Table des matières:
Les cybermenaces et toute la nature de la sécurité informatique évoluent à un rythme fulgurant. À mesure que les attaques deviennent plus sophistiquées et ciblées, certaines défenses auparavant efficaces ne sont plus ce qu'elles étaient - ou sont devenues totalement inefficaces contre les attaques. Voici trois méthodes de protection obsolètes et pourquoi elles ne suffisent plus. (Pour une lecture de fond, consultez Le nouveau visage de la cyberguerre du 21e siècle.)
Pare-feu nouvelle génération (NGFW)
Historiquement, les pare-feu de nouvelle génération (NGFW) utilisent une approche centrée sur les applications pour classer le trafic réseau dans le but de stopper les logiciels malveillants et autres attaques. Cependant, les NGFW se sont révélés inefficaces contre les attaques avancées. En effet, le cœur de la technologie NGFW est une configuration de base de signatures IPS, d'un logiciel antivirus, de listes noires d'URL et d'une analyse de réputation. Chacun d'eux est de nature réactive et s'est avéré incapable de stopper les menaces avancées.
Les fabricants de la technologie NGFW renforcent leurs produits avec des ajouts tels que les binaires basés sur le cloud et l'analyse de DLL, ainsi que des mises à jour toutes les heures sur l'ensemble de signatures de pare-feu. Le problème est que ces options laissent encore beaucoup de temps aux logiciels malveillants pour causer des dommages.
Logiciel antivirus
Face aux attaques zero-day et avancées de menace persistante (APT) qui exploitent des vulnérabilités inconnues, l'antivirus est tout sauf impuissant à prévenir les cybermenaces modernes. Certaines recherches suggèrent que 90% des fichiers binaires dans les logiciels malveillants se transforment en une heure, ce qui lui permet de se faufiler derrière les logiciels antivirus qui reposent sur la détection basée sur les signatures et les mises à jour qui accusent un retard de plusieurs heures, jours ou semaines, selon la fréquence de mise à jour.
Ce décalage représente une occasion en or pour les logiciels malveillants de se propager à partir des systèmes initiaux qu'ils infectent. Cette fenêtre est également assez longue pour que le malware installe d'autres infections qui peuvent inclure des crackers de mot de passe et des enregistreurs de frappe qui s'intègrent profondément dans son système hôte compromis.
À ce stade, le retrait devient de plus en plus difficile. Alors, pourquoi les professionnels de la sécurité informatique conservent-ils les logiciels antivirus comme élément de confiance de la sécurité globale? De nos jours, l'antivirus est souvent utilisé comme un système complémentaire, ou une «première ligne» de défense, en conjonction avec des systèmes plus grands et plus avancés. L'antivirus capture les «fruits bas», qui incluent des signatures de virus plus anciennes, tandis que des systèmes de protection contre les logiciels malveillants plus robustes capturent les logiciels malveillants avancés qui sont manqués.
Passerelles Web
L'industrie de la cybersécurité nous a donné un héritage de correspondance de modèles qui était autrefois destiné à augmenter le blocage basé sur les ports et à supprimer les limites des produits de sécurité basés sur les signatures et les listes. Les passerelles Web utilisent ces mêmes technologies.
La technologie de passerelle Web utilise des bases de données et des listes d'URL connues «mauvaises», mais ne prend pas en compte les menaces réelles en évolution. L'application des politiques et la sécurité de bas niveau sont à peu près la seule valeur que les passerelles Web apportent à la table de sécurité, car les cyberattaques ont évolué pour rendre les passerelles inefficaces. La nature dynamique de la diffusion et de la communication des logiciels malveillants rend obsolètes les listes de "mauvais" sites Web et URL.
Ironiquement, à mesure que les passerelles Web ont gagné en popularité dans le monde entier, elles sont devenues quelque peu obsolètes en termes de sécurité. La technologie des passerelles Web a encore une certaine utilité en appliquant des règles d'entreprise qui limitent ou restreignent la navigation sur le Web, mais lorsqu'il s'agit de se protéger contre les attaques sophistiquées, les passerelles Web ont au mieux un rôle marginal.
Du majeur au mineur
Bien que l'on ne puisse nier que ces trois technologies jouent un rôle actuel dans la protection des réseaux contre les cybermenaces, les attaques de nouvelle génération évoluées que nous voyons aujourd'hui en ont fait des parties mineures de défenses plus avancées.
Les pare-feu dynamiques sont une technologie efficace pour se protéger contre les logiciels malveillants avancés, qui sont en quelque sorte un croisement entre un filtre de paquets et l'intelligence au niveau de l'application obtenue via un proxy. Ce n'est là qu'une des nombreuses technologies qui ont remplacé ou repris le relais de certaines des technologies plus anciennes - du moins pour l'instant. Bien sûr, les cybermenaces continuent d'évoluer, ce qui signifie que les tentatives de protection doivent évoluer avec elles.