Le piratage ciblé impose une nouvelle réalité aux sociétés antivirus

Quand le New York Times a révélé ce mois-ci que des pirates avaient récemment pénétré ses réseaux, ce qui a fait tourner la tête des experts en sécurité n'était pas que les attaques avaient eu lieu. Il s'agissait de l'aveu inhabituellement franc d'une société antivirus de premier plan sur les limites de sa propre technologie.

Symantec a été mis sur la défensive car son logiciel n'a détecté et mis en quarantaine qu'une seule fois l'un des 45 logiciels malveillants personnalisés que les pirates avaient utilisés pour cibler le New York Times et dénicher les e-mails de certains journalistes, un hold-up du journal lui-même signalé dans un article de presse. Selon un Fois porte-parole, le journal disposait du dernier logiciel antivirus sur tous les ordinateurs de son réseau ; mais pour se prémunir des menaces persistantes dites avancées, un logiciel antivirus seul ne suffit pas, lire la déclaration de Symantec .





Que son produit de base soit essentiellement inutile contre l'attaque - prétendument parrainée par le gouvernement chinois - n'a pas surpris ceux qui étaient au courant. Mais l'admission brutale indique un paysage de la sécurité informatique en évolution rapide et une menace croissante pour l'activité de 6,7 milliards de dollars par an de Symantec. Une étude récente de Imperva , une startup californienne spécialisée dans la sécurité des données, a découvert que les produits antivirus des principaux fournisseurs détectaient moins de 5 % des plus de 80 nouveaux virus testés.

Alors que les attaques deviennent de plus en plus ciblées et personnalisées (voir L'ère des antivirus est terminée ), les startups se positionnent comme des alternatives aux éditeurs d'antivirus conventionnels. Certains préconisent que les responsables de la sécurité, en particulier ceux qui ont un budget limité, utilisent un logiciel antivirus gratuit ou à petit budget pour attraper des virus simples et courants, et investissent dans des services spécialisés pour mieux protéger les actifs clés.

Ashar Aziz, directeur de l'information d'une startup vendant une technologie pour parer à une nouvelle génération de cyberattaques, affirme que l'hypothèse erronée selon laquelle un logiciel antivirus est efficace contre les cybermenaces d'aujourd'hui a créé un trou large et béant dans chaque architecture de sécurité existante. Je dois encore entrer dans une organisation et constater qu'ils sont complètement propres. Cela ne s'est jamais produit, dit Aziz.

Plutôt que d'utiliser une liste noire pour bloquer les menaces connues (la méthode conventionnelle employée par les logiciels antivirus) FireEye fonctionne en supposant que tout est suspect et en testant les programmes dans un bac à sable sécurisé avant de les autoriser à s'exécuter sur une machine. En novembre, le PDG du principal fournisseur de sécurité McAfee a quitté FireEye, qui affirme que près de 30 % des Fortune 500 entreprises sont ses clients et a levé plus de 100 millions de dollars en fonds de capital-risque.



FireEye est loin d'être la seule startup à gagner du terrain à mesure que les logiciels malveillants deviennent plus ciblés et que les dernières méthodes des pirates les plus sophistiqués se démocratisent et se diffusent plus rapidement.

Et bien que l'industrie établie soit clairement consciente des lacunes de ses approches défensives de longue date, elle a peut-être été lente à adopter de nouvelles méthodes. Le directeur de la stratégie de sécurité d'Imperva, Rob Rachwald, estime que l'industrie a déployé moins d'efforts pour rester à la pointe de la protection, et plus pour développer de jolis tableaux de bord pour impressionner les clients. Aziz, qui travaille désormais aux côtés de l'ancien PDG de McAfee, affirme que les grands fournisseurs se battent maintenant pour rattraper le point où FireEye a commencé en 2004.

Du point de vue de Liam O'Murchu, responsable des opérations de réponse de sécurité de Symantec, ces vues que les produits de son entreprise ne suivent pas sont déjà obsolètes.

L'entreprise californienne vend désormais des méthodes de détection avancées et en inclut certaines dans ses programmes antivirus standard. Il s'agit notamment de programmes qui notent les liens envoyés par e-mail ou messagerie instantanée et les applications en fonction de la réputation de leur source, recherchent des comportements suspects et cherchent à prédire le comportement d'un fichier lui-même. En développement, dit O'Murchu, sont des technologies conçues spécifiquement pour se protéger contre les attaques dites zero-day, ainsi nommées parce que les fabricants de logiciels ne les connaissent pas encore et n'ont donc pas eu le temps de réagir. C'est le genre d'attaques que les organisations criminelles ou les gouvernements bien financés sont le plus susceptibles d'utiliser (voir Bienvenue dans le complexe Malware-Industrial ).

La façon dont les entreprises abordent la sécurité changera probablement, tout comme les services qu'elles achètent, selon Nicolas Christin , chercheur en sécurité à l'Université Carnegie Mellon, mais il note également que certaines approches alternatives peuvent être moins efficaces que de nombreux vendeurs de sécurité ne le font croire. Par exemple, dit-il, même un moteur de détection comportementale nécessite toujours une définition de ce à quoi ressemble un mauvais comportement, et cela peut ne pas toujours être évident.



Selon un sondage sur 670 entreprises menées par le Ponemon Institute, les menaces persistantes avancées et l'hactivisme ont été les plus gros casse-tête pour les services informatiques l'année dernière, et beaucoup ont imputé la hausse des dépenses d'exploitation informatique aux logiciels malveillants.

Les expériences de Mandiant, la société de sécurité qui a travaillé avec le New York Times pour répondre et déraciner l'attaque sur ses réseaux, le confirmer. Auparavant, seule une grande banque de Wall Street avait à se soucier des logiciels malveillants ciblés, explique le directeur des services Marshall Heilman. Désormais, non seulement les petites banques régionales et communautaires sont ciblées, mais les processeurs de paiement le sont également. Si vous êtes une entreprise prospère, vous faites probablement quelque chose d'intéressant qui pourrait attirer les pirates, dit-il. Un compte détaillé de la façon dont Mandiant a suivi une attaque contre le ministère du Revenu de la Caroline du Sud en novembre dernier montre à quel point ces attaques peuvent se produire facilement et combien de temps elles peuvent passer inaperçues.

le Fois , pour sa part, n'a pas encore abandonné sa société antivirus. Pour l'instant, nous continuons à utiliser Symantec, explique la porte-parole Eileen Murphy.



cacher