|
Les Techniques d'Évasion Avancées, nouvelles menaces |
par Laurent Boute, CISSP, Expert avant-vente de Stonesoft
Les Techniques d'Évasion Avancées (AET) constituent un nouveau défi pour les systèmes de sécurité réseau. Contrairement aux moyens de contournement connus, les AET combinent et modifient des méthodes afin de déguiser une attaque ou un code malveillant. Ainsi elles infiltrent un réseau sans être détectées par les systèmes de sécurité en place. Le risque particulier associé aux AET est le nombre presque illimité d'options de combinaison qui peuvent s’effectuer.
Les estimations actuelles atteignent 2250 variantes d’AET, qui vont servir aux pirates informatiques pour déguiser une attaque. Des mécanismes de protection courants (système de prévention d'intrusion ou pare-feu) ne gèrent pas ces techniques. Il n’existe aucune protection complète contre les AET, néanmoins il est possible de sécuriser des réseaux par des méthodes de prévention.
Pour contourner un système protégé les cyber-pirates déguisent ou modifient des logiciels malveillants et les dirigent, inaperçus, vers des réseaux. Dans le cas de contournements simples et des AET, le protocole TCP/IP, utilisé sur Internet et une majorité de réseaux informatiques, joue un rôle central. Il refait appel à la norme IP RFC 791 et définit un mode de réception ouvert tandis que le mode envoi reste conventionnel. En général seuls des paquets de données sans erreur peuvent être envoyés, et le système accepte tous les paquets de données entrants qui peuvent être interprétés en bout de chaîne. Des paquets de données entrants peuvent disposer de formats différents, mais ils sont toujours interprétés de la même manière. Cette approche ouverte, basée sur la notion que l'interaction entre des systèmes différents doit être aussi fiable que possible, ouvre la porte aux attaques et/ou les techniques déployées pour les déguiser.
Les différents systèmes d'exploitation et applications ne se comportent pas de la même manière en recevant des paquets de données, et il peut arriver qu’un IPS ne détecte pas le contexte original du paquet et par conséquent, interprète le flux de données différemment de l'hôte cible. On parle dans ce cas de « désynchronisation de statut ». C'est le point de départ pour des techniques de contournement, qui utilisent ce contexte pour créer les paquets de données qui apparaissent normaux et sécurisés. Ces paquets ne sont identifiés comme des attaques que quand ils sont interprétés par le système final, c’est-à-dire, quand le code malveillant est déjà installé dans le réseau.
Quel risque particulier associe-t-on aux AET ?
Jusque très récemment, on connaissait quelques techniques de contournement, qui étaient correctement gérés par les solutions de sécurité. Mais depuis la découverte de techniques avancées, il est évident que davantage de techniques peuvent être utilisées pour contourner des systèmes IPS. Les AET exploitent des vulnérabilités dans des protocoles et les faibles barrières de sécurité de la communication réseau. Tout comme les méthodes conventionnelles, elles commencent par "le statut désynchronisé" décrit plus haut. Or les AET font preuve de plus de finesse encore. Elles varient constamment, combinent les techniques de déguisement et visent différentes couches du réseau.
Les nouveaux champs d'attaque
Les tests de départ ont identifié la possibilité d'attaques AET au niveau de l’IP, du transport (TCP, UDP) et des protocoles de couche applicatives (SMB et RPC). Le phénomène a donc été identifié comme une menace interne. Des AET intervenant au niveau d’autres protocoles, comme IPV4, IPv6, TCP et HTTP, ont aussi fait surface en automne 2011. Si les AET visent la couche de protocole HTTP (le Port 80 et donc l’Internet), elles peuvent aussi tromper les pare-feux et faire passer des logiciels malveillants dans le réseau via le trafic web. Cela signifie que les cyber-pirates peuvent utiliser les AET pour atteindre les environnements cloud tout comme des applications et données web. Le protocole IPV6 offre aux AET de nouvelles façons de déguiser des attaques protocolaires ou agissantes au niveau du transport. En raison de la compatibilité exigée avec IPV4, les systèmes doivent faire preuve d’une plus grande tolérance lors de l’interprétation de paquets de données entrants. Cela augmente la dérive pour les AET lorsqu’il s’agit de déguiser des codes malveillants. Un facteur aggravant est notre manque d'expérience et de recul par rapport à l’IPv6.
A ce jour Stonesoft a identifié plus de 300 AET différents. On peut estimer les combinaisons potentielles aujourd’hui à 2250. Voici donc le défi auquel les systèmes de sécurité sont confrontés à présent. La protection fiable contre des attaques réseau déguisées par le biais des AET implique que les IPS doivent connaître et intégrer toutes les variantes AET utilisables par un système cible pour rassembler des fragments de données.
Comment se protéger contre les AET ?
Les dispositifs d’inspection de flux fonctionnent avec des analyses de protocole et détections de signature. Cela signifie qu'un système IPS doit déjà être familier avec un modèle d'attaque pour pouvoir l’éviter. Vu le nombre potentiel des AET la tâche est très difficile. Il est vrai que les méthodes de détection correspondantes sont généralement ajoutées aux dispositifs quelques jours après la découverte de nouvelles menaces. En outre, il existe des fonctions analytiques qui détectent et bloquent des codes malveillants comparables à ceux qui sont déjà connus. Or, il suffit parfois d’un changement minimal dans le nombre d'octets pour que la variante AET ne ressemble à aucune des attaques répertoriées dans le système IPS. En conséquence, le système de sécurité ne reconnaît pas le code malveillant crypté avec l’AET et le laisse entrer dans le réseau sans blocage. L'attaquant peut alors librement se déplacer dans le système pour chercher une zone de faiblesse ou un serveur non-patché.
Les IPS doivent donc être à même de gérer plus d’éléments que les simples caractéristiques des codes-menaces pour décerner les attaques AET. Les applications de sécurité qui comparent des signatures d'attaque reçues par l'hôte cible avec des signatures déjà connues ne peuvent pas prendre en compte chaque paquet du trafic réseau. Il ne suffit pas de trier tous les paquets dans l'ordre et rassembler tous les fragments. C'est pourquoi les fonctions d'IPS classiques généralement utilisées pour protéger contre des exploits (comme la prise des empreintes digitales ou la détection à base de signature) ne protègent pas contre les AET.
La Normalisation
Des options complémentaires sont nécessaires pour inspecter le flux de données, tels que des paquets de données non reçus en bout de système ou les protocoles qui peuvent être décryptés différemment. Ces contrôles supplémentaires peuvent être mis en œuvre avec un mécanisme appelé la normalisation. Les instruments de sécurité qui sont capables de mettre en œuvre des processus complets de normalisation interprètent des paquets de données et les rassemblent comme le système final. Ils prennent en compte toutes les couches pertinentes pour chaque connexion. Le risque que les paquets de données ne se comportant pas selon les règles RFC 791 puissent contourner des systèmes de sécurité sans détection est réduit.
Les réseaux devraient aussi être protégés avec des systèmes de sécurité flexibles à base de logiciel. Ils n'offrent pas la protection 100 % garantie contre les AET mais peuvent être ajustés aux modèles d'attaque changeant plus facilement et rapidement que des solutions matérielles. Contrairement aux solutions matérielles, les solutions logicielles tiennent compte de la mise en œuvre immédiate des patches de sécurité et des mises à jour. La gestion centralisée est également un atout pour le traitement efficace des AET.
Quel est l’objectif des AET ?
On ne peut pas mesurer avec exactitude l’utilisation actuelle des AET. Ne laissant pas de trace, ces attaques sont découvertes quand elles sont déjà entrées dans le réseau. Mais alors il n'est plus possible de dire quelle technique a été utilisée pour permettre au code malveillant de contourner les systèmes de sécurité. Des recherches actuelles indiquent que certaines AET sont relativement faciles à manipuler, et on peut supposer que les pirates informatiques les utilisent déjà. D'autres sont très complexes et leurs utilisations exigent des ressources financières considérables ainsi que le savoir-faire technique. De telles ressources et savoir-faire sont du ressort des cybercriminels organisés agissant selon des intérêts économiques ou politiques. En conclusion, les attaques déguisées par les AET constituent une menace pour les données sensibles de grandes sociétés, des agences gouvernementales ou des banques.
|
|
Best Practices Sélection | Une nouvelle sélection de livres blancs pour les DSI
Best Practices Sélection
N° 19 - avril 2013
- Cloud computing
- Stockage - Big Data
- Relation client
- Décisionnel - Apple
- Périphériques
- Application Portfolio Management
- Architecture d'entreprise
Découvrir ces livres blancs |
Les salaires dans les DSI | Les métiers des systèmes d’information et du marketing digital
Les fonctions dans le monde des systèmes d’information et du digital évoluent si vite qu’il nous a semblé important de produire un « instantané » à travers cette étude présentant à la fois les fonctions structurantes de la DSI et des nouvelles fonctions du digital qui ont commencé à s’installer dans les entreprises.
Découvrir cette étude |
Best Practices Revues et Corrigées | Quatriéme édition - 2013
Gouvernance, budget, schéma directeur, contrôle de gestion, référentiels, benchmarking… Tous ces thèmes clés qui rythment la vie quotidienne des DSI sont associés à des certitudes, des analyses, des opinions qui se sont, avec le temps, ancrées dans les esprits. Mais, très souvent, les DSI manquent de recul. C’est normal dans la mesure ...
En savoir plus |
Etes-vous bien payé ? | Observatoire des métiers - Secteur financier
Pour endiguer la fuite des talents et optimiser son capital humain, les Directions Générales du secteur financier doivent inciter leurs DSI à développer la mobilité des compétences informatiques vers les métiers de la banque.
Découvrir cette étude |
Comment ne pas rater ses ventes | Boîte à outils du commercial IT
Cette étude est écrite par un DSI pour éclairer les fournisseurs, et plus particulièrement les vendeurs, sur le positionnement de la direction des systèmes d’information dans l’entreprise ou l’administration, et leur suggérer une approche et un comportement favorables à la vente de leurs produits ou prestations. Il n’a pas pour ambition d’enseigner des techniques de vente.
Découvrir cette étude |
Synthèses d'études GartnerSix compétences nécessaires pour
gérer les actifs informatiques
D’après Gartner, l'évolution du rôle de la gestion des actifs informatiques (ITAM) implique de nouvelles compétences dans les fonctions financières, commerciales et juridiques. Lire la suite
Expérience client : une des dix
priorités des DSI pour 2012
Les DSI repensent les stratégies et la technologie de gestion de la relation client, selon une étude Gartner. Gartner a publié son enquête annuelle (Gartner CEO Survey 2012) conduite auprès de plus de 2 335 DSI qui représentent plus de 321 milliards de dollars en dépenses informatiques, et a identifié les dix priorités des DSI pour 2011. Lire la suite
Motivations des prospects... | ...à la participation des événements
Extrait de l'étude numéro 7 " Sources d'information des DSI ".
Quelles sont les motivations des DSI pour participer aux événements organisés par les fournisseurs
Découvrir cet ouvrage |
|
