La réputation, pierre angulaire d une protection efficace ...

11 pages

Français

La réputation, pierre angulaire d'une protection efficace ...

Tamir

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

11 pages

Français

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

A propos
Informations
Extrait

Description

Livre blanc
La réputation, pierre angulaire d'une
protection efficace contre les menaces
Par Jamie BarnettLivre blanc La réputation, pierre angulaire d'une protection ef ficace
contre les menaces
Sommaire
Synthèse 3
Contexte 3
Identification des comportements à risque 4
Dynamique des menaces 5
L'importance de la « zone grise » 6
Renforcement de la fiabilité 7
Le pouvoir de la réputation 8
McAfee Global Threat Intelligence à l'œuvre 9
Conclusion 9
L'auteur 11
™A propos de McAfee Labs 11
A propos de McAfee, Inc. 11Livre blanc La réputation, pierre angulaire d'une protection ef ficace
contre les menaces
Synthèse
De la médecine (pour la pose de diagnostic) aux mathématiques (par ex. pour l'évaluation d'instruments financiers),
nombreuses sont les disciplines faisant traditionnellement appel aux systèmes de réputation pour l'évaluation de
situations et la prise de décisions. Depuis l'éclosion des communautés en ligne et du commerce électronique, les
fournisseurs et les consommateurs de biens, de services et d'informations via le Web recherchent des solutions leur
permettant d'évaluer la réputation des tiers prenant part aux transactions. Aujourd'hui plus que jamais, les outils de
Les services de réputation identifient calcul de la réputation jouent un rôle déterminant pour la cybersécurité. En effet, un nombre croissant d'utilisateurs
la source d'une menace et en
accèdent à un éventail de plus en plus large d'outils en ligne par le biais de périphériques de plus ...

Sujets

Oakland-Alameda County Coliseum

D'une ombre à l'autre

Renseignement d'origine électromagnétique en France

Pyramides de Gizeh et constellation d'Orion

Livre blanc sur la Défense et la Sécurité nationale 2008 (France)

Sécurité passive

Informations

Publié par	Tamir
Nombre de lectures	84
Langue	Français

Extrait

Livre blanc

La réputation, pierre angulaire d'une protection efﬁcace contre les menaces Par Jamie Barnett

Livre blanc

Sommaire Synthèse

Contexte

Laréputation,pierreangulaired'uneprotectionefﬁcacecontre les menaces

Identiﬁcation des comportements à risque

Dynamique des menaces

L'importance de la « zone grise »

Renforcement de la ﬁabilité

Le pouvoir de la réputation

McAfee Global Threat Intelligence à l'œuvre

Conclusion

L'auteur

™ A propos de McAfee Labs

A propos de McAfee, Inc.

Les services de réputation identiﬁent la source d'une menace et en déterminent la légitimité. Votre entreprise entretient des relations commerciales avec des sociétés utilisant des adresses IP, des sites web ou des noms de messagerie spéciﬁques? Alors, il est essentiel de déterminer si ces sources de transactions et d'interactions sont dignes de conﬁance. Les systèmes de renseignement sur les menaces de grande envergure analysent les données de dizaines de millions de postes clients et de millions de serveurs.

— Chris Christiansen, IDC

Livre blanc

Laréputation,pierreangulaired'uneprotectionefﬁcacecontre les menaces

Synthèse De la médecine (pour la pose de diagnostic) aux mathématiques (par ex. pour l'évaluation d'instruments ﬁnanciers), nombreuses sont les disciplines faisant traditionnellement appel aux systèmes de réputation pour l'évaluation de situations et la prise de décisions. Depuis l'éclosion des communautés en ligne et du commerce électronique, les fournisseurs et les consommateurs de biens, de services et d'informations via le Web recherchent des solutions leur permettant d'évaluer la réputation des tiers prenant part aux transactions. Aujourd'hui plus que jamais, les outils de calcul de la réputation jouent un rôle déterminant pour la cybersécurité. En effet, un nombre croissant d'utilisateurs accèdent à un éventail de plus en plus large d'outils en ligne par le biais de périphériques de plus en plus variés pour interagir avec des collègues, des amis ou des inconnus sur des sites en ligne toujours plus nombreux. Face à ce ﬂot de transactions web critiques, personnelles ou professionnelles, qui n'autorisent aucune vériﬁcation tangible, la réputation apporte un certain degré d'assurance quant à l'identité et à l'intégrité des parties.

Ce livre blanc a pour but de présenter aux décideurs en matière de sécurité les caractéristiques d'un système de réputation électronique efﬁcace de sorte qu'ils puissent à leur tour appliquer ces connaissances à des stratégies de sécurisation à court et à long terme. Il aborde les sujets suivants :

La reconnaissance de la nature dynamique des menaces électroniques et la nécessité pour l'entreprise de • rendre compte à tout moment de l'état de sa réputation L'importance en matière de réputation de la notion de « zone grise », à mi-chemin entre un mal et un bien • absolus et, à l'opposé, le caractère plus statique des méthodologies de protection basées sur des listes de blocage et d'autorisation Les quatre facteurs garantissant la ﬁabilité du calcul de la réputation : le volume, la longévité et la ﬁabilité • des données et, surtout, la mise en corrélation d'un vaste ensemble de données

Depuis l'éclosion des communautés en ligne et du commerce électronique, les fournisseurs et les consommateurs de biens, de services et d'informations via le Web recherchent des solutions leur permettant d'évaluer la réputation des tiers prenant part aux transactions. Cette quête a donné naissance à divers modèles de « conﬁance » tiers, des plus légers tels les votes communautaires aux plus lourds, comme les autorités de certiﬁcation ou les programmes de labellisation. Ces modèles reposent, d'une façon ou d'une autre, sur la réputation. Dans le paysage actuel de la cybersécurité, le principal impératif pour les systèmes de réputation est sans doute d'identiﬁer et de prévenir les menaces en ligne telles que les intrusions réseau et les logiciels malveillants.

Contexte Le 30 avril à 9 h 56, un nouveau site web enregistré permettant aux utilisateurs de publier, de rechercher et de visualiser des vidéos amateurs, www.multimedia***.com, a été mis en ligne. Ce site, qui faisait partie d'un groupe de 160 nouveaux enregistrements de domaines, a été identiﬁé par le réseau de sondes et de ﬂux de données alimentant le réseau mondial de renseignement sur les menaces McAfee Global Threat Intelligence. En apparence anodins, bon nombre de ces domaines présentaient les signes extérieurs de sites de partage multimédia. A un détail près... qui nous a poussés à leur attribuer le score de réputation « à haut risque » dans notre système. Qu'est-ce qui nous a mis la puce à l'oreille ?

Wikipédia déﬁnit la réputation comme étant « l'opinion (plus techniquement, l'évaluation sociale) du public 1 envers une personne, un groupe, ou une organisation».McAfee s'intéresse depuis longtemps à la réputation des entités électroniques — des ﬁchiers aux sites web, en passant par les expéditeurs. Notre déﬁnition de la réputation s'est enrichie au ﬁl des ans et inclut d'autres critères.

Premièrement, les réputations ont un caractère dynamique et temporel. Ainsi, un site légitime peut être infecté du jour au lendemain par un logiciel malveillant (malware) et être nettoyé tout aussi vite. La réputation doit par conséquent être actualisée aussi souvent que le contenu. Deuxièmement, la réputation d'une entité est rarement « toute blanche » ou « toute noire ». Elle se situe plutôt quelque part dans l'immense « zone grise » entre ces deux extrêmes, offrant ainsi aux décideurs en matière de sécurité une réelle liberté quant à la convergence de la réputation et des stratégies. Enﬁn, la conﬁance est un élément déterminant dans le calcul de la réputation. Par conﬁance, nous entendons l'intervalle de conﬁance, ou la ﬁabilité de nos estimations. Plus les points de données et les critères d'évaluation pris en compte dans notre analyse sont nombreux, plus le calcul de la réputation a des chances d'être précis au moment en question. Quatre facteurs contribuent à renforcer la ﬁabilité : le volume, la longévité et la ﬁabilité des données, et la mise en corrélation d'un volume important de données.

1. « Réputation », Wikipédia.http://fr.wikipedia.org/wiki/Réputation

Livre blanc

Laréputation,pierreangulaired'uneprotectionefﬁcacecontre les menaces

McAfee calcule la réputation de centaines de millions d'entités électroniques — ﬁchiers, sites et domaines web, messages, serveurs DNS et connexions réseau — au moyen d'un système de scores de réputation hautement granulaire reposant sur quantité d'informations relatives au comportement et aux caractéristiques de l'entité, ainsi que sur notre propre expérience du comportement d'entités comparables. Entre autres entrées, nous nous appuyons sur les données télémétriques obtenues par le biais de milliards de requêtes lancées chaque jour par des dizaines de millions de produits McAfee (clients antimalwares, passerelles de l'environnement web et de la messagerie électronique, pare-feux, etc.) déployés aux quatre coins de la planète et qui servent de sondes pour notre moteur d'analyse dématérialisé. Par exemple, lors du calcul dynamique du score de réputation d'une connexion réseau, nous examinons des milliers d'attributs et de comportements, tels que la durée de vie de l'adresse IP, les ports et protocoles qu'elle utilise, l'activité du réseau par rapport à une ligne de base de comportements attendus, l'historique des attaques et les liens avec d'autres adresses IP connues.

Identiﬁcation des comportements à risque

5 000 %

4 000 %

3 000 %

2 000 %

1 000 %

0 %

Déviation par rapport au nombre moyen de messages

Déviation par rapport au nombre moyen de connexions

Figure 1. Le système de réputation de McAfee identiﬁe tout comportement potentiellement à risque d'une adresse IP, par exemple, et empêche de manière proactive les messages envoyés d'atteindre nos clients.

Dans la ﬁgure 1 ci-dessus, nos systèmes ont détecté un comportement anormal ayant débouché sur une attaque par déni de service distribué et adaptent la réputation de la connexion concernée de manière prédictive. La ligne bleue montre l'écart par rapport au nombre moyen de messages émanant de l'adresse IP. La hausse du nombre de messages (pic bleu) dans le premier tiers du graphique déclenche une modiﬁcation du score de réputation de la connexion (mesuré par les barres verticales), qui passe de l'état « non vériﬁé » (gris) à « à haut risque » (rouge). Au moment de l'attaque (reﬂétée par l'augmentation du nombre moyen de connexions de l'adresse IP (ligne jaune)), le nouveau score de réputation « à haut risque » indique aux produits McAfee de bloquer les messages aﬁn de protéger les clients.

La réputation est bien plus qu'un élément important d'un système de sécurité : elle est primordiale. Les menaces se déplacent de manière trop rapide ou furtive pour se ﬁer aux seules techniques traditionnelles, telles la protection basée sur des signatures et les listes de blocage. Les menaces visant à infecter un maximum d'ordinateurs se propagent très rapidement, ne laissant pas le temps nécessaire au développement ou au déploiement d'une signature. Quant aux listes de blocage, elles n'offrent pas toutes les nuances d'un score de réputation. Inversement, les menaces très ciblées ne cherchent pas à se propager rapidement mais plutôt à échapper à toute détection avec un impact minimal aﬁn d'atteindre un objectif très subtil et précis. Pour contrer ces deux extrêmes, ainsi que tout le spectre actuel des menaces, les professionnels de la sécurité et leurs fournisseurs sont conscients de la nécessité de disposer d'un système capable de calculer la réputation d'une entité en temps réel sur la base de renseignements collectifs la concernant, puis de prendre les mesures qui s'imposent en fonction de cette réputation.

Livre blanc

Laréputation,pierreangulaired'uneprotectionefﬁcacecontre les menaces

L'opération Aurora lancée contre Google et plus de 20 autres sociétés ﬁn 2009 et début 2010 était une attaque ciblée sur un groupe spéciﬁque d'individus. Les pirates ont utilisé des technologies sophistiquées et difﬁciles à détecter pour accéder aux machines de ces utilisateurs et, de là, aux précieuses données et à la propriété intellectuelle des entreprises. Malgré leur subtilité et leurs efforts pour éviter toute détection, des menaces telles qu'Aurora sont associées à un petit nombre d'entités — e-mails émanant d'adresses IP temporairement malveillantes pour pousser des utilisateurs peu méﬁants à visiter des sites web infectés par des logiciels malveillants, par exemple — dont la réputation peut changer en un clin d'œil. McAfee utilise les changements de réputation pour détecter et prévenir automatiquement toute activité malveillante et protéger ainsi les individus, les ressources et les informations indispensables.

Dynamique des menaces L'évolution rapide et constante de la nature des menaces électroniques exige un système de réputation qui tienne compte de ce dynamisme. A mesure que les systèmes et les chercheurs engrangent des informations sur une entité, celles-ci doivent être exploitées pour actualiser en permanence la réputation de cette entité. Prenons l'exemple d'un ordinateur légitime soudainement infecté par un cheval de Troie et enrôlé dans un réseau de robots visant à envoyer du spam. Rapidement, l'ordinateur est nettoyé et redevient sûr. La boucle est ainsi bouclée en quelques minutes, l'ordinateur passant d'un faible risque à un risque élevé pour ensuite revenir à son état initial. Un système de réputation efﬁcace doit être sufﬁsamment sensible pour reﬂéter l'état précis de l'ordinateur à chaque instant (voir ﬁgure 2).

Non classé

Infection

Malveillant

5 Ajustement de la réputation

Correction

Figure 2. Un système de réputation robuste doit pouvoir identiﬁer toute modiﬁcation, même passagère, des entités suivies.

Les requêtes et leurs réponses jouent un rôle déterminant dans l'établissement du score de réputation. Les systèmes de réputation robustes, forts de millions de produits déployés dans des environnements réels, s'appuient sur une boucle de réaction : les produits interrogent le système de réputation par le biais d'un déclencheur local et déterminent les mesures à prendre localement en fonction de la réponse du système. En outre, le volume et la fréquence des requêtes et des réponses peuvent aussi amener le système à modiﬁer le score de réputation d'une entité. Par exemple, si les passerelles de messagerie électronique déployées partout dans le monde soumettent brusquement de nombreuses requêtes concernant des messages envoyés par une nouvelle adresse IP mise en ligne, il est probable que la méﬁance du système de réputation à l'égard de celle-ci grandisse et que, soupçonnant un envoi de spam, il ajuste la réputation en conséquence. De la même manière, lorsqu'une entité infectée est nettoyée, le système de réputation doit reﬂéter ce nouvel état.

Un système de réputation qui s'intègre et s'adapte à chaque nouveau point de données présente un précieux avantage : les cybercriminels qui tentent de tester un logiciel malveillant ou procèdent à la répétition générale d'une attaque réseau risquent d'informer involontairement le système de leurs activités. Un système de réputation efﬁcace contraint les cybercriminels à poser un choix : soit ils testent leur produit dans le monde réel, au risque de se voir barrer la route durant la manœuvre, soit ils foncent tête baissée et lancent une attaque à l'aide d'un arsenal d'outils non testés. Quelle que soit leur décision, le système les place en position de faiblesse.

Livre blanc

Laréputation,pierreangulaired'uneprotectionefﬁcacecontre les menaces

Etant donné le large spectre que doit couvrir la cybersécurité, y compris les cas extrêmes tels que les menaces ultrarapides ou furtives, un système de réputation efﬁcace doit collecter les données de manière optimale, analyser rapidement de gros volumes de données et envoyer les résultats quasi instantanément aux ordinateurs répartis aux quatre coins du globe. Si les systèmes informatiques optimisés pour une, voire deux, de ces dimensions sont légion, rares sont ceux à pied d'œuvre sur les trois fronts.

L'importance de la « zone grise » Quel est le détail qui a éveillé nos soupçons concernant le site www.multimedia***.com et les autres domaines ? Le comportement de ces domaines par rapport à nos attentes. Ainsi, certains domaines de partage multimédia ne respectaient pas le modèle de traﬁc généralement utilisé par ce type de sites. Si certains agissaient normalement, d'autres se comportaient comme des domaines d'hébergement — un modèle souvent utilisé pour rediriger le traﬁc et dissimuler des adresses IP chargées d'envoyer du spam, pour héberger des logiciels malveillants exécutables et des instructions de commande destinées à des réseaux de robots ou encore pour obtenir des informations d'identiﬁcation par phishing. Nous avons également constaté que plusieurs domaines disparaissaient rapidement pour réapparaître ensuite avec une adresse IP différente. Cette pratique, connue sous le nom de « fast-ﬂux », est utilisée pour échapper à la détection. En outre, nous avons remarqué que bon nombre des comportements (changement d'adresse IP par plusieurs domaines, par exemple) survenaient simultanément, ce qui laissait entendre qu'une même entité détenait le contrôle. Au fur et à mesure de ces observations, nos systèmes ont revu la réputation des domaines à la baisse et leur ont attribué le score « à haut risque ».

Les systèmes de réputation se distinguent des technologies de listes de blocage et d'autorisation en ce sens que les premiers prennent en charge la « zone grise » entre le « bien » et le « mal », tandis que les dernières sont statiques et requièrent des mises à jour régulières par les administrateurs. Les réputations évoluent quant à elles à mesure que le système est informé d'un fait nouveau et sont donc fondamentalement ﬂuides. Surtout, le nombre élevé d'entités en ligne, combiné à leurs réputations dynamiques, fait qu'il est quasiment impossible de désigner une entité comme étant totalement « blanche » ou « noire ». Le temps de l'analyse d'un système, la situation a déjà changé. Dans la mesure où les systèmes de réputation aident les produits de sécurisation à prendre des décisions en une fraction de seconde, ils doivent pouvoir offrir en permanence les réponses les plus judicieuses. Dans un tel climat d'incertitude, l'absence de système de réputation signiﬁe que les entreprises bloquent un nombre forcément démesuré ou insufﬁsant de menaces. Un système de réputation robuste est à même de déﬁnir des réputations dynamiques avec moins de faux-positifs, par exemple, qu'une liste de blocage, garantissant ainsi aux administrateurs un degré de précision supérieur. La zone grise a donc une importance réelle, notamment en tant que point de convergence des scores de réputation dynamiques et des stratégies de l'entreprise (voir ﬁgure 3).

10^8

10^7

10^6

10^5

10^4

10^3

10^2

10^1

10^0

Nombre de connexions réseau par score de réputation

Figure 3. Ce graphique illustre la granularité du système de scores de réputation de McAfee. Vous pouvez y voir le tracé des connexions réseau que nous surveillons par rapport à chaque score de réputation le long d'un continuum (axe des x). L'axe des y, qui représente une échelle logarithmique, montre le nombre de connexions ayant un score de réputation donné à un moment précis. Les couleurs traduisent le niveau de risque des connexions : faible (vert), non vériﬁé (jaune), moyen (orange) ou rouge (élevé).

Livre blanc

Laréputation,pierreangulaired'uneprotectionefﬁcacecontre les menaces

Plusieurs facteurs déterminent si une entreprise doit prendre des mesures de sécurité, telles que bloquer un ﬁchier ou restreindre les communications réseau : le proﬁl de risque de l'entreprise, les exigences en matière de productivité, la tolérance aux faux-positifs, la valeur des actifs, les mesures de sécurité alternatives et une série d'autres éléments. Les systèmes de réputation offrent aux entreprises des scores systématiques et objectifs et permettent aux décideurs d'élaborer des stratégies basées sur les risques et les compromis propres à leur organisation. Leur infrastructure de sécurité peut ainsi prendre automatiquement des mesures en fonction des stratégies déﬁnies.

Renforcement de la ﬁabilité Dans la mesure où il existe une multitude de nuances de gris, il est primordial de renforcer la ﬁabilité de notre évaluation de la réputation d'une entité. Les professionnels de la sécurité et leurs entreprises s'appuient sur les scores de réputation pour prendre des décisions stratégiques dynamiques basées sur des probabilités connues. Il incombe donc au système de réputation de veiller à ce que ces scores présentent un maximum de ﬁabilité. Plus les dimensions prises en considération pour calculer un score sont nombreuses, plus la ﬁabilité augmente.

Le calcul du score présente de nombreuses analogies avec un diagnostic médical. Lorsqu'il examine un patient, le médecin suit une série d'étapes ayant pour but soit d'invalider une hypothèse, soit de la conﬁrmer toujours davantage. Il commence par exemple par interroger le patient sur le motif de sa visite et par prendre sa température. Ces deux actes peuvent déjà lui donner une indication sur l'origine du problème. Mais ce n'est qu'au moment où le praticien établit une corrélation entre ces informations et une nouvelle donnée (par ex. la pression artérielle) que son hypothèse se voit confortée. Pour atteindre un degré de certitude élevé, il devra peut-être examiner une dizaine de dimensions qui, prises individuellement, ne lui apprennent pas grand chose, mais qui, ainsi corrélées, lui apporteront l'intime conviction d'avoir posé le juste diagnostic. Poussons un peu plus loin l'analogie. Le médecin peut à présent adopter une approche prédictive. Imaginons qu'après avoir posé un diagnostic chez un premier patient, il découvre que les dix suivants présentent les mêmes symptômes. Il peut alors s'appuyer sur ce premier diagnostic pour établir les autres. A partir de là, le médecin et ses confrères pourront prendre des mesures pour enrayer la maladie là où elle risque de frapper ensuite.

De la même façon, les systèmes de réputation utilisés pour la cybersécurité s'appuient sur la mise en corrélation de données provenant d'un grand nombre de dimensions. Pour illustrer la ﬁabilité accrue d'une mise en corrélation multidimensionnelle, la ﬁgure 4 présente trois graphiques proposant côte à côte les tracés d'adresses IP malveillantes (en rouge) et légitimes (en vert) connues. Le premier graphique montre les adresses IP en fonction d'une dimension unique : le volume de messages. Cette représentation ne permet pas de distinguer clairement les bonnes adresses des mauvaises ni la démarcation entre les deux. L'ajout d'une deuxième dimension, la persistance des adresses IP (c.-à-d. leur existence continue), permet de mieux séparer les données et, ainsi, d'identiﬁer avec une plus grande certitude le groupe auquel appartient un point de donnée. Enﬁn, l'apport d'une troisième dimension, l'étendue de la base de destinataires d'une adresse IP, offre une vue bien plus nuancée des données. Les adresses IP apparaissent dans des clusters facilement identiﬁables qui rendent les prévisions beaucoup plus précises. Dans le cadre de nos analyses réelles, nous évaluons les données en fonction de plus d'un millier de dimensions aﬁn de renforcer la ﬁabilité des scores de réputation.

Réputation multidimensionnelle

Figure 4. L'ajout de dimensions aux scores de réputation renforce la ﬁabilité de ceux-ci.

Livre blanc

Laréputation,pierreangulaired'uneprotectionefﬁcacecontre les menaces

Réaliser une analyse puissante de la réputation à travers un grand nombre de dimensions n'est réalisable qu'à condition de pouvoir réunir sufﬁsamment de données pertinentes en provenance d'un large éventail de sources. Les données recueillies par les produits McAfee déployés dans le monde entier constituent les fondements de notre réseau dématérialisé de renseignements, lequel alimente notre système de réputation. En plus de servir de base à un système de réputation robuste, les données télémétriques permettent de renforcer la ﬁabilité de diverses façons :

• Volume de données.Si chaque requête reçue sert à son tour de point de donnée qui inﬂuence l'ensemble du système, le nombre accru de données se traduit par une ﬁabilité plus grande du score de réputation. Si l'on établit un parallèle avec l'ouverture d'un télescope, plus le volume de données (lumière) absorbé est important, plus l'utilisateur voit loin dans l'espace. Les systèmes de renseignement dématérialisés de McAfee reçoivent chaque jour des milliards de requêtes, ce qui nous permet de détecter rapidement toute activité des menaces et de les identiﬁer de manière plus précise. • Longévité des données.La collecte des données sur une longue période contribue à renforcer la maturité du système. Le système de réputation dispose en effet d'une ligne de base solide pour l'évaluation du comportement attendu des entités en fonction de leur comportement passé et de celui de leurs pairs, ce qui permet non seulement de détecter les anomalies dès qu'elles surgissent, mais également d'identiﬁer les attaques sur la base de schémas reconnus. • Fiabilité des données.La ﬁabilité des données constitue un élément essentiel des systèmes de réputation. Or le volume des données collectées et la méthodologie automatisée d'analyse des données ouvrent la voie à la pollution des résultats, en cas de collusion entre des utilisateurs, par exemple. Un système de réputation robuste doit donc disposer de mécanismes d'authentiﬁcation des données reçues et d'ajustement selon la crédibilité de la source. Des critères tels la localisation, la conﬁguration et le comportement passé d'une source de données peuvent inﬂuencer l'importance accordée à ces données dans le calcul global de la réputation. • Mise en corrélation des données.Le facteur le plus critique d'un système de réputation robuste est sa capacité à collecter et à mettre en corrélation des données télémétriques provenant d'une multitude de sources représentanttous les vecteurs de menaces. McAfee s'appuie sur l'ensemble de sa gamme de produits — notamment les logiciels antimalwares installés sur les postes clients, les passerelles web et de messagerie électronique et les pare-feux au niveau du périmètre ou encore les systèmes de prévention des intrusions — pour étudier toutes les facettes des menaces, qu'elles ciblent les ﬁchiers, le Web, le réseau ou les applications. Pouvoir mettre en corrélation des données offrant une vue à 360° sur une menace revient à disposer de toutes les pièces du contour d'un puzzle.

Le pouvoir de la réputation Le regroupement des données télémétriques fournies par l'ensemble des vecteurs nous aide à comprendre une menace et à calculer avec davantage de précision la réputation des entités ayant un lien avec cette menace. La ﬁgure 5 illustre l'une des utilisations faites par McAfee des données télémétriques recueillies auprès d'un vecteur de menaces pour identiﬁer la menace sur d'autres vecteurs et mettre à jour les systèmes de réputation en vue de protéger nos clients. Notre système de réputation reçoit des requêtes émanant de sondes réparties partout dans le monde et qui collectent des informations sur des malwares potentiels, des menaces véhiculées par le Web, des connexions réseau, des messages électroniques, etc. Dans cet exemple, notre technologie cliente antimalware nous transmet des requêtes d'analyse de la réputation d'un ﬁchier sur la base de son hachage, ou de son empreinte. Le nombre, la fréquence et la distribution géographique des requêtes nous permettent d'établir avec quasi-certitude le caractère malveillant de ce ﬁchier — sans même en disposer. Notre système de réputation renvoie un score qui pousse le logiciel client antimalware à bloquer le ﬁchier ou à le mettre en quarantaine. Dans le même temps, le propriétaire d'une adresse IP dont nous ignorions jusque-là l'existence tente d'envoyer à un utilisateur situé derrière l'une de nos passerelles de messagerie électronique un e-mail dont le ﬁchier joint présente le même hachage. La passerelle interroge notre système dématérialisé, apprend qu'il s'agit d'un logiciel malveillant et bloque le message. Le système analyse la base de données à la recherche de sites web hébergeant des ﬁchiers contenant le même hachage, puis transforme le score de réputation de ces sites et de leurs connexions réseau en « à haut risque » et récupère le logiciel malveillant en vue d'un traitement complémentaire. Comme nos clients antimalwares, nos passerelles web et de messagerie électronique et nos pare-feux interrogent tous notre système de réputation, la menace se retrouve ﬁnalement bloquée, quel que soit le vecteur utilisé.

Livre blanc

Laréputation,pierreangulaired'uneprotectionefﬁcacecontre les menaces

McAfee Global Threat Intelligence à l'œuvre

4McAfee GTI recherche dans la base de données les sites web hébergeant un ﬁchier avec ce hachage, modiﬁe les catégorisations et change la réputation du site web en « à haut risque ». Il analyse ensuite les adresses IP associées aux sites web, ajuste la réputation des connexions réseau et récupère le ﬁchier malveillant auprès de l'équipe antimalware pour le traiter plus avant.

Un expéditeur inconnu envoie 3 un email avec, en pièce jointe, un ﬁchier contenant le même hachage. McAfee Email Gateway interroge alors McAfee GTI, lequel conﬁrme que le hachage est malveillant, et bloque l'email.

#= www = 192.168...

www...

1 Les clients McAfee VirusScan Enterprise interrogent le système dématérialisé McAfee GTI à propos du hachage. McAfee GTI établit qu'il s'agit d'un logiciel malveillant.

2Les clients VirusScan reçoivent l McAfee GTI et bloquent le ﬁchier.

SaaS

Qu'il s'agisse de bloquer un logiciel malveillant au niveau du client, un email ou l'accès au web au niveau de la passerelle, les communications réseau au niveau du parefeu ou une combinaison de ces éléments, nos produits exploitent le réseau GTI pour tous les vecteurs de menaces aﬁn d'offrir la meilleure protection.

Figure 5. Quel que soit le vecteur de propagation de menaces, les produits McAfee peuvent interroger notre système de renseignement dématérialisé et empêcher de nouvelles menaces d'aboutir.

Conclusion L'histoire ﬁnit bien. Nous avons appris que www.multimedia***.com et les 159 autres domaines suspects constituaient une tentative d'attaque par phishing de grande envergure basée sur Zeus, une application bien connue de création de chevaux de Troie dérobeurs de mots de passe. Les domaines malveillants étaient en fait des sites de phishing visant à dérober des informations d'identiﬁcation. Nous avons passé au crible les nombreuses entités en rapport avec ces domaines : adresses IP hébergeant les domaines, e-mails contenant des liens intégrés vers des URL situées sur ces domaines, logiciels malveillants hébergés sur les domaines, etc. Nous avons analysé ces entités et, le cas échéant, leur avons attribué un score « à haut risque » dans nos systèmes aﬁn que les produits McAfee déployés localement dans les environnements privés et d'entreprise puissent protéger ceux-ci contre les menaces, quel que soit leur mode de diffusion.

La nature du paysage actuel de la cybersécurité exige des défenses à la fois intelligentes et sophistiquées avec, entre autres composants essentiels, un système de réputation robuste. Si la notion de sécurité basée sur la réputation ne date pas d'hier, nous sommes toutefois confrontés aujourd'hui à une augmentation rapide du nombre de menaces, tels les virus à diffusion rapide et les « casses » d'adresses IP extrêmement ciblés et difﬁciles à détecter. Relever ce déﬁ requiert un cadre de sécurité systématique et objectif, à même de saisir et de calculer l'état d'un ensemble extrêmement dynamique d'entités. La connaissance de l'état d'une entité avec un degré élevé de certitude — par la mise en corrélation d'un ensemble ﬁable de données télémétriques — constitue la clé de voûte d'une protection complète.

Livre blanc

Laréputation,pierreangulaired'uneprotectionefﬁcacecontre les menaces

Bâtir une réputation

Grâce à ses systèmes de réputation dématérialisés, McAfee calcule la réputation des entités électroniques par le biais de divers moyens, décrits ci-dessous. Ces réputations sont ensuite recoupées avec les stratégies de nos produits pour permettre aux professionnels de la sécurité de prendre les décisions appropriées sur la base des proﬁls de risque et des besoins de l'entreprise.

Réputation des ﬁchiers.Le système dématérialisé de McAfee reçoit chaque jour près de 50 millions de requêtes (basées sur le hachage) concernant la réputation des ﬁchiers et communique un score reﬂétant la probabilité que le ﬁchier en question soit un logiciel malveillant. Ce score repose non seulement sur les renseignements collectifs recueillis par les sondes qui interrogent le « nuage » McAfee et les analyses ™ réalisées par les chercheurs et les outils automatisés de McAfee Labs , mais également sur la mise en corrélation de renseignements de divers vecteurs provenant de données sur les menaces visant le Web, la messagerie électronique et le réseau. Le moteur antimalware McAfee déployé localement — au travers d'une solution antimalware pour poste client, d'une passerelle ou de toute autre solution — utilise ensuite ce score pour déterminer les mesures à prendre (blocage, mise en quarantaine, autorisation, etc.) sur la base de la stratégie locale.

Réputation des sites web.Le système dématérialisé de McAfee reçoit chaque jour plus de 2,5 milliards de requêtes sur la réputation de sites web et transmet un score reﬂétant la probabilité que l'URL, le domaine ou le serveur DNS en question soit malveillant (site de phishing, infecté par un logiciel malveillant, etc.). Ce score repose non seulement sur les renseignements collectifs recueillis par les sondes qui interrogent le « nuage » McAfee et les analyses réalisées par les chercheurs et les outils automatisés de McAfee Labs, mais également sur la mise en corrélation de renseignements de divers vecteurs provenant de données sur les menaces visant les ﬁchiers, la messagerie électronique et le réseau. Le produit McAfee local (McAfee Web Gateway, par exemple) utilise alors le score en combinaison avec son moteur local pour déterminer les mesures à prendre sur la base de la stratégie locale. McAfee calcule des réputations pour les URL, mais également pour les domaines, les adresses IP qui leur sont associées et les serveurs DNS.

Réputation des messages.McAfee reçoit chaque jour des millions de requêtes relatives à des e-mails. Nous prenons une empreinte du contenu de chaque message (et non le contenu lui-même, pour des raisons de conﬁdentialité) et l'analysons en fonction de toute une série de dimensions. La réputation des messages est combinée à des facteurs tels que les modèles d'envoi de spam et le comportement IP pour déterminer la probabilité que le message en question soit malveillant (spam, logiciel malveillant, etc.). Il repose non seulement sur les renseignements collectifs recueillis par les sondes qui interrogent le « nuage » McAfee et les analyses réalisées par les chercheurs et les outils automatisés de McAfee Labs, mais également sur la mise en corrélation de renseignements de divers vecteurs provenant de données sur les menaces visant les ﬁchiers, le Web et le réseau. Le produit McAfee local — une passerelle de messagerie électronique, par exemple — utilise ensuite le score pour déterminer les mesures à prendre sur la base de la stratégie locale.

Réputation des connexions réseau.McAfee collecte des informations provenant de milliards d'adresses IP et de ports réseau, offrant ainsi des centaines de trillions de vues uniques, et calcule un score de réputation sur la base de données concernant le traﬁc réseau, notamment le port, la destination, le protocole et les demandes de connexion entrante et sortante. Le score ainsi obtenu reﬂète la probabilité qu'une connexion réseau présente une menace (en cas d'association à une commande de réseau de robots, par exemple). Il repose non seulement sur les renseignements collectifs recueillis par les sondes qui interrogent le « nuage » McAfee et les analyses réalisées par les chercheurs et les outils automatisés de McAfee Labs, mais également sur la mise en corrélation de renseignements de divers vecteurs provenant de données sur les menaces visant les ﬁchiers, le Web et le réseau. Le produit McAfee local — un pare-feu ou un système de prévention des intrusions — utilise ensuite le score pour déterminer les mesures à prendre sur la base de la stratégie locale.

McAfee S.A.S. Tour Franklin, La Défense 8 92042 Paris La Défense Cedex France +33 1 47 62 56 00 (standard) www.mcafee.com/fr

Livre blanc

Laréputation,pierreangulaired'uneprotectionefﬁcacecontre les menaces

L'auteur Jamie Barnett est Directrice du marketing produits pour McAfee Global Threat Intelligence. Avant de rejoindre l'équipe McAfee, elle a tout d'abord été la cofondatrice de l'initiative de sécurité d'EMC, menant l'offensive qui a conduit à l'acquisition de RSA Security par la société de gestion de données, puis a occupé le poste de Vice-Présidente de la gestion des produits et du marketing chez l'éditeur de logiciels Blue Vector. Stratégiste de l'ombre et technologue en devenir, Jamie Barnett prétend ne pas appartenir au monde du marketing. Lorsqu'elle ne rédige pas de livres blancs, elle regarde les rediffusions de Monty Python's Flying Circus, qu'elle connaît par cœur.

™ A propos de McAfee Labs McAfee Labs est l'équipe de recherche mondiale de McAfee, Inc. Seul organisme de recherche spécialisé dans tous les vecteurs de menaces (logiciels malveillants, vulnérabilités, menaces visant les environnements web, la messagerie électronique et les réseaux), McAfee Labs collecte des renseignements provenant de ses millions de ® ™ ™ sondes et de ses technologies de réputation dématérialisées telles que McAfee Artemis et TrustedSource . L'équipe de 350 chercheurs pluridisciplinaires de McAfee Labs, présents dans 30 pays, suit l'éventail complet des menaces en temps réel, identiﬁant les vulnérabilités des applications, analysant et mettant en corrélation les risques et permettant des corrections instantanées pour protéger les entreprises et les particuliers.

A propos de McAfee, Inc. Basé à Santa Clara en Californie, McAfee, Inc. est la plus grande entreprise au monde entièrement vouée à la sécurité informatique. McAfee consacre tous ses efforts à trouver des réponses aux plus grands déﬁs de sécurité de notre époque. A cette ﬁn, notre société fournit des solutions et des services proactifs réputés assurant la sécurisation des systèmes et des réseaux dans le monde entier. Les utilisateurs peuvent ainsi se connecter à Internet, surfer et faire des achats en ligne en toute sécurité. Avec le soutien d'une équipe de recherche saluée par de nombreux prix, McAfee crée des produits innovants à l'intention des particuliers, des entreprises, du secteur public et des fournisseurs de services, pour les aider à se conformer aux réglementations, à protéger leurs données, à prévenir les perturbations dans le ﬂux des activités, à identiﬁer les vulnérabilités ainsi qu'à surveiller et à améliorer en continu leurs défenses.www.mcafee.com/fr.

McAfee, le logo McAfee, McAfee Labs et TrustedSource sont des marques commerciales déposées ou des marques commerciales de McAfee, Inc. ou de ses sociétés afﬁliées aux Etats-Unis et dans d'autres pays. Les autres noms et marques peuvent être la propriété d'autres sociétés. Les plans, les spéciﬁcations et les descriptions des produits mentionnés dans le présent document sont donnés à titre indicatif uniquement. Ils peuvent être modiﬁés sans préavis et sont fournis sans aucune garantie, implicite ou explicite. Copyright © 2010 McAfee, Inc. 10802wp_reputation_0810_ETMG