Protection des noeuds d’extrémité (PC, mobile, autres): Quelques méthodes et outils

Protection des noeuds d’extrémité: Quelques méthodes et outils

Aujourd’hui, nous allons nous concentrer sur les outils et les méthodes utilisés pour protéger l’intégrité d’un endpoint (PC, appareil mobile …). Nous parlerons des pare-feu personnels et des solutions antivirus, antispyware et antimalware.

Enfin, nous examinerons la possibilité d’utiliser le chiffrement pour protéger les données locales contre le piratage.

Généralités sur la sécurité des noeuds d’extrémité

Il est important d’assurer la sécurité au niveau des extrémités du réseau, là où se trouvent les données et où les risques de dommages sont importants. Les terminaux peuvent inclure des périphériques tels que des ordinateurs portables, des périphériques mobiles et des imprimantes.

Traditionnellement, les produits de sécurité des noeuds d’extrémité tels que les suivants opèrent de manière indépendante pour assurer la protection des noeuds d’extrémité :

Pare-feu personnel : Un pare-feu personnel est généralement un logiciel qui est installé sur un périphérique d’extrémité pour protéger le périphérique lui-même. La plupart des systèmes d’exploitation modernes intègrent des pare-feu personnels.

Antivirus : L’antivirus est typiquement un logiciel qui est installé sur un périphérique d’extrémité pour prévenir, détecter et supprimer les effets des logiciels malveillants sur le terminal. Le logiciel antivirus a été développé à l’origine pour combattre les virus informatiques.

Un virus est un type de logiciel malveillant qui se propage en insérant une copie de lui-même dans un autre programme et en s’y intégrant. Il se propage d’un ordinateur à l’autre, laissant des infections au fur et à mesure qu’il se déplace.

La gravité des virus peut varier, allant d’effets légèrement gênants à des données ou des logiciels endommagés et à des conditions de déni de service (DoS). Pour rester efficace, le logiciel antivirus doit être mis à jour fréquemment.

Antispyware : Un antispyware est généralement un logiciel qui s’installe sur un terminal pour détecter et supprimer les spywares. Les logiciels espions sont des logiciels qui affichent des publicités et enregistrent des informations sur votre périphérique d’extrémité sans votre consentement.

Certains types de logiciels espions apportent des modifications à votre terminal sans votre consentement. Ces changements peuvent être simplement ennuyeux ou ils peuvent endommager votre appareil. Pour rester efficace, l’antispyware doit être mis à jour fréquemment.

Analyse et protection contre les logiciels malveillants : Les outils antivirus et anti-spywares offrent certes une ligne de défense, mais leur efficacité est en déclin. Aujourd’hui, il faut s’attendre à ce que les logiciels malveillants pénètrent dans le réseau d’une organisation.

Cisco Advanced Malware Protection (AMP) for Endpoints offre une protection contre les logiciels malveillants qui ont infiltré le réseau d’une entreprise.

Il s’agit d’une solution intelligente d’analyse et de protection avancée contre les logiciels malveillants de classe entreprise qui utilise des données volumineuses, des analyses continues et des analyses avancées pour détecter, suivre, analyser, contrôler et bloquer les dégâts des logiciels malveillants avancés sur tous les points finaux : PC, Mac, appareils mobiles et systèmes virtuels.

Pare-feu personnels

Les pare-feu personnels protègent un seul hôte, contrairement aux pare-feu traditionnels. Les pare-feu traditionnels sont installés aux points d’application des politiques de sécurité entre les réseaux.

Par conséquent, les pare-feu traditionnels contrôlent le trafic entrant et sortant des réseaux, tandis que les pare-feu personnels contrôlent le trafic entrant et sortant des hôtes individuels.

À l’origine, les pare-feu personnels étaient des systèmes d’extension pour les systèmes d’exploitation des PC, mais ils ont maintenant été intégrés dans la plupart des systèmes d’exploitation modernes.

L’utilisation fréquente de pare-feu personnels peut être employée pour mettre en œuvre un pare-feu distribué. Un pare-feu distribué nécessite que les stratégies de pare-feu personnel soient contrôlées par un système d’administration centralisé.

Un pare-feu distribué peut fournir une protection similaire à celle d’un pare-feu traditionnel. Si tous les hôtes d’un réseau sont configurés pour refuser HTTP entrant, c’est similaire à un pare-feu traditionnel qui refuse HTTP entrant à ce réseau.

Les pare-feu personnels peuvent jouer un rôle important dans la protection des systèmes qui peuvent être déplacés d’un réseau à l’autre. Un ordinateur portable peut être bien protégé par les pare-feu d’une organisation lorsqu’il se trouve dans le réseau du campus.

Mais cet ordinateur portable doit se protéger lorsqu’il est connecté à un service Internet dans un aéroport, un hôtel, un café ou chez son utilisateur. Les pare-feu personnels sont un outil important lorsque l’accès VPN à distance se fait par tunneling fractionné (split tunneling).

Si le client VPN peut accéder à Internet en dehors du tunnel VPN, alors Internet peut également accéder à la machine du client en dehors du tunnel VPN.

S’il y a une porte arrière (back door) sur le client VPN, sans pare-feu personnel correctement configuré, un attaquant peut accéder à cette porte arrière et utiliser le tunnel VPN client pour accéder au réseau interne de l’organisation.

Les pare-feu personnels ont la capacité d’autoriser et de refuser le trafic en fonction de l’application, quels que soient les protocoles et les ports. Le trafic est autorisé à destination et en provenance des applications figurant sur la liste blanche et refusé à destination et en provenance des applications figurant sur la liste noire.

Lorsqu’une nouvelle application tente d’utiliser le réseau, le pare-feu personnel peut demander à l’utilisateur si l’application doit être sur liste blanche ou sur liste noire. Ceci fournit un niveau de protection contre les logiciels malveillants fonctionnant en tant que programme exécutable.

Les pare-feu personnels peuvent également avoir la capacité de définir des politiques pour différentes catégories de réseaux, comme le travail, la maison et le public. Lorsque le pare-feu personnel se trouve sur un nouveau réseau, il interroge l’utilisateur pour identifier la classe du réseau.

Antivirus

Comme son nom l’indique, le logiciel antivirus a été développé à l’origine pour détecter et supprimer les virus informatiques. Mais de nombreux autres types de logiciels malveillants sont apparus au fil des années, et les éditeurs de logiciels antivirus ont tenté de suivre le rythme.

Parmi plusieurs types de logiciels malveillants qui peuvent être détectés par les logiciels antivirus, mentionnons les enregistreurs de frappe (keystroke loggers), les portes dérobées (back doors), les root kits, les pirates de navigateur (browser hijackers), les chevaux de Troie et les ransomwares.

Les capacités des logiciels antivirus varient d’un fournisseur à l’autre, tout comme leur efficacité contre une menace ou une catégorie de menaces particulières. Malheureusement, le taux de prolifération des logiciels malveillants augmente et l’efficacité des logiciels antivirus diminue.

La majorité des logiciels antivirus utilisent une détection basée sur les signatures. Les fournisseurs de logiciels antivirus analysent les logiciels malveillants connus et cataloguent les caractéristiques utilisées pour les reconnaître dans une base de données de signatures.

L’analyse des fichiers et de la mémoire à la recherche de ces signatures révèle le malware. L’inconvénient évident de cette méthodologie est qu’elle ne peut pas protéger contre des attaques qui n’ont pas encore été reconnues par l’industrie de la sécurité, que l’on appelle souvent des attaques ” zero-day “.

Les logiciels antivirus peuvent également utiliser l’heuristique pour détecter les logiciels malveillants. L’heuristique permet de reconnaître les correspondances de signatures imprécises.

Souvent, les logiciels malveillants se transforment avec le temps en différentes variantes. Parfois, l’intention de la mutation est simplement d’échapper à la détection. Parfois, la mutation est le résultat de l’ajout de nouvelles fonctionnalités par l’auteur du logiciel malveillant.

L’utilisation de l’heuristique peut aider les logiciels antivirus à reconnaître des classes ou des familles entières de logiciels malveillants.

Une troisième technique de détection qui peut être utilisée par un logiciel antivirus est la détection basée sur le comportement. Au lieu d’analyser le code pour les signatures, le comportement des processus est surveillé.

Si un processus tente de faire quelque chose qui est reconnu malveillante, comme modifier un autre programme exécutable ou capturer des informations de frappe, une analyse comportementale peut détecter le malware. Cela peut fournir un certain niveau de protection contre les menaces du zero day.

Quelle que soit la combinaison de méthodes de détection utilisée par le logiciel antivirus, il est important de maintenir les bases de données du logiciel. La plupart des logiciels antivirus ont la capacité de vérifier et d’installer automatiquement les mises à jour régulièrement.

Antispyware

Comme son nom l’indique, un logiciel espion est un logiciel qui tente de recueillir de l’information sans conscientiser l’utilisateur.

La plupart des gens considèrent les logiciels espions comme indésirables, mais pas aussi malveillants que les malware. La frontière entre malware et logiciels espions est floue. Par exemple, les enregistreurs de frappes sur clavier recueillent de l’information sans sensibiliser les gens, de sorte qu’ils peuvent être considérés comme des logiciels espions.

Mais les enregistreurs de frappes sont généralement considérés comme suffisamment insidieux pour franchir la ligne de démarcation et entrer dans les logiciels malveillants (malware). Les logiciels publicitaires (Adware) sont une autre catégorie de logiciels y reliés.

Avec un logiciel publicitaire (adware), l’utilisateur accepte d’être exposé à des publicités en échange de l’utilisation du logiciel. Souvent, les logiciels publicitaires suivent l’utilisation de différentes façons afin que les publicités soient ciblées pour l’utilisateur.

Lorsque le comportement du logiciel publicitaire est clair et que l’utilisateur comprend ce qu’il échange contre l’utilisation du logiciel, le logiciel publicitaire n’est pas considéré comme un logiciel espion ou malveillant.

Toutefois, si le logiciel publicitaire est installé de telle sorte que l’utilisateur ne sait pas que des publicités ciblées seront affichées dans son navigateur, alors le logiciel peut être considéré comme un logiciel espion.

En outre, si le logiciel publicitaire envoie secrètement ses données de suivi à des sites qui les utiliseront pour concevoir des attaques de phishing contre un public cible particulier, alors il a franchi la ligne dans le territoire des malwares.

Le plus souvent, les logiciels espions sont implémentés avec des cookies de suivi dans les navigateurs Internet.

Les grands sites de vente au détail peuvent installer des cookies de suivi, par exemple, et, en fonction des informations qu’ils capturent, montrer différents contenus à l’utilisateur avec l’intention d’afficher des marchandises qui l’intéresseront et conduiront à des ventes accrues.

La prévalence émergente des logiciels espions a conduit au développement d’une toute nouvelle catégorie d’applications de sécurité connues sous le nom d’antispyware.

Juste comme la ligne est brouillée entre le malware et le spyware, la ligne entre ce que le logiciel antivirus et le logiciel antispyware détectent et atténuent est brouillée. Il y a souvent un niveau de protection qui se recoupe entre les deux types de systèmes.

Antimalware

En raison de la nature des menaces de logiciels malveillants dans les environnements réseau actuels, même les meilleurs produits commerciaux pour la détection des logiciels malveillants ne peuvent atteindre de manière réaliste qu’environ 40 % de réussite dans la détection.

La plupart des entreprises implémentent plusieurs couches de protection, de sorte que les logiciels malveillants qui parviennent jusqu’à un point d’extrémité détruisent toutes les garanties.

Cela signifie que pour lutter efficacement contre les logiciels malveillants, vous devez supposer qu’à un moment donné, ils feront leur chemin dans vos réseaux et persisteront potentiellement pendant de longues périodes de temps avant d’être détectés et mis en œuvre.

Avec les logiciels malveillants, les terminaux doivent être protégés avant, pendant et après les attaques. Cisco Advanced Malware Protection (AMP) for Endpoints va au-delà de la détection ponctuelle pour fournir le niveau de visibilité et de contrôle dont vous avez besoin pour arrêter les menaces avancées qui sont manquées par les autres couches de sécurité.

Il assure cette protection tout au long du cycle d’attaque : avant, pendant et après une attaque. Cisco AMP for Endpoints est une solution intelligente d’analyse et de protection avancée contre les logiciels malveillants de classe entreprise qui:

■ Fournit une détection des logiciels malveillants dans le nuage grâce au Cisco Collective Security Intelligence Cloud pour une détection rapide des logiciels malveillants connus.

■ Donne une perspective historique pour que vous puissiez voir, au fil du temps, les actions que les fichiers ont effectuées sur un système. Vous pouvez retracer une infection et en identifier la cause profonde en suivant la trajectoire du fichier et du périphérique du malware.

■ Bloque les connexions réseau malveillantes basées sur la réputation de l’adresse IP.

■ Alerter rétrospectivement un système si un fichier qui a été vu précédemment change de disposition.

■ Permet la création de signatures personnalisées pour la détection des logiciels malveillants.

La figure A montre les éléments de Cisco AMP pour les noeuds d’extrémité.

Figure A - Cisco AMP pour les noeuds d'extrémité
Figure A – Cisco AMP pour les noeuds d’extrémité

■ Cisco Collective Security Intelligence Cloud : C’est là où résident les différents moteurs de détection et d’analyse.

■ Client Connector : C’est le composant qui s’exécute sur les noeuds d’extrémité. Il communique avec le cloud pour envoyer des informations sur les fichiers et recevoir des informations sur leur disposition.

■ Cisco AMP for Endpoints Windows : Supporte Windows XP jusqu’à Windows 10, ainsi que les versions de Microsoft Windows Server.

■ Cisco AMP for Endpoints Mobile : Une application que vous pouvez installer sur un appareil mobile pour communiquer avec le cloud afin de détecter les logiciels malveillants mobiles. Actuellement, seul le système d’exploitation Android est supporté. Cisco AMP for Endpoints Mobile est supporté sur Android 2.1 et supérieur.

■ Cisco AMP for Endpoints Mac Connector : Prise en charge des périphériques Apple sous OS X 10.7 ou supérieur. Ce connecteur possède une interface graphique limitée à laquelle vous pouvez accéder à partir de la barre des menu, si vous le choisissez comme option d’installation dans la stratégie Mac.

■ Cisco AMP for Networks: Permet aux périphériques FirePOWER d’interroger le cloud pour obtenir des informations sur la disposition des fichiers qui sont détectés par le périphérique FirePOWER.

Cryptage des données

Les terminaux sont également sensibles au vol de données. Par exemple, si un ordinateur portable d’entreprise est perdu ou volé, un voleur pourrait fouiller le disque dur à la recherche d’informations sensibles, de coordonnées, de renseignements personnels, etc.

La solution est de chiffrer localement le lecteur de disque avec un algorithme de chiffrement fort tel que le chiffrement AES 256 bits. Le cryptage protège les données confidentielles contre tout accès non autorisé.

Les volumes de disque cryptés ne peuvent être montés pour un accès normal en lecture/écriture qu’avec le mot de passe d’autorisation.

Certains systèmes d’exploitation, comme OS X, offrent nativement des options de cryptage. Le système d’exploitation Windows prend en charge les logiciels de cryptage tels que BitLocker, TrueCrypt, Credant, VeraCrypt et autres.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here


CAPTCHA Image
Reload Image