Accueil Poste de travail Réponse face aux cybermenaces évoluées, Cryptolocker et autres APT : Le poste...

Réponse face aux cybermenaces évoluées, Cryptolocker et autres APT : Le poste client contre-attaque

Benoit Grunemwald

Une tribune de Benoit Grunemwald , directeur Commercial et Marketing, ESET, Athéna Global Services.

 

L’évolution de la complexité des menaces ne permet plus au simple antivirus de protéger une machine : poste de travail, tablette ou serveur.

Si l’arrivée d’une menace est découpée en plusieurs étapes, le facteur temps tourne à son avantage : inactive dans l’attente de sa charge ou d’ordre d’opérations, puis opérationnelle. Ce comportement est l’apanage de nombreux Botnets. Pour le pirate possédant déjà un point d’accès sur sa cible, il lui est plus aisé de faire pénétrer la charge sans éveiller la suspicion des mécanismes de détection.

Afin de contrer les attaques évoluées « de type APT », il convient que les différents modules de détections communiquent et inter-agissent. Filtre HTTP, analyse des fichiers, analyse de la mémoire vive, etc. doivent impérativement échanger entre eux afin d’actionner des contre-mesures efficaces et coordonnées. Ceci revient à appliquer une résistance à l’attaque. Dans ce contexte, la rispote ne peut plus être simplement de type : “effacement de fichier”.

Une réponse multiple

La menace étant ancrée dans le système à différents endroits, la protection de celui-ci doit être multiple : Protection du système de fichier, blocage de l’accès à la base de registre, filtrage des communications vers les serveurs C&C… Les différents modules de détection ESET échangent et ordonnent avec les outils de protection afin de détecter puis bloquer efficacement toutes les formes de cyber-menaces. Ces intrusions s’infiltrent au cœur des machines, plus seulement sous forme d’exécutables ou scripts VB, mais dans les entrailles du système d’exploitation. Les ressources nécessaires pour descendre aussi bas dans le système peuvent être importantes. Le seul moyen d’être économe réside dans l’optimisation des différents outils de détection. ESET est le seul éditeur à proposer une technologie principalement développée en assembleur et en langage C, idéal pour économiser les ressources CPU et la mémoire.

Cette approche permet de descendre vers les couches les plus basses des OS sans en affecter les performances. La combinaison “intégration système poussée” et légèreté est le défi relevé par ESET depuis de nombreuses années. Un défi largement couronné par les utilisateurs qui ont fait d’ESET le 5ème éditeur mondial (cf. Gartner 2015).