnels et une équipe de personnes compétentes afin d’assurer la cyber-sécurité ; sans cela ils ne pourront que se protéger des hackeurs amateurs et opportunistes.
Des outils automatisés peuvent protéger contre des attaques automatisées. Mais lorsqu’un hackeur est activement en train de vous attaquer, il vous faut un protecteur vous défendant activement également.
