Que sont les cybermenaces inconnues ?
La plupart des produits de sécurité traditionnels sont conçus pour agir sur la base de menaces connues. Dès qu'ils voient quelque chose de malveillant, ils le bloquent. Pour contourner les produits de sécurité qui parviennent à bloquer les menaces connues, les attaquants sont obligés de créer quelque chose qui n'a jamais été vu auparavant, ce qui augmente le coût d'exécution d'une attaque. Comment s'y prennent-ils et que pouvons-nous faire pour prévenir les menaces connues et inconnues ?
Examinons quelques scénarios :
Menaces recyclées
Les menaces recyclées sont considérées comme la méthode d'attaque la plus rentable, c'est pourquoi les attaquants recyclent souvent des menaces existantes en utilisant des techniques déjà éprouvées. Ce qui rend ces menaces recyclées "inconnues", c'est la mémoire limitée des produits de sécurité. Tous les produits de sécurité ont une mémoire limitée, et les équipes de sécurité choisissent les menaces les plus récentes pour se protéger, en espérant qu'elles bloqueront la majorité des attaques entrantes. Si une menace plus ancienne, non suivie par le produit de sécurité, tente de pénétrer dans le réseau, elle pourrait contourner le produit de sécurité parce qu'elle n'est pas catégorisée comme quelque chose de déjà vu.
Pour se protéger contre ces menaces recyclées "inconnues", il est essentiel d'avoir accès à un gardien de la mémoire des renseignements sur les menaces, souvent placé dans une infrastructure cloud élastique capable de s'adapter au volume de données sur les menaces. Dans l'événement de sécurité où une menace particulière n'est pas identifiée et stockée, l'accès à la base de renseignements sur les menaces pourrait aider à déterminer si quelque chose est malveillant et permettre au produit de sécurité de le bloquer.
Code existant modifié
Cette méthode est un peu plus coûteuse que le recyclage des menaces. Les attaquants s'emparent d'une menace existante et apportent de légères modifications au code, soit manuellement, soit automatiquement, au fur et à mesure de la transition active de la menace dans le réseau. Il en résulte des logiciels malveillants polymorphes ou des URL polymorphes. Comme un virus, les logiciels malveillants se transforment constamment et automatiquement et évoluent rapidement. Si un produit de sécurité identifie la menace initiale comme étant connue et crée une protection basée sur une seule variation, toute légère modification du code transformera cette menace en une inconnue.
Certains produits de sécurité font correspondre les menaces à l'aide de la technologie de hachage, qui génère un numéro entièrement unique sur la base d'une chaîne de texte de telle sorte qu'il est impossible d'obtenir deux hachages identiques. Dans ce contexte, la valeur de hachage ne correspond qu'à une seule variante de la menace, de sorte que toute nouvelle variante de la menace sera considérée comme nouvelle et inconnue.
Pour mieux se protéger contre ces menaces, les produits de sécurité doivent utiliser des signatures polymorphes. Les signatures polymorphes sont créées sur la base du contenu et des modèles de trafic et de fichiers, plutôt que sur la base d'un hachage, et peuvent identifier et protéger contre de multiples variations d'une menace connue. L'accent mis sur le comportement, plutôt que sur l'apparence d'un codage fixe, permet de détecter des schémas dans les logiciels malveillants modifiés.
Menaces nouvellement créées
Les attaquants les plus déterminés et les plus disposés à investir de l'argent créeront une menace entièrement nouvelle avec un code purement nouveau. Tous les aspects du cycle de vie d'une attaque cybernétique doivent être nouveaux pour qu'une attaque soit réellement considérée comme une menace inconnue.
- Focus sur le comportement de l'entreprise
La protection contre ces nouvelles menaces exige de se concentrer sur le comportement unique de votre entreprise et sur les flux de données. Ces informations peuvent ensuite être mises en œuvre dans les meilleures pratiques de cybersécurité. À titre d'exemple, l'exploitation de la segmentation avec l'ID de l'utilisateur et l'ID de l'application peut aider à empêcher les nouvelles menaces de se propager dans votre organisation et à bloquer les téléchargements à partir de nouveaux sites web inconnus et non classifiés. - Utiliser les renseignements collectifs
Aucune organisation ne connaîtra jamais toutes les nouvelles menaces, c'est pourquoi il est si important de pouvoir bénéficier de renseignements sur les menaces collectives. Des attaques ciblées avec des menaces inconnues, jamais vues auparavant, peuvent rapidement devenir connues grâce à l'échange d'informations au niveau mondial. Lorsqu'une nouvelle menace est analysée et détectée dans une organisation, les informations nouvellement identifiées sur la menace peuvent être diffusées dans l'ensemble de la communauté, et des mesures d'atténuation peuvent être déployées à l'avance pour limiter la propagation et l'efficacité des attaques.
La transformation des menaces inconnues en menaces connues et la prévention active contre ces dernières s'effectuent dans un environnement combiné. Tout d'abord, vous devez prévoir la prochaine étape de l'attaque et le lieu où elle se déroulera. Deuxièmement, vous devez être en mesure de développer et de fournir rapidement une protection au point d'application afin de l'arrêter.
Automatiser les protections
Lorsqu'une menace véritablement nouvelle s'introduit dans votre organisation, la première ligne de défense consiste à disposer de bonnes pratiques de cybersécurité spécifiques à l'organisation. Parallèlement, vous devez envoyer des fichiers et des URL inconnus pour analyse. L'efficacité de l'analyse en bac à sable dépend du temps nécessaire pour fournir un verdict précis sur une menace inconnue et pour créer et mettre en œuvre des protections dans l'ensemble de l'organisation, ainsi que de la manière dont votre environnement de bac à sable traite les menaces évasives. Votre dispositif de sécurité doit être modifié assez rapidement pour bloquer la menace avant qu'elle n'ait la possibilité de progresser - en d'autres termes, le plus tôt possible. Et pour s'assurer que cette menace ne continue pas à traverser le réseau, des préventions doivent être créées et mises en œuvre automatiquement dans tous les produits de sécurité, plus rapidement que la menace ne peut se propager.
Une étude récente du SANS a révélé que 40 % des attaques comportent des éléments inconnus jusqu'alors. La capacité à détecter les menaces inconnues et à prévenir les attaques réussies définit l'efficacité de votre déploiement de sécurité. Une véritable plateforme de sécurité de nouvelle génération est agile, transformant rapidement les menaces inconnues en protection et en prévention connues au niveau mondial. Partager automatiquement les nouvelles données sur les menaces tout en étendant les nouvelles protections à l'ensemble de l'organisation pour stopper la propagation d'une attaque.