Posté le février 3, 2020 à 14:36
MOYENS DE PROTECTION EFFICACES CONTRE LES ATTAQUES ZERO DAY ET DDOS EN 2020
Lorsqu’on parle d’attaque zero day, on fait référence à une cyber-attaque qui vise la vulnérabilité d’un logiciel, qui peut ne pas être connue du vendeur du logiciel. Dans ce type de cyber-attaque, le hacker ou l’attaquant découvre d’abord la vulnérabilité et s’infiltre dans le système du fournisseur avant d’en connaître la vulnérabilité.
On l’appelle l’attaque zero day car le fournisseur de logiciels n’a pas le temps de réduire l’attaque car il ne sait même pas que la vulnérabilité existe. Cela en fait l’une des formes les plus meurtrières de cyber-attaque, car l’attaquant a la liberté d’infiltrer le logiciel jusqu’à ce que le fournisseur se rende compte de la faille dans son système.
Les vecteurs d’attaque les plus courants sont les pièces jointes d’e-mail envoyées pour exploiter les vulnérabilités des applications et des navigateurs web qui sont les plus ciblés en raison de leur omniprésence. Une fois que la faille est connue du public, le vendeur doit résoudre les problèmes le plus rapidement possible pour protéger ses utilisateurs.
Détection de la vulnérabilité zero day
Les exploits Zero day sont généralement réalisés avant même qu’un correctif puisse être mis en place. Cela les rend très difficiles à détecter. Mais y a-t-il un moyen de découvrir une vulnérabilité logicielle avant que celle-ci ne soit corrigée? Oui, grâce à des méthodes fiables comme la validation des entrées, la gestion des correctifs et la recherche de vulnérabilités, il est possible de détecter certaines attaques zero day.
La recherche de vulnérabilité
Certaines entreprises de sécurité proposent des services de détection des vulnérabilités. Elles peuvent effectuer des examens de code, simuler des attaques de code logiciel et essayer de découvrir les nouvelles vulnérabilités apparues après la mise à jour des logiciels. Cette méthode pourrait aider n’importe quelle entreprise à découvrir certaines vulnérabilités, mais elle ne détectera pas forcément toutes les vulnérabilités zero day.
Même si l’analyse détecte quelques-unes de ces vulnérabilités, cela ne suffit pas à empêcher les hackers de s’infiltrer. Après avoir découvert une telle faiblesse, ils doivent assainir leur code et procéder à un examen du code pour empêcher tout exploit des hackers. Les hackers sont très rapides à découvrir les vulnérabilités grâce à leurs outils sophistiqués. La meilleure façon de les prévenir est d’agir rapidement. Une fois qu’une vulnérabilité est découverte, il faut agir rapidement pour bloquer l’exploit Zero day.
La gestion des correctifs
La gestion des correctifs est l’utilisation de correctifs logiciels sur des vulnérabilités récemment découvertes. C’est l’action la plus courante que la plupart des entreprises entreprennent lorsqu’elles découvrent une vulnérabilité dans leur système.
Mais cette méthode n’est pas particulièrement utilisée pour bloquer les attaques zero day. Elle est utilisée pour réduire l’ampleur des dommages que le hacker pourrait causer après l’attaque. Parfois, les correctifs de sécurité prennent du temps avant d’être appliqués.
Cela en fait une action moins appropriée contre l’exploit zero day. Il faut du temps avant que les experts en sécurité puissent trouver de telles vulnérabilités. Même la mise au point d’un correctif pour ces vulnérabilités peut prendre plus de temps. Pendant cette période, un hacker peut avoir découvert la vulnérabilité du système, avant même qu’un correctif de sécurité ne soit mis en place.
Plus le correctif de sécurité est long, plus le hacker a de chances de s’infiltrer dans le système. C’est pourquoi nous avons dit plus tôt que l’attaque zero day est l’une des cyber-attaques les plus dangereuses au monde.
Assainissement et vérifications des entrées
La vérification des entrées s’est avérée être le moyen le plus efficace de mettre fin aux attaques zero day. Dans ce cas, l’organisation peut utiliser un pare-feu d’application web (WAF) sur son réseau. Le rôle de ce pare-feu est de filtrer les entrées malveillantes et d’examiner les autres trafics entrants qui peuvent cibler les vulnérabilités de sécurité. Dans ce cas, l’attaquant zero day peut ne pas être en mesure de voir les vulnérabilités, même si elles existent.
La vérification des entrées peut résoudre la plupart des problèmes rencontrés dans la gestion des correctifs et l’analyse des vulnérabilités. Lorsque les organisations assainissent les codes et les systèmes de correctifs, la vérification des entrées permet de couvrir et de protéger l’organisation pendant toute la période.
Ainsi, pendant que l’organisation scanne son système, ce qui peut prendre beaucoup de temps, le WAF protégera les systèmes contre les attaques zero day jusqu’à ce que le scan et le patch soient terminés.
La gestion des correctifs et la recherche de vulnérabilités ne sont pas des solutions permanentes aux attaques zero day. En dehors de cela, ils permettent de détecter certaines vulnérabilités en raison du temps nécessaire à la mise en place du correctif. Si vous souhaitez protéger votre système contre une attaque zero day, la meilleure solution consiste à vous procurer un logiciel WAF qui empêcherait les hackers de découvrir tout correctif et de travailler à l’analyse du système pour découvrir et corriger le système.
Il existe plusieurs systèmes WAF que les organisations peuvent utiliser pour protéger leurs systèmes contre les hackers qui cherchent à exploiter la vulnérabilité de leurs systèmes.
Exemples réels d’attaques Zero day fréquentes
Plusieurs organisations ont été victimes d’attaques zero day, certaines ayant perdu des fichiers et des données très importantes à cause de ces attaques. Nous allons donner quelques exemples concrets de certaines attaques zero day les plus notoires au monde.
La RSA
En 2011, le réseau de la RSA, une entreprise de sécurité célèbre, a été infiltré par des hackers qui y ont accédé grâce à une vulnérabilité non corrigée dans Adobe Flash Player.
Les hackers ont envoyé des e-mails contenant une feuille de calcul Excel en pièce jointe à un groupe d’employés de la RSA. Cependant, les feuilles de calcul ont crypté le fichier Flash qui exploitait la vulnérabilité dans les systèmes de l’entreprise.
Dès qu’un employé a ouvert l’e-mail, l’outil d’administration à distance Poison a été installé dans le système. A partir de là, le hacker a pu prendre le contrôle du système et a volé des informations sensibles sur le réseau.
À l’époque, la RSA a déclaré que les hackers avaient pu accéder à des informations sensibles, notamment au système d’authentification à double facteur de l’entreprise.
L’attaque zéro day contre Sony
En 2014, un groupe de hackers a infiltré les systèmes de Sony et ce dernier a fait l’objet d’une fuite de données très sensibles à des forums de discussion sur Internet. Les données piratées comprennent les adresses électroniques personnelles des cadres supérieurs de la société, les plans d’affaires, ainsi que des détails sur les films à venir. Cependant, Sony Corporation n’a pas révélé plus de détails sur l’attaque.
L’attaque zero day contre Stuxnet
Le logiciel malveillant Stuxnet visait les systèmes du secteur industriel de différents pays, dont l’Indonésie, l’Inde et l’Iran.
L’usine d’enrichissement de l’uranium en Iran était la principale cible de cette attaque, avec pour objectif de perturber le programme nucléaire du pays.
Les attaquants ont réussi en grande partie car le logiciel malveillant a pu saboter les centrifugeuses utilisées pour séparer les matières nucléaires.
Comment prévenir d’autres attaques DDoS
Les attaquants DDoS s’améliorent avec de nouveaux outils sophistiqués pour trouver les failles des systèmes qu’ils peuvent attaquer. En ce sens, les entreprises et les organisations doivent développer des outils de prévention et d’atténuation efficaces qui peuvent tenir les hackers à distance.
Il existe plusieurs méthodes manuelles et options automatisées que les organisations peuvent utiliser pour protéger leurs systèmes. Dans ce segment, nous expliquerons ces stratégies.
Temps de réponse des méthodes manuelles et automatisées
Il est vrai que les systèmes de défense DDoS manuels sont plus lents que les systèmes automatisés. Mais à quel point sont-ils lents par rapport à leurs homologues automatisés ?
Andy Shoemaker, PDG et fondateur de NimbusDDoS a récemment mené une étude pour découvrir à quel point les systèmes automatisés sont meilleurs que les systèmes manuels. Ses conclusions ont révélé que les systèmes automatisés sont 5 fois plus rapides que les systèmes de réaction manuels. Le premier améliore le temps de réponse de plus de 500%.
Si vous utilisez un système de défense automatisé, vous pouvez obtenir une réponse en moins de 6 minutes, ce qui est bien mieux que 35 minutes avec les systèmes de réponse manuels. Et dans certains cas, le système automatisé sera en mesure de ramener ce temps de réponse à zéro. Donc, si vous voulez sérieusement combattre les attaques DDoS dans votre organisation, un système de réponse automatisé est certainement la meilleure solution.
Les différents secteurs où un système automatisé peut réduire le temps de réponse
Avec un système de réponse automatisé, le temps de réponse pourrait être réduit de diverses manières. Voici les avantages de l’utilisation d’un système de défense automatisé.
Il détecte automatiquement les attaques entrantes
Les observateurs humains ne seraient pas en mesure de détecter les attaques entrantes aussi bien que les systèmes automatiques. En effet, le système a recueilli suffisamment de données pour filtrer le trafic et détecter les attaques suspectes. Une fois que le trafic suspect est détecté, il signale le trafic et refuse tout accès au système.
Rediriger le trafic en conséquence
Une fois que le système automatique a découvert le trafic malveillant, il les redirige vers un centre de nettoyage de l’atténuation, qui sera géré et complètement bloqué du système.
Identifier des modèles avec le trafic d’attaque : Le système automatisé inspecte un bon nombre de données en peu de temps pour découvrir les attaques de trafic. Il extrait automatiquement les modèles d’attaque en temps réel afin de détecter les attaques zero day de botnet et les attaques malveillantes.
Appliquer une escalade de mesures d’atténuation
Lorsque le trafic malveillant tente de déclencher ses mécanismes d’attaque, le système de défense automatisé prend les mesures nécessaires conformément aux politiques que vous avez définies. Ces mesures permettront de réduire au minimum les dommages importants occasionnés sur le système.
Même après une attaque du système, le système de défense automatisé DDoS continuera à fonctionner pour limiter l’étendue des dommages aux fichiers et aux données. Après avoir atténué l’attaque, le système automatisé génère un rapport détaillé que les experts en sécurité peuvent utiliser pour les analystes judiciaires afin de prévenir de futures attaques.
Lorsque les entreprises utilisent un système automatisé de défense contre les attaques par déni de service, celui-ci découvre et bloque rapidement les attaques zero day et les autres formes d’attaques par déni de service sur le système. C’est le type de système que la plupart des entreprises de sécurité utilisent, ce qui explique pourquoi elles découvrent généralement les vulnérabilités avant les principaux opérateurs du système.
Stratégies pour bloquer l’attaque du jour zéro
S’il est important de mettre en place un mécanisme de défense automatisé pour bloquer les attaques zero day et autres attaques DDoS, il est également vital de mettre en œuvre des stratégies qui permettront d’atteindre l’objectif.
Il n’y a rien que vous puissiez faire pour empêcher l’attaquant de cibler votre système. Mais il existe des stratégies qui peuvent vous aider à bloquer l’attaque et à protéger vos utilisateurs. Les trois stratégies de base sont la réputation, la reconnaissance des formes et le suivi des déviations.
La stratégie de réputation est utilisée par le système automatisé en stockant les renseignements sur les menaces provenant des chercheurs en sécurité et en identifiant les adresses IP qui pourraient provenir d’attaquants DDoS utilisant des réseaux de zombies. Elle bloque ensuite toute adresse IP correspondante qui voudrait accéder au système.
D’autre part, le pattern recognition ou reconnaissance des modèles étudie certains modèles de comportement des botnets DDoS en utilisant l’apprentissage machine pour découvrir tout signe d’activité inhabituelle de l’attaquant.
La troisième stratégie, le tracking deviation ou suivi de déviation, est la plus courante. Elle est employée pour étudier en permanence le trafic afin de rechercher toute anomalie pouvant représenter une menace. Grâce à cette analyse des données du trafic, le système peut identifier ce qui est un trafic normal et ce qui peut être considéré comme malveillant. Ce sont les trois principales stratégies utilisées pour bloquer les attaques zero day et autres attaques DDoS.
Conclusions
Comme nous l’avons déjà dit, les cyber-attaquants continueront à utiliser des outils de base et des outils sophistiqués pour attaquer les systèmes et les serveurs vulnérables. Les organisations ont un rôle à jouer pour protéger les données des utilisateurs et assurer la sécurité de leurs données personnelles.
Avec la bonne stratégie et l’utilisation de systèmes de défense automatisés, elles peuvent facilement repérer toute vulnérabilité pouvant être infiltrée par des attaquants DDoS. Si la protection et la sécurité des données des utilisateurs sont essentielles pour toute organisation, celle-ci utilisera les bons outils pour bloquer les attaques zero day et autres attaques DDoS.
Vous devez être connecté pour poster un commentaire.