Proofpoint propose une approche originale de la lutte contre les attaques ciblées
La lutte contre les attaques et le phishing ciblés - point de départ fréquent des attaques dites APT - reste difficile : la recherche des signaux faibles qui les caractérisent peut ressembler à celle d’une aiguille dans une botte de foin, pour reprendre l’adage populaire.
La lutte contre les attaques et le phishing ciblés - point de départ fréquent des attaques dites APT - reste difficile : la recherche des signaux faibles qui les caractérisent peut ressembler à celle d’une aiguille dans une botte de foin, pour reprendre l’adage populaire.
Face à cela, Proofpoint propose une solution associant quatre points de défense : un mécanisme de détection des messages suspects, un système de prévention d’ouverture de liens suspects, une protection contre les logiciels malveillants, et enfin une meilleure visibilité sur les attaques identifiées.
L’originalité de l’ensemble repose sur la méthode plus que sur les points de défense. Le mécanisme de détection des messages suspects exploite des informations comportementales : l’émetteur du message est-il connu ? A-t-il envoyé le même genre de message à d’autres clients Proofpoint ? Ou le domaine d’envoi est-il particulièrement jeune ou a-t-il déjà été utilisé pour émettre ce genre de message ? Ou encore, pour adresser subitement de multiples correspondances à plusieurs personnes à responsabilités dans l’entreprise, suivant un schéma observé chez d’autres clients de l’éditeur ? On ne trouve pas là de recherche de quasi-homonymie sur les adresses des destinataires - qui pourrait révéler une personne qui «cherche» sa cible, mais l’approche semble déjà intéressante. On peut aussi regretter l’absence de composante externe : l’auteur du message est-il connu du destinataire en dehors du système de messagerie interne - réseaux sociaux, etc.
Plus loin, les URL contenues dans les messages suspects - mais non bloqués car un doute persiste - sont réécrites pour empêcher l’accès à un site malveillant pour forcer le trafic vers une passerelle Web qui assurera l’analyse du contenu de la page avant son transfert au navigateur de l’utilisateur. Quitte à le bloquer si un logiciel malveillant est détecté.
En procédant de la sorte, Proofpoint consolide et centralise des données de menaces remontées par l’ensemble de ses clients pour leur en faire profiter à chaque message reçu. Surtout, le jeu de redirection sur les URL permet de protéger les postes, y compris en déplacement.