La détection des menaces avancées doit encore convaincre
Les nouveaux produits de détection des menaces avancées sont porteurs de grandes promesses. Mais les circonstances entourant des incidents tels que celui dont Target a été victime suggèrent qu’en l’absence d’équipes dédiées ou de l’intégration d’un ensemble complexe d’outils de sécurité, ces nouveaux produits s’avèrent insuffisants.
Les nouveaux produits de sécurité signés FireEye, Damballa ou encore Palo Alto Networks ont ouvert de nouvelles perspectives dans la détection d'attaques sophistiquées. Mais disposer de l’équipement approprié ne suffit pas, comme a pu le montrer l’attaque dont Target a récemment été victime. De fait, celui-ci était équipé des outils de détection de FireEye depuis six mois lorsque l’attaque est survenue. Ses équipes indiennes de supervision ont détecté le logiciel malveillant utilisé par les cybercriminels. Mais la réaction n’a pas été à la hauteur. En outre, les capacités de remédiation automatique avaient été désactivées.
Fort de son expérience, tant d’analyste que, précédemment, de fournisseur de solutions de sécurité revendant les produits FireEye, Rick Holland, du cabinet Forrester, explique que la plupart des clients de l’équipementier utilisent ses produits pour détecter les menaces, mais pas pour en faire la pièce centrale d’une plate-forme automatisée de prévention des menaces telle que l’entend FireEye.
Selon Holland, la plupart des clients de FireEye ont ainsi peur de déployer les produits directement en ligne comme le conseille l’équipementier. Et ils n’activent pas les capacités de blocage automatique des menaces inclus dans la plate-forme en raison de craintes fondées sur de faux positifs risquant de bloquer le trafic légitime. Toutefois, comme l’a montré l’incident de Target, le suivi manuel de chaque alerte générée par une variété de produits de sécurité dispersés dans l’infrastructure, n’est pas une approche viable à long terme.
« Les capacités de blocage automatique des menaces sont là depuis longtemps dans de nombreuses technologies », relève Holland. « Et nous ne parviendront pas à réduire le nombre d'attaques qui surviennent ou le délai de remédiation sans automatisation. Il font donc avancer dans ce sens. Mais de nombreuses entreprises ont encore des difficultés avec cette idée. »
Andrew J., un professionnel de la sécurité travaillant pour une entreprise de matériaux, explique que son entreprise a eu recours aux produits NX Series de FireEye, qui fournissent des capacités de détection et de prévention pour les menaces Web depuis 2011. Mais comme chez Target, il n’a pas activé les capacités de réaction automatisée. En conséquence, un membre de l’équipe de sécurité de son entreprise suit chaque alerte manuellement, induisant un délai moyen de réaction de deux à trois heures et, souvent, l’effacement de la machine infectée.
Pour l’heure, Andrew J. ne s’inquiète pas trop du côté manuel, principalement parce que le produit génère peu d’alertes. Notamment du fait d’un filtrage initial du trafic Web via un proxy signé McAfee. Et malgré 15 000 à 20 000 terminaux dans son parc, l’outil FireEye n’a généré qu’une douzaine d’alertes au cours des 30 derniers jours, toutes étant classées « critiques » ou « majeures » sur l’échelle de priorités Mais ce nombre reste encore supportable pour un traitement manuel, y compris avec une équipe de sécurité de taille modeste.
Et malgré la satisfaction globale que lui apporte son équipement FireEye, Andrew J. reconnaît que cette approche manuelle pourrait ne pas être adaptée à un environnement de la taille de celui de Target. De fait, selon plusieurs experts, il faudrait là compter avec des centaines, voire des milliers d’alertes chaque jour. « Je pense que Target n’avait tout simplement pas l’équipe de sécurité nécessaire pour la taille de son infrastructure », estime ainsi Andrew J.
Automatiser la réponse
Craig Treubig, responsable au sein du groupe solutions technologiques de Accuvant, un cabinet de conseil en sécurité informatique, constate un faible engouement des clients pour les technologies de réaction automatique aux menaces telles que celles que propose FireEye, notamment parce que les entreprises ne font pas confiance aux outils pour répondre efficacement aux incidents. Selon eux, ils en créent également de nouveaux.
« L’un des problèmes rencontrés sur le marché est la confiance dans les technologies et dans leurs capacités », explique ainsi Treubig. « A mon avis, il restera toujours un élément humain. Lorsque vous leur retirez tout contrôle, les clients s’inquiètent de ce que font les produits. » SearchSecurity a sollicité FireEye qui s'est refusé à tout commentaire.
Relevant que l’on ne dispose pas de détails quant au déploiement des outils de l’équipementier chez Target avant l’incident, Holland estime que cette attaque montre surtout que de nombreuses entreprises peinent à gérer les événements de sécurité. Même lorsqu’elles utilisent des SIEM, qui sont conçus pour consolider les données remontées par les divers équipements de l’infrastructure et mettre en avant les événements de haute priorité, les entreprises se trouvent noyées sous les alertes, et finalement incapables de dédier suffisamment de ressources à la réaction aux incidents.
« Suivant l’endroit où FireEye est déployé dans l’environnement, la solution peut s’avérer extrêmement bruyante, noyée sous les logiciels malveillants », explique Holland. « Il se peut qu’il y ait eu tant d’alertes que Target ait été incapable d’y répondre. Et la même chose vaut pour le SIEM. »
Andrew J. indique que son entreprise a précédemment envisagé de faire appel aux services de Mandiant, justement récemment racheté par FireEye. Et s’il ne sait pas encore ce qui va ressortir de ce rapprochement, il espère qu’il va permettre d’améliorer les capacités de réaction de FireEye.
Pour Treubig, on touche là à l’un des principaux problèmes de l’industrie de la sécurité : « ce ne sont pas nécessairement les produits qui échouent; c’est l’ensemble du processus. »
Des produits qui continuent d’évoluer
Avant le rachat de Mandiant, FireEye a complété ses capacités de réaction automatisée aux incidents au niveau du terminal en s’appuyant sur l’intégration de produits tiers, dont ceux de Verdasys. Bit9 offre des points d’intégration comparable, tant avec les outils de FireEye qu’avec ceux de la plate-forme Wildfire de Palo Alto Networks.
Brian Foster, directeur technique de Damballa, souligne que ses produits offrent également des capacités de réactions automatisées. Mais sans indiquer combien de ses clients les mettent à profit. La semaine passée, Damballa a annoncé l’intégration de son produit Failsage avec la technologie de ForeScout, peut-être plus connu pour son outil de contrôle des accès au réseau. Mais pour Foster, cette intégration permettra de réduire les ressources nécessaires à la gestion manuelle des alertes.
Pour Holland toutefois, tant que les technologies de sécurité réseau et des terminaux ne seront pas plus étroitement alignées, les clients de FireEye, de Damballa ou encore de Palo Alto Networks vont probablement continuer de gérer les alertes comme le font la plupart des clients de Forrester : en alimentant leur SIEM de données remontées par ces produits avant de gérer manuellement les alertes générées par deux ou trois de ces équipements. Et de recommander aux entreprises de s’intéresser à des tiers comme NetCitadel, dont les outils servent de médiateur entre produits de sécurité réseau en appliquant les contrôles de sécurité, et en supervisant, voire bloquant, le trafic en fonction des données remontées par le SIEM, notamment. Un tel service promet d’aider les entreprises à avancer vers une réaction plus rapide aux incidents, selon Holland. Et ce, tout en minimisant certains autres risques induits par l’automatisation, en corrélant l’information entre plusieurs technologies plutôt qu’en ne faisant confiance qu’à une seule d’entre elle. Au risque de bloquer le trafic légitime.
« Je pense que les solutions de protection des terminaux de nouvelle génération ne sont pas aussi matures que les outils de FireEye. Et souvent, les clients cherchent juste à établir un budget pour déployer une solution comparable. Mais ils s’aperçoivent souvent qu’ils ont alors besoin de solutions pour le réseau et pour les terminaux capables de fonctionner en tandem », indique Holland. Et d’ajouter qu’il est « absolument nécessaire d’avoir une certaine coordination entre les contrôles de sécurité du réseau et les contrôles de sécurité des terminaux ».
Adapté de l’anglais par la rédaction.