weerapat1003 - stock.adobe.com
Protection des postes de travail : le cloud introduit sa part de risque
Les produits de protection des points de terminaison mettant à profit le cloud apportent de nombreux bénéfices. Mais cette connectivité introduit également des risques.
Les éditeurs tels que CrowdStrike, Symantec ou encore Palo Alto Networks, utilisent leurs plateformes cloud afin d'alimenter leurs agents locaux pour postes de travail et serveur en renseignement sur les menaces en temps réel. Cette connectivité permet aux clients de prendre des décisions éclairées sur les fichiers ou activités réseau suspectes, jusqu’à, lorsque c’est possible, confiner automatiquement et rapidement tout système compromis.
Sans les avantages d’une plateforme cloud distribuée, les éditeurs ont du mal à offrir un tel service. En outre, sans cette connectivité, les listes de renseignements sur les menaces doivent être téléchargées manuellement par chaque client, individuellement, et le délai entre les mises à jour programmées implique que les données en production souffrent d’un retard, au moins léger, par rapport à la connaissance de la menace.
Les systèmes de protection des points de terminaison exploitant des services en mode cloud rendent ainsi plus accessible à tous le renseignement sur les menaces.
L’analyse en mode cloud en temps réel
L’utilisation d’un service de renseignement sur les menaces commence lorsqu’un pare-feu, une solution de protection des points de terminaison, ou un système de détection d’intrusion détecte une tentative de connexion à une adresse IP ou à un domaine spécifique. Le système interroge une base de données en mode cloud pour collecter des informations de réputation sur la cible correspondante. Et si elle est connue comme utilisée dans le cadre d’activités malicieuses, ou en est au moins suspectée, la connexion peut être immédiatement interrompue.
L’étape suivante consiste à partager des informations sur des activités suspectes découvertes en interne avec l’éditeur, pour en faire profiter les clients de la même plateforme.
La dernière fonctionnalité appliquée dans le domaine est l’analyse d’échantillons suspects en bac à sable, en mode cloud. Un tel échantillon peut être "détoné" dans un système isolé, loin de l’environnement de production, voire analysé, si nécessaire, manuellement, par des spécialistes. Des décisions peuvent alors être prises sur la base du comportement du fichier étudié, et non pas seulement sur ses caractéristiques.
De tels services affichent un potentiel exceptionnel. Mais il convient d’être prudent, car ils peuvent introduire de nouveaux risques.
Des risques liés aux fournisseurs
N’importe qui suivant l’actualité de la sécurité informatique devrait être au courant des tensions entre Kaspersky et le gouvernement américain. Le risque de perméabilité entre l’éditeur et le renseignement russe pourrait exister techniquement, malgré les mesures de protection mises en place. Et cela vaut pour n’importe quel éditeur.
Les produits de protection du poste de travail disposent d’un accès à la portée importante sur les systèmes dont ils assurent la surveillance. Pour assurer une protection efficace, les agents locaux profitent d’un accès complet à l’ensemble du système de fichiers. Ils utilisent en outre des signatures régulièrement mises à jour, contrôlées par leurs éditeurs.
Cela ne va pas sans poser la question du risque d’exfiltration de données, en particulier compte tenu des fonctionnalités cloud. Suivant la configuration du produit, il est souvent possible que des fichiers répondant à des règles de filtrage soient transférés aux services cloud de l’éditeur. Cela répond à des besoins d’analyse, mais qui contrôle l’accès à ces échantillons et de quelle juridiction dépendent-ils ?
Le risque n’est peut-être là qu’hypothétique, mais il mérite d’être pris en compte.
La question des tiers
Certaines applications s’appuient sur les capacités de mise en bac à sable, ou sur les renseignements en rapport avec les menaces de tiers, tels que Virus Total. Ce dernier, actuellement opéré par Google, constitue une énorme base de données d’échantillons.
La quantité de données ici gérée n’a pas de véritable concurrence et constitue une mine d’or d’information sur les maliciels. Mais là encore, ce n’est pas sans comporter de risque.
L’un d’entre eux, bien documenté, est que les auteurs de maliciels utilisent ces platesformes d'analyse pour mesurer l'efficacité de leurs outils, savoir quelles cibles sont tombées dans leurs pièges, et évaluer la nécessité de modifier leurs fichiers et infrastructures.
Mais il faut aussi prendre en compte le risque que des fichiers anodins soient transférés à de telles plateformes et puissent inclure des données confidentielles jusqu’à des identifiants de connexion. Le téléversement manuel ou automatique de tels fichiers sur un forum public, et leur partage avec les nombreux partenaires de VirusTotal, pourrait représenter un risque important.
Lors du déploiement, de la mise à jour et de l'audit de produits de sécurité des terminaux adossés au cloud, il est essentiel de vérifier les fonctionnalités connectées et de vérifier qu’elles sont conformes à la stratégie de sécurité globale de l'entreprise.
Les fonctionnalités cloud peuvent considérablement améliorer les capacités de l'ensemble des produits de sécurité informatique. La cybersécurité est un environnement si dynamique et en évolution tellement rapide - et les logiciels malveillants ne manquent pas d’évoluer - qu'il faut de l'intelligence en temps réel. Cependant, il est essentiel de contrôler les risques associés afin que ces nouvelles fonctionnalités de sécurité ne soient pas, elles-mêmes, à l’origine de brèches.