Livre blanc La réputation, pierre angulaire d'une protection efficace contre les menaces Par Jamie BarnettLivre blanc La réputation, pierre angulaire d'une protection ef ficace contre les menaces Sommaire Synthèse 3 Contexte 3 Identification des comportements à risque 4 Dynamique des menaces 5 L'importance de la « zone grise » 6 Renforcement de la fiabilité 7 Le pouvoir de la réputation 8 McAfee Global Threat Intelligence à l'œuvre 9 Conclusion 9 L'auteur 11 ™A propos de McAfee Labs 11 A propos de McAfee, Inc. 11Livre blanc La réputation, pierre angulaire d'une protection ef ficace contre les menaces Synthèse De la médecine (pour la pose de diagnostic) aux mathématiques (par ex. pour l'évaluation d'instruments financiers), nombreuses sont les disciplines faisant traditionnellement appel aux systèmes de réputation pour l'évaluation de situations et la prise de décisions. Depuis l'éclosion des communautés en ligne et du commerce électronique, les fournisseurs et les consommateurs de biens, de services et d'informations via le Web recherchent des solutions leur permettant d'évaluer la réputation des tiers prenant part aux transactions. Aujourd'hui plus que jamais, les outils de Les services de réputation identifient calcul de la réputation jouent un rôle déterminant pour la cybersécurité. En effet, un nombre croissant d'utilisateurs la source d'une menace et en accèdent à un éventail de plus en plus large d'outils en ligne par le biais de périphériques de plus ...
La réputation, pierre angulaire d'une protection efficace contre les menaces Par Jamie Barnett
Livre blanc
Sommaire Synthèse
Contexte
Laréputation,pierreangulaired'uneprotectionefficacecontre les menaces
Identification des comportements à risque
Dynamique des menaces
L'importance de la « zone grise »
Renforcement de la fiabilité
Le pouvoir de la réputation
McAfee Global Threat Intelligence à l'œuvre
Conclusion
L'auteur
™ A propos de McAfee Labs
A propos de McAfee, Inc.
3
3
4
5
6
7
8
9
9
11
11
11
Les services de réputation identifient la source d'une menace et en déterminent la légitimité. Votre entreprise entretient des relations commerciales avec des sociétés utilisant des adresses IP, des sites web ou des noms de messagerie spécifiques? Alors, il est essentiel de déterminer si ces sources de transactions et d'interactions sont dignes de confiance. Les systèmes de renseignement sur les menaces de grande envergure analysent les données de dizaines de millions de postes clients et de millions de serveurs.
— Chris Christiansen, IDC
Livre blanc
Laréputation,pierreangulaired'uneprotectionefficacecontre les menaces
Synthèse De la médecine (pour la pose de diagnostic) aux mathématiques (par ex. pour l'évaluation d'instruments financiers), nombreuses sont les disciplines faisant traditionnellement appel aux systèmes de réputation pour l'évaluation de situations et la prise de décisions. Depuis l'éclosion des communautés en ligne et du commerce électronique, les fournisseurs et les consommateurs de biens, de services et d'informations via le Web recherchent des solutions leur permettant d'évaluer la réputation des tiers prenant part aux transactions. Aujourd'hui plus que jamais, les outils de calcul de la réputation jouent un rôle déterminant pour la cybersécurité. En effet, un nombre croissant d'utilisateurs accèdent à un éventail de plus en plus large d'outils en ligne par le biais de périphériques de plus en plus variés pour interagir avec des collègues, des amis ou des inconnus sur des sites en ligne toujours plus nombreux. Face à ce flot de transactions web critiques, personnelles ou professionnelles, qui n'autorisent aucune vérification tangible, la réputation apporte un certain degré d'assurance quant à l'identité et à l'intégrité des parties.
Ce livre blanc a pour but de présenter aux décideurs en matière de sécurité les caractéristiques d'un système de réputation électronique efficace de sorte qu'ils puissent à leur tour appliquer ces connaissances à des stratégies de sécurisation à court et à long terme. Il aborde les sujets suivants :
La reconnaissance de la nature dynamique des menaces électroniques et la nécessité pour l'entreprise de • rendre compte à tout moment de l'état de sa réputation L'importance en matière de réputation de la notion de « zone grise », à mi-chemin entre un mal et un bien • absolus et, à l'opposé, le caractère plus statique des méthodologies de protection basées sur des listes de blocage et d'autorisation Les quatre facteurs garantissant la fiabilité du calcul de la réputation : le volume, la longévité et la fiabilité • des données et, surtout, la mise en corrélation d'un vaste ensemble de données
Depuis l'éclosion des communautés en ligne et du commerce électronique, les fournisseurs et les consommateurs de biens, de services et d'informations via le Web recherchent des solutions leur permettant d'évaluer la réputation des tiers prenant part aux transactions. Cette quête a donné naissance à divers modèles de « confiance » tiers, des plus légers tels les votes communautaires aux plus lourds, comme les autorités de certification ou les programmes de labellisation. Ces modèles reposent, d'une façon ou d'une autre, sur la réputation. Dans le paysage actuel de la cybersécurité, le principal impératif pour les systèmes de réputation est sans doute d'identifier et de prévenir les menaces en ligne telles que les intrusions réseau et les logiciels malveillants.
Contexte Le 30 avril à 9 h 56, un nouveau site web enregistré permettant aux utilisateurs de publier, de rechercher et de visualiser des vidéos amateurs, www.multimedia***.com, a été mis en ligne. Ce site, qui faisait partie d'un groupe de 160 nouveaux enregistrements de domaines, a été identifié par le réseau de sondes et de flux de données alimentant le réseau mondial de renseignement sur les menaces McAfee Global Threat Intelligence. En apparence anodins, bon nombre de ces domaines présentaient les signes extérieurs de sites de partage multimédia. A un détail près... qui nous a poussés à leur attribuer le score de réputation « à haut risque » dans notre système. Qu'est-ce qui nous a mis la puce à l'oreille ?
Wikipédia définit la réputation comme étant « l'opinion (plus techniquement, l'évaluation sociale) du public 1 envers une personne, un groupe, ou une organisation».McAfee s'intéresse depuis longtemps à la réputation des entités électroniques — des fichiers aux sites web, en passant par les expéditeurs. Notre définition de la réputation s'est enrichie au fil des ans et inclut d'autres critères.
Premièrement, les réputations ont un caractère dynamique et temporel. Ainsi, un site légitime peut être infecté du jour au lendemain par un logiciel malveillant (malware) et être nettoyé tout aussi vite. La réputation doit par conséquent être actualisée aussi souvent que le contenu. Deuxièmement, la réputation d'une entité est rarement « toute blanche » ou « toute noire ». Elle se situe plutôt quelque part dans l'immense « zone grise » entre ces deux extrêmes, offrant ainsi aux décideurs en matière de sécurité une réelle liberté quant à la convergence de la réputation et des stratégies. Enfin, la confiance est un élément déterminant dans le calcul de la réputation. Par confiance, nous entendons l'intervalle de confiance, ou la fiabilité de nos estimations. Plus les points de données et les critères d'évaluation pris en compte dans notre analyse sont nombreux, plus le calcul de la réputation a des chances d'être précis au moment en question. Quatre facteurs contribuent à renforcer la fiabilité : le volume, la longévité et la fiabilité des données, et la mise en corrélation d'un volume important de données.
Laréputation,pierreangulaired'uneprotectionefficacecontre les menaces
McAfee calcule la réputation de centaines de millions d'entités électroniques — fichiers, sites et domaines web, messages, serveurs DNS et connexions réseau — au moyen d'un système de scores de réputation hautement granulaire reposant sur quantité d'informations relatives au comportement et aux caractéristiques de l'entité, ainsi que sur notre propre expérience du comportement d'entités comparables. Entre autres entrées, nous nous appuyons sur les données télémétriques obtenues par le biais de milliards de requêtes lancées chaque jour par des dizaines de millions de produits McAfee (clients antimalwares, passerelles de l'environnement web et de la messagerie électronique, pare-feux, etc.) déployés aux quatre coins de la planète et qui servent de sondes pour notre moteur d'analyse dématérialisé. Par exemple, lors du calcul dynamique du score de réputation d'une connexion réseau, nous examinons des milliers d'attributs et de comportements, tels que la durée de vie de l'adresse IP, les ports et protocoles qu'elle utilise, l'activité du réseau par rapport à une ligne de base de comportements attendus, l'historique des attaques et les liens avec d'autres adresses IP connues.
Identification des comportements à risque
5 000 %
4 000 %
3 000 %
2 000 %
1 000 %
0 %
Déviation par rapport au nombre moyen de messages
Déviation par rapport au nombre moyen de connexions
Figure 1. Le système de réputation de McAfee identifie tout comportement potentiellement à risque d'une adresse IP, par exemple, et empêche de manière proactive les messages envoyés d'atteindre nos clients.
Dans la figure 1 ci-dessus, nos systèmes ont détecté un comportement anormal ayant débouché sur une attaque par déni de service distribué et adaptent la réputation de la connexion concernée de manière prédictive. La ligne bleue montre l'écart par rapport au nombre moyen de messages émanant de l'adresse IP. La hausse du nombre de messages (pic bleu) dans le premier tiers du graphique déclenche une modification du score de réputation de la connexion (mesuré par les barres verticales), qui passe de l'état « non vérifié » (gris) à « à haut risque » (rouge). Au moment de l'attaque (reflétée par l'augmentation du nombre moyen de connexions de l'adresse IP (ligne jaune)), le nouveau score de réputation « à haut risque » indique aux produits McAfee de bloquer les messages afin de protéger les clients.
La réputation est bien plus qu'un élément important d'un système de sécurité : elle est primordiale. Les menaces se déplacent de manière trop rapide ou furtive pour se fier aux seules techniques traditionnelles, telles la protection basée sur des signatures et les listes de blocage. Les menaces visant à infecter un maximum d'ordinateurs se propagent très rapidement, ne laissant pas le temps nécessaire au développement ou au déploiement d'une signature. Quant aux listes de blocage, elles n'offrent pas toutes les nuances d'un score de réputation. Inversement, les menaces très ciblées ne cherchent pas à se propager rapidement mais plutôt à échapper à toute détection avec un impact minimal afin d'atteindre un objectif très subtil et précis. Pour contrer ces deux extrêmes, ainsi que tout le spectre actuel des menaces, les professionnels de la sécurité et leurs fournisseurs sont conscients de la nécessité de disposer d'un système capable de calculer la réputation d'une entité en temps réel sur la base de renseignements collectifs la concernant, puis de prendre les mesures qui s'imposent en fonction de cette réputation.
4
Livre blanc
Laréputation,pierreangulaired'uneprotectionefficacecontre les menaces
L'opération Aurora lancée contre Google et plus de 20 autres sociétés fin 2009 et début 2010 était une attaque ciblée sur un groupe spécifique d'individus. Les pirates ont utilisé des technologies sophistiquées et difficiles à détecter pour accéder aux machines de ces utilisateurs et, de là, aux précieuses données et à la propriété intellectuelle des entreprises. Malgré leur subtilité et leurs efforts pour éviter toute détection, des menaces telles qu'Aurora sont associées à un petit nombre d'entités — e-mails émanant d'adresses IP temporairement malveillantes pour pousser des utilisateurs peu méfiants à visiter des sites web infectés par des logiciels malveillants, par exemple — dont la réputation peut changer en un clin d'œil. McAfee utilise les changements de réputation pour détecter et prévenir automatiquement toute activité malveillante et protéger ainsi les individus, les ressources et les informations indispensables.
Dynamique des menaces L'évolution rapide et constante de la nature des menaces électroniques exige un système de réputation qui tienne compte de ce dynamisme. A mesure que les systèmes et les chercheurs engrangent des informations sur une entité, celles-ci doivent être exploitées pour actualiser en permanence la réputation de cette entité. Prenons l'exemple d'un ordinateur légitime soudainement infecté par un cheval de Troie et enrôlé dans un réseau de robots visant à envoyer du spam. Rapidement, l'ordinateur est nettoyé et redevient sûr. La boucle est ainsi bouclée en quelques minutes, l'ordinateur passant d'un faible risque à un risque élevé pour ensuite revenir à son état initial. Un système de réputation efficace doit être suffisamment sensible pour refléter l'état précis de l'ordinateur à chaque instant (voir figure 2).
1
2
Non classé
Infection
3
Malveillant
5 Ajustement de la réputation
4
Correction
Figure 2. Un système de réputation robuste doit pouvoir identifier toute modification, même passagère, des entités suivies.
Les requêtes et leurs réponses jouent un rôle déterminant dans l'établissement du score de réputation. Les systèmes de réputation robustes, forts de millions de produits déployés dans des environnements réels, s'appuient sur une boucle de réaction : les produits interrogent le système de réputation par le biais d'un déclencheur local et déterminent les mesures à prendre localement en fonction de la réponse du système. En outre, le volume et la fréquence des requêtes et des réponses peuvent aussi amener le système à modifier le score de réputation d'une entité. Par exemple, si les passerelles de messagerie électronique déployées partout dans le monde soumettent brusquement de nombreuses requêtes concernant des messages envoyés par une nouvelle adresse IP mise en ligne, il est probable que la méfiance du système de réputation à l'égard de celle-ci grandisse et que, soupçonnant un envoi de spam, il ajuste la réputation en conséquence. De la même manière, lorsqu'une entité infectée est nettoyée, le système de réputation doit refléter ce nouvel état.
Un système de réputation qui s'intègre et s'adapte à chaque nouveau point de données présente un précieux avantage : les cybercriminels qui tentent de tester un logiciel malveillant ou procèdent à la répétition générale d'une attaque réseau risquent d'informer involontairement le système de leurs activités. Un système de réputation efficace contraint les cybercriminels à poser un choix : soit ils testent leur produit dans le monde réel, au risque de se voir barrer la route durant la manœuvre, soit ils foncent tête baissée et lancent une attaque à l'aide d'un arsenal d'outils non testés. Quelle que soit leur décision, le système les place en position de faiblesse.
5
Livre blanc
Laréputation,pierreangulaired'uneprotectionefficacecontre les menaces
Etant donné le large spectre que doit couvrir la cybersécurité, y compris les cas extrêmes tels que les menaces ultrarapides ou furtives, un système de réputation efficace doit collecter les données de manière optimale, analyser rapidement de gros volumes de données et envoyer les résultats quasi instantanément aux ordinateurs répartis aux quatre coins du globe. Si les systèmes informatiques optimisés pour une, voire deux, de ces dimensions sont légion, rares sont ceux à pied d'œuvre sur les trois fronts.
L'importance de la « zone grise » Quel est le détail qui a éveillé nos soupçons concernant le site www.multimedia***.com et les autres domaines ? Le comportement de ces domaines par rapport à nos attentes. Ainsi, certains domaines de partage multimédia ne respectaient pas le modèle de trafic généralement utilisé par ce type de sites. Si certains agissaient normalement, d'autres se comportaient comme des domaines d'hébergement — un modèle souvent utilisé pour rediriger le trafic et dissimuler des adresses IP chargées d'envoyer du spam, pour héberger des logiciels malveillants exécutables et des instructions de commande destinées à des réseaux de robots ou encore pour obtenir des informations d'identification par phishing. Nous avons également constaté que plusieurs domaines disparaissaient rapidement pour réapparaître ensuite avec une adresse IP différente. Cette pratique, connue sous le nom de « fast-flux », est utilisée pour échapper à la détection. En outre, nous avons remarqué que bon nombre des comportements (changement d'adresse IP par plusieurs domaines, par exemple) survenaient simultanément, ce qui laissait entendre qu'une même entité détenait le contrôle. Au fur et à mesure de ces observations, nos systèmes ont revu la réputation des domaines à la baisse et leur ont attribué le score « à haut risque ».
Les systèmes de réputation se distinguent des technologies de listes de blocage et d'autorisation en ce sens que les premiers prennent en charge la « zone grise » entre le « bien » et le « mal », tandis que les dernières sont statiques et requièrent des mises à jour régulières par les administrateurs. Les réputations évoluent quant à elles à mesure que le système est informé d'un fait nouveau et sont donc fondamentalement fluides. Surtout, le nombre élevé d'entités en ligne, combiné à leurs réputations dynamiques, fait qu'il est quasiment impossible de désigner une entité comme étant totalement « blanche » ou « noire ». Le temps de l'analyse d'un système, la situation a déjà changé. Dans la mesure où les systèmes de réputation aident les produits de sécurisation à prendre des décisions en une fraction de seconde, ils doivent pouvoir offrir en permanence les réponses les plus judicieuses. Dans un tel climat d'incertitude, l'absence de système de réputation signifie que les entreprises bloquent un nombre forcément démesuré ou insuffisant de menaces. Un système de réputation robuste est à même de définir des réputations dynamiques avec moins de faux-positifs, par exemple, qu'une liste de blocage, garantissant ainsi aux administrateurs un degré de précision supérieur. La zone grise a donc une importance réelle, notamment en tant que point de convergence des scores de réputation dynamiques et des stratégies de l'entreprise (voir figure 3).
10^8
10^7
10^6
10^5
10^4
10^3
10^2
10^1
10^0
Nombre de connexions réseau par score de réputation
Figure 3. Ce graphique illustre la granularité du système de scores de réputation de McAfee. Vous pouvez y voir le tracé des connexions réseau que nous surveillons par rapport à chaque score de réputation le long d'un continuum (axe des x). L'axe des y, qui représente une échelle logarithmique, montre le nombre de connexions ayant un score de réputation donné à un moment précis. Les couleurs traduisent le niveau de risque des connexions : faible (vert), non vérifié (jaune), moyen (orange) ou rouge (élevé).
6
Livre blanc
Laréputation,pierreangulaired'uneprotectionefficacecontre les menaces
Plusieurs facteurs déterminent si une entreprise doit prendre des mesures de sécurité, telles que bloquer un fichier ou restreindre les communications réseau : le profil de risque de l'entreprise, les exigences en matière de productivité, la tolérance aux faux-positifs, la valeur des actifs, les mesures de sécurité alternatives et une série d'autres éléments. Les systèmes de réputation offrent aux entreprises des scores systématiques et objectifs et permettent aux décideurs d'élaborer des stratégies basées sur les risques et les compromis propres à leur organisation. Leur infrastructure de sécurité peut ainsi prendre automatiquement des mesures en fonction des stratégies définies.
Renforcement de la fiabilité Dans la mesure où il existe une multitude de nuances de gris, il est primordial de renforcer la fiabilité de notre évaluation de la réputation d'une entité. Les professionnels de la sécurité et leurs entreprises s'appuient sur les scores de réputation pour prendre des décisions stratégiques dynamiques basées sur des probabilités connues. Il incombe donc au système de réputation de veiller à ce que ces scores présentent un maximum de fiabilité. Plus les dimensions prises en considération pour calculer un score sont nombreuses, plus la fiabilité augmente.
Le calcul du score présente de nombreuses analogies avec un diagnostic médical. Lorsqu'il examine un patient, le médecin suit une série d'étapes ayant pour but soit d'invalider une hypothèse, soit de la confirmer toujours davantage. Il commence par exemple par interroger le patient sur le motif de sa visite et par prendre sa température. Ces deux actes peuvent déjà lui donner une indication sur l'origine du problème. Mais ce n'est qu'au moment où le praticien établit une corrélation entre ces informations et une nouvelle donnée (par ex. la pression artérielle) que son hypothèse se voit confortée. Pour atteindre un degré de certitude élevé, il devra peut-être examiner une dizaine de dimensions qui, prises individuellement, ne lui apprennent pas grand chose, mais qui, ainsi corrélées, lui apporteront l'intime conviction d'avoir posé le juste diagnostic. Poussons un peu plus loin l'analogie. Le médecin peut à présent adopter une approche prédictive. Imaginons qu'après avoir posé un diagnostic chez un premier patient, il découvre que les dix suivants présentent les mêmes symptômes. Il peut alors s'appuyer sur ce premier diagnostic pour établir les autres. A partir de là, le médecin et ses confrères pourront prendre des mesures pour enrayer la maladie là où elle risque de frapper ensuite.
De la même façon, les systèmes de réputation utilisés pour la cybersécurité s'appuient sur la mise en corrélation de données provenant d'un grand nombre de dimensions. Pour illustrer la fiabilité accrue d'une mise en corrélation multidimensionnelle, la figure 4 présente trois graphiques proposant côte à côte les tracés d'adresses IP malveillantes (en rouge) et légitimes (en vert) connues. Le premier graphique montre les adresses IP en fonction d'une dimension unique : le volume de messages. Cette représentation ne permet pas de distinguer clairement les bonnes adresses des mauvaises ni la démarcation entre les deux. L'ajout d'une deuxième dimension, la persistance des adresses IP (c.-à-d. leur existence continue), permet de mieux séparer les données et, ainsi, d'identifier avec une plus grande certitude le groupe auquel appartient un point de donnée. Enfin, l'apport d'une troisième dimension, l'étendue de la base de destinataires d'une adresse IP, offre une vue bien plus nuancée des données. Les adresses IP apparaissent dans des clusters facilement identifiables qui rendent les prévisions beaucoup plus précises. Dans le cadre de nos analyses réelles, nous évaluons les données en fonction de plus d'un millier de dimensions afin de renforcer la fiabilité des scores de réputation.
Réputation multidimensionnelle
Figure 4. L'ajout de dimensions aux scores de réputation renforce la fiabilité de ceux-ci.
7
Livre blanc
Laréputation,pierreangulaired'uneprotectionefficacecontre les menaces
Réaliser une analyse puissante de la réputation à travers un grand nombre de dimensions n'est réalisable qu'à condition de pouvoir réunir suffisamment de données pertinentes en provenance d'un large éventail de sources. Les données recueillies par les produits McAfee déployés dans le monde entier constituent les fondements de notre réseau dématérialisé de renseignements, lequel alimente notre système de réputation. En plus de servir de base à un système de réputation robuste, les données télémétriques permettent de renforcer la fiabilité de diverses façons :
• Volume de données.Si chaque requête reçue sert à son tour de point de donnée qui influence l'ensemble du système, le nombre accru de données se traduit par une fiabilité plus grande du score de réputation. Si l'on établit un parallèle avec l'ouverture d'un télescope, plus le volume de données (lumière) absorbé est important, plus l'utilisateur voit loin dans l'espace. Les systèmes de renseignement dématérialisés de McAfee reçoivent chaque jour des milliards de requêtes, ce qui nous permet de détecter rapidement toute activité des menaces et de les identifier de manière plus précise. • Longévité des données.La collecte des données sur une longue période contribue à renforcer la maturité du système. Le système de réputation dispose en effet d'une ligne de base solide pour l'évaluation du comportement attendu des entités en fonction de leur comportement passé et de celui de leurs pairs, ce qui permet non seulement de détecter les anomalies dès qu'elles surgissent, mais également d'identifier les attaques sur la base de schémas reconnus. • Fiabilité des données.La fiabilité des données constitue un élément essentiel des systèmes de réputation. Or le volume des données collectées et la méthodologie automatisée d'analyse des données ouvrent la voie à la pollution des résultats, en cas de collusion entre des utilisateurs, par exemple. Un système de réputation robuste doit donc disposer de mécanismes d'authentification des données reçues et d'ajustement selon la crédibilité de la source. Des critères tels la localisation, la configuration et le comportement passé d'une source de données peuvent influencer l'importance accordée à ces données dans le calcul global de la réputation. • Mise en corrélation des données.Le facteur le plus critique d'un système de réputation robuste est sa capacité à collecter et à mettre en corrélation des données télémétriques provenant d'une multitude de sources représentanttous les vecteurs de menaces. McAfee s'appuie sur l'ensemble de sa gamme de produits — notamment les logiciels antimalwares installés sur les postes clients, les passerelles web et de messagerie électronique et les pare-feux au niveau du périmètre ou encore les systèmes de prévention des intrusions — pour étudier toutes les facettes des menaces, qu'elles ciblent les fichiers, le Web, le réseau ou les applications. Pouvoir mettre en corrélation des données offrant une vue à 360° sur une menace revient à disposer de toutes les pièces du contour d'un puzzle.
Le pouvoir de la réputation Le regroupement des données télémétriques fournies par l'ensemble des vecteurs nous aide à comprendre une menace et à calculer avec davantage de précision la réputation des entités ayant un lien avec cette menace. La figure 5 illustre l'une des utilisations faites par McAfee des données télémétriques recueillies auprès d'un vecteur de menaces pour identifier la menace sur d'autres vecteurs et mettre à jour les systèmes de réputation en vue de protéger nos clients. Notre système de réputation reçoit des requêtes émanant de sondes réparties partout dans le monde et qui collectent des informations sur des malwares potentiels, des menaces véhiculées par le Web, des connexions réseau, des messages électroniques, etc. Dans cet exemple, notre technologie cliente antimalware nous transmet des requêtes d'analyse de la réputation d'un fichier sur la base de son hachage, ou de son empreinte. Le nombre, la fréquence et la distribution géographique des requêtes nous permettent d'établir avec quasi-certitude le caractère malveillant de ce fichier — sans même en disposer. Notre système de réputation renvoie un score qui pousse le logiciel client antimalware à bloquer le fichier ou à le mettre en quarantaine. Dans le même temps, le propriétaire d'une adresse IP dont nous ignorions jusque-là l'existence tente d'envoyer à un utilisateur situé derrière l'une de nos passerelles de messagerie électronique un e-mail dont le fichier joint présente le même hachage. La passerelle interroge notre système dématérialisé, apprend qu'il s'agit d'un logiciel malveillant et bloque le message. Le système analyse la base de données à la recherche de sites web hébergeant des fichiers contenant le même hachage, puis transforme le score de réputation de ces sites et de leurs connexions réseau en « à haut risque » et récupère le logiciel malveillant en vue d'un traitement complémentaire. Comme nos clients antimalwares, nos passerelles web et de messagerie électronique et nos pare-feux interrogent tous notre système de réputation, la menace se retrouve finalement bloquée, quel que soit le vecteur utilisé.
8
Livre blanc
Laréputation,pierreangulaired'uneprotectionefficacecontre les menaces
McAfee Global Threat Intelligence à l'œuvre
4McAfee GTI recherche dans la base de données les sites web hébergeant un fichier avec ce hachage, modifie les catégorisations et change la réputation du site web en « à haut risque ». Il analyse ensuite les adresses IP associées aux sites web, ajuste la réputation des connexions réseau et récupère le fichier malveillant auprès de l'équipe antimalware pour le traiter plus avant.
Un expéditeur inconnu envoie 3 un email avec, en pièce jointe, un fichier contenant le même hachage. McAfee Email Gateway interroge alors McAfee GTI, lequel confirme que le hachage est malveillant, et bloque l'email.
#= www = 192.168...
www...
1 Les clients McAfee VirusScan Enterprise interrogent le système dématérialisé McAfee GTI à propos du hachage. McAfee GTI établit qu'il s'agit d'un logiciel malveillant.
#
2Les clients VirusScan reçoivent l McAfee GTI et bloquent le fichier.
SaaS
5
Qu'il s'agisse de bloquer un logiciel malveillant au niveau du client, un email ou l'accès au web au niveau de la passerelle, les communications réseau au niveau du parefeu ou une combinaison de ces éléments, nos produits exploitent le réseau GTI pour tous les vecteurs de menaces afin d'offrir la meilleure protection.
Figure 5. Quel que soit le vecteur de propagation de menaces, les produits McAfee peuvent interroger notre système de renseignement dématérialisé et empêcher de nouvelles menaces d'aboutir.
Conclusion L'histoire finit bien. Nous avons appris que www.multimedia***.com et les 159 autres domaines suspects constituaient une tentative d'attaque par phishing de grande envergure basée sur Zeus, une application bien connue de création de chevaux de Troie dérobeurs de mots de passe. Les domaines malveillants étaient en fait des sites de phishing visant à dérober des informations d'identification. Nous avons passé au crible les nombreuses entités en rapport avec ces domaines : adresses IP hébergeant les domaines, e-mails contenant des liens intégrés vers des URL situées sur ces domaines, logiciels malveillants hébergés sur les domaines, etc. Nous avons analysé ces entités et, le cas échéant, leur avons attribué un score « à haut risque » dans nos systèmes afin que les produits McAfee déployés localement dans les environnements privés et d'entreprise puissent protéger ceux-ci contre les menaces, quel que soit leur mode de diffusion.
La nature du paysage actuel de la cybersécurité exige des défenses à la fois intelligentes et sophistiquées avec, entre autres composants essentiels, un système de réputation robuste. Si la notion de sécurité basée sur la réputation ne date pas d'hier, nous sommes toutefois confrontés aujourd'hui à une augmentation rapide du nombre de menaces, tels les virus à diffusion rapide et les « casses » d'adresses IP extrêmement ciblés et difficiles à détecter. Relever ce défi requiert un cadre de sécurité systématique et objectif, à même de saisir et de calculer l'état d'un ensemble extrêmement dynamique d'entités. La connaissance de l'état d'une entité avec un degré élevé de certitude — par la mise en corrélation d'un ensemble fiable de données télémétriques — constitue la clé de voûte d'une protection complète.
9
Livre blanc
Laréputation,pierreangulaired'uneprotectionefficacecontre les menaces
Bâtir une réputation
Grâce à ses systèmes de réputation dématérialisés, McAfee calcule la réputation des entités électroniques par le biais de divers moyens, décrits ci-dessous. Ces réputations sont ensuite recoupées avec les stratégies de nos produits pour permettre aux professionnels de la sécurité de prendre les décisions appropriées sur la base des profils de risque et des besoins de l'entreprise.
Réputation des fichiers.Le système dématérialisé de McAfee reçoit chaque jour près de 50 millions de requêtes (basées sur le hachage) concernant la réputation des fichiers et communique un score reflétant la probabilité que le fichier en question soit un logiciel malveillant. Ce score repose non seulement sur les renseignements collectifs recueillis par les sondes qui interrogent le « nuage » McAfee et les analyses ™ réalisées par les chercheurs et les outils automatisés de McAfee Labs , mais également sur la mise en corrélation de renseignements de divers vecteurs provenant de données sur les menaces visant le Web, la messagerie électronique et le réseau. Le moteur antimalware McAfee déployé localement — au travers d'une solution antimalware pour poste client, d'une passerelle ou de toute autre solution — utilise ensuite ce score pour déterminer les mesures à prendre (blocage, mise en quarantaine, autorisation, etc.) sur la base de la stratégie locale.
Réputation des sites web.Le système dématérialisé de McAfee reçoit chaque jour plus de 2,5 milliards de requêtes sur la réputation de sites web et transmet un score reflétant la probabilité que l'URL, le domaine ou le serveur DNS en question soit malveillant (site de phishing, infecté par un logiciel malveillant, etc.). Ce score repose non seulement sur les renseignements collectifs recueillis par les sondes qui interrogent le « nuage » McAfee et les analyses réalisées par les chercheurs et les outils automatisés de McAfee Labs, mais également sur la mise en corrélation de renseignements de divers vecteurs provenant de données sur les menaces visant les fichiers, la messagerie électronique et le réseau. Le produit McAfee local (McAfee Web Gateway, par exemple) utilise alors le score en combinaison avec son moteur local pour déterminer les mesures à prendre sur la base de la stratégie locale. McAfee calcule des réputations pour les URL, mais également pour les domaines, les adresses IP qui leur sont associées et les serveurs DNS.
Réputation des messages.McAfee reçoit chaque jour des millions de requêtes relatives à des e-mails. Nous prenons une empreinte du contenu de chaque message (et non le contenu lui-même, pour des raisons de confidentialité) et l'analysons en fonction de toute une série de dimensions. La réputation des messages est combinée à des facteurs tels que les modèles d'envoi de spam et le comportement IP pour déterminer la probabilité que le message en question soit malveillant (spam, logiciel malveillant, etc.). Il repose non seulement sur les renseignements collectifs recueillis par les sondes qui interrogent le « nuage » McAfee et les analyses réalisées par les chercheurs et les outils automatisés de McAfee Labs, mais également sur la mise en corrélation de renseignements de divers vecteurs provenant de données sur les menaces visant les fichiers, le Web et le réseau. Le produit McAfee local — une passerelle de messagerie électronique, par exemple — utilise ensuite le score pour déterminer les mesures à prendre sur la base de la stratégie locale.
Réputation des connexions réseau.McAfee collecte des informations provenant de milliards d'adresses IP et de ports réseau, offrant ainsi des centaines de trillions de vues uniques, et calcule un score de réputation sur la base de données concernant le trafic réseau, notamment le port, la destination, le protocole et les demandes de connexion entrante et sortante. Le score ainsi obtenu reflète la probabilité qu'une connexion réseau présente une menace (en cas d'association à une commande de réseau de robots, par exemple). Il repose non seulement sur les renseignements collectifs recueillis par les sondes qui interrogent le « nuage » McAfee et les analyses réalisées par les chercheurs et les outils automatisés de McAfee Labs, mais également sur la mise en corrélation de renseignements de divers vecteurs provenant de données sur les menaces visant les fichiers, le Web et le réseau. Le produit McAfee local — un pare-feu ou un système de prévention des intrusions — utilise ensuite le score pour déterminer les mesures à prendre sur la base de la stratégie locale.
10
McAfee S.A.S. Tour Franklin, La Défense 8 92042 Paris La Défense Cedex France +33 1 47 62 56 00 (standard) www.mcafee.com/fr
Livre blanc
Laréputation,pierreangulaired'uneprotectionefficacecontre les menaces
L'auteur Jamie Barnett est Directrice du marketing produits pour McAfee Global Threat Intelligence. Avant de rejoindre l'équipe McAfee, elle a tout d'abord été la cofondatrice de l'initiative de sécurité d'EMC, menant l'offensive qui a conduit à l'acquisition de RSA Security par la société de gestion de données, puis a occupé le poste de Vice-Présidente de la gestion des produits et du marketing chez l'éditeur de logiciels Blue Vector. Stratégiste de l'ombre et technologue en devenir, Jamie Barnett prétend ne pas appartenir au monde du marketing. Lorsqu'elle ne rédige pas de livres blancs, elle regarde les rediffusions de Monty Python's Flying Circus, qu'elle connaît par cœur.
™ A propos de McAfee Labs McAfee Labs est l'équipe de recherche mondiale de McAfee, Inc. Seul organisme de recherche spécialisé dans tous les vecteurs de menaces (logiciels malveillants, vulnérabilités, menaces visant les environnements web, la messagerie électronique et les réseaux), McAfee Labs collecte des renseignements provenant de ses millions de ® ™ ™ sondes et de ses technologies de réputation dématérialisées telles que McAfee Artemis et TrustedSource . L'équipe de 350 chercheurs pluridisciplinaires de McAfee Labs, présents dans 30 pays, suit l'éventail complet des menaces en temps réel, identifiant les vulnérabilités des applications, analysant et mettant en corrélation les risques et permettant des corrections instantanées pour protéger les entreprises et les particuliers.
A propos de McAfee, Inc. Basé à Santa Clara en Californie, McAfee, Inc. est la plus grande entreprise au monde entièrement vouée à la sécurité informatique. McAfee consacre tous ses efforts à trouver des réponses aux plus grands défis de sécurité de notre époque. A cette fin, notre société fournit des solutions et des services proactifs réputés assurant la sécurisation des systèmes et des réseaux dans le monde entier. Les utilisateurs peuvent ainsi se connecter à Internet, surfer et faire des achats en ligne en toute sécurité. Avec le soutien d'une équipe de recherche saluée par de nombreux prix, McAfee crée des produits innovants à l'intention des particuliers, des entreprises, du secteur public et des fournisseurs de services, pour les aider à se conformer aux réglementations, à protéger leurs données, à prévenir les perturbations dans le flux des activités, à identifier les vulnérabilités ainsi qu'à surveiller et à améliorer en continu leurs défenses.www.mcafee.com/fr.