L’antivirus qui trompe les pirates
Selon Bahat, les études comparatives d’antivirus montrant une efficacité de 100% sont tous des mensonges, les tests sont effectués dans un environnement de laboratoire, avec toutes les fonctionnalités activées. Mais les faux positifs sont trop élevés lorsque toutes les fonctionnalités sont activées etpersonne ne les utilise toutes.
« J’ai un problème de base avec l’idée de détection; je regarde un code et je décide si c’est bon ou pas, peu importe la qualité de la détection, c’est une tâche impossible. Avec les techniques qu’ils utilisent, les pirates sont devenus des experts en cache-cache. Nous nous mentons à nous-mêmes en prétendant que si nous ne pouvons pas voir les attaquants, ils ne sont pas là « .
Bahat a repris le ver WannaCry comme exemple d’attaques sensibles à l’environnement, notant que le ver avait d’abord été isolé avec précaution dans un bac à sable par la plupart des antivirus, mais qu’il avait été libéré après quelques jours car il restait inactif de part sons système à retardement. En réponse aux pirates informatiques, Bahat propose des scénarios de défense innovants, basés principalement sur l’isolation renforcée des réseaux et la tromperie des pirates informatiques.
« Nous voulons garder les choses malveillantes aussi contenues et aussi loin que possible, nous devons supposer que tout est mauvais.Vous devez fermer tout accès direct à vos actifs », a déclaré Bahat, en proposant ce qu’il appelle » désarmement de contenu & reconstruction » comme solution. « Vous enlevez tout ce qui est important, démontez-le et reconstruisez-le entièrement avec un code dont la sécurité est connue ».
Pour l’isolation de navigation Web, Bahat suggère que toutes les informations soient traitées via le proxy qui envoie seulement un flux vidéo HTML5 interactif en temps réel au lieu des vraies pages. Les utilisateurs ne connaissent même pas la différence, mais cela garde les points d’extrémité isolés. Ensuite, une fois la session terminée, tout le contenu ainsi que le navigateur virtuel sont détruits.
La déception est le favori de tous les temps de Bahat. « D’abord nous mettons de la confusion sur l’attaquant, nous créont un faux de l’environnement avec la simulation, tout commence par un point de terminaison. Comme les logiciels malveillants évasifs utilisent la conscience de l’environnement pour détecter quels antivirus sont là, s’ils sont en sandbox ou pas, quels sont les outils d’analyse? pourquoi ne pas mettre des débogueurs, des bacs à sable, des machines virtuelles sur tous les points d’extrémité? Pourquoi ne pas simuler un millier de chiens de garde?
L’idée est que si tous les antivirus semblent être présents sur la machine, avec des sandbox en fonctionnement, le malware choisira de ne rien faire et de geler. « Nous n’essayons pas de détecter le malware, nous l’arrêtons », précise Bahat.
« Maintenant, le but du malware est de passer à d’autres points de terminaison, nous voulons donc donner aux hackers un millier de faux serveurs, donc ils n’ont aucun moyen de savoir où aller. C’est tout de la simulation, nous donnons juste l’impression qu’ils sont réels et s’ils choisissent un serveur, ils déclencheront une alerte. Nous voulons être en mesure de suivre leurs mouvements, de mettre en place des pièges crédibles ou des pots de miel », a poursuivi M. Bahat.
« Mais nous avons besoin de leurres crédibles: nous pouvons déployer de faux terminaux, de fausses machines PLC dans un environnement industriel ou de faux fichiers sur des serveurs ». Selon Bahat, la déception était la plus grande tendance parmi les innovations de l’année dernière. Ensuite, une fois l’attaque identifiée, le logiciel malveillant peut être supprimé.
Securitude Cyber Solutions propose ses services aux entreprises internationales, en identifiant leurs besoins et en proposant les solutions les plus adaptées. Sur son stand, le partenaire Minerva-lab fournit la plate-forme d’évasion anti-malware pour les points de terminaison pour tromper les menaces dans leur état dormant. Cymmetria, partenaire du stand, annonce sa plate-forme de création de leurres baptisée MazeRunner, permettant aux entreprises de placer une pléthore d’éléments de tromperie dans le chemin critique des hackers tout en créant un environnement réaliste pour détecter et mettre en quarantaine les attaquants. .
« Comme nous créons des points de terminaison, des serveurs et des serveurs Web factices, tous avec de fausses informations d’identification, les seules personnes qui vont utiliser ces informations d’identification seront des attaquants », nous a dit Peter Glock, Directeur Europe de Cymmetria. Il devient donc facile pour le faux environnement de consigner tous les mouvements, outils et tactiques de l’attaquant dans le réseau de déception, donnant un aperçu des nouvelles stratégies de piratage tout en les contenant.
Les compagnies antivirus traditionnelles ont déjà embarqué sur le train de la tromperie, comme Symantec l’a illustré lors d’une brillante démonstration technique où presque toutes ces nouvelles astuces étaient en place.
.
La prochaine directive de l’Union européenne sur la sécurité des réseaux et de l’information rendra obligatoire en 2018 pour l’ensemble des opérateurs de services essentiels (fournisseurs de services publics en réseau et services publics) ainsi que les fournisseurs de services numériques de mettre en place des technologies de pointe en cybersécurité pour gérer les les risques de sécurité de leurs réseaux et systèmes. Cela signifie que les équipes d’intervention en cas d’incident de sécurité devront être formées et être en mesure de le prouver. C’est ainsi que CyberTest Systems affirme que sa gamme Cyber devient un outil essentiel en tant que terrain de formation à la gestion de crise.
Le PDG de CyberTest Systems, Arnaud Kopp, décrit Cyber Range comme une infrastructure déployée pour imiter la véritable infrastructure d’une entreprise. Comme un laboratoire de test, où les équipes de sécurité peuvent être mises à l’épreuve avec des cyber-attaques confinées à la Cyber Range plutôt que livrées dans la nature et mettant en danger d’autres utilisateurs. En plus de fournir des terrains sûrs pour la formation, l’entreprise peut inviter d’autres parties telles que Yes We Hack à contribuer avec de multiples scénarios d’attaque. Une Cyber Range de base coûte environ 100.000 Euros, a révélé le PDG, ajoutant que le coût augmentait avec la complexité de l’infrastructure à répliquer.
Forum International de la Cybersécurité – www.forum-fic.com
La rédaction vous conseille aussi:
Quand l’IA s’aventure dans le labyrinthe de la cyber-sécurité
Meltdown et Spectre, les processeurs Intel pas seuls en cause
Intel a l’antidote pour Meltdown et Spectre
Related articles in English:
Intel produces white paper, benchmark on Meltdown, Spectre
Liverpool cyber-attack sparks debate
Research claims cyber-attack vulnerability to rise after UK quits EU
UK issues security guidelines for driverless car designers