Barracuda full logo

Malwares 101 : prévention

Thèmes:
14 déc. 2023
|
Jonathan Tanner

Cette série a abordé une grande partie de ce que peut accomplir un pirate à l'aide de malwares, mais à moins que vous n'envisagiez de changer de carrière dans le domaine de la cybercriminalité, il est probablement important de savoir comment vous défendre contre les malwares. L'approche la plus courante pour se défendre est la prévention, c'est-à-dire empêcher que les malwares n'atteignent les systèmes (protection périmétrique) et empêcher leur exécution sur les systèmes lorsqu'ils les atteignent (protection des terminaux).

Firewalls réseau et protection périmétrique

La protection périmétrique consiste à empêcher un maximum d'attaques de pénétrer sur son réseau. Comme il existe de nombreux points d'entrée, plusieurs types de protection sont nécessaires pour sécuriser le périmètre. L'e-mail est de loin la méthode la plus courante pour diffuser des malwares. Une protection des e-mails capable de détecter et de bloquer les malwares contribue donc largement à la protection du périmètre. Il est également fréquent que les e-mails contiennent des liens vers des malwares au lieu de pièces jointes. Il peut également être utile d'assurer protection du trafic web, en plus de détecter les exploits des navigateurs et de bloquer les pages malveillantes en général.

On peut ensuite citer les firewalls réseau, un type de protection périmétrique plus généralisée, mais qui, de ce fait, couvre de nombreux vecteurs d'attaque différents. Les firewalls réseau contrôlent et surveillent le trafic entrant et, sur certains modèles, sortant d'un réseau, et ils peuvent protéger les systèmes au sein du réseau quel que soit leur type, qu'il s'agisse de postes de travail, de bases de données, d'applications web internes ou autres. Ils peuvent bloquer les attaques contre un réseau, y compris, dans certains cas, les malwares transférés sur le réseau s'ils sont dotés de fonctionnalités de détection de malwares.

La protection des e-mails et du Web ne peut protéger que contre les charges utiles principales, car celles-ci seraient servies via ces protocoles. C'est là qu'entrent en jeu les firewalls réseau, capables de détecter les charges utiles supplémentaires que les malwares parvenant à franchir les défenses initiales tentent de télécharger, ainsi que le trafic de commande et de contrôle, tel que les bots recevant des instructions ou les clés de chiffrement envoyées lors d'une attaque par ransomware. Si les firewalls réseau ont accès au courrier électronique et au trafic web, ils n'offrent généralement pas une protection aussi solide contre ces menaces, étant donné que le débit des données et les ressources informatiques doivent être équilibrés avec les fonctionnalités de protection. Le fait qu'un e-mail soit retardé de quelques minutes pour une analyse de malware n'est généralement pas un inconvénient, mais le fait de bloquer des paquets réseau pendant plus d'une seconde ou deux l'est assurément.

Comment les firewalls d'application web peuvent aider

S'il s'agit moins de protéger vos propres systèmes et réseaux que ceux de vos clients, les firewalls d'application web constituent également une forme de protection périmétrique. Ils protègent les applications web orientées vers l'extérieur contre les attaques qui pourraient être utilisées pour dégrader le site web protégé ou pour héberger et diffuser des malwares à d'autres personnes (c'est-à-dire à vos clients).

L'hébergement de malwares est un défi courant auquel sont confrontés les pirates, car il ne suffit pas de créer un compte d'hébergement web ou de partage de fichiers. Ces services ne veulent pas participer à l'hébergement et à la distribution de malwares et suspendront donc les comptes en hébergeant. En outre, les pirates doivent brouiller les pistes pour éviter que les forces de l'ordre ne mettent un terme à leurs activités ou, dans de nombreux pays, ne les arrêtent. Il existe des services qui fournissent un hébergement aux pirates (appelés « fournisseur d'hébergement pare-balles ») qui opèrent dans des pays où la législation en matière de cybersécurité est plus laxiste et qui refusent de coopérer avec les autorités chargées de l'application de la loi. Toutefois, comme ces fournisseurs sont généralement bien connus dans le secteur de la cybersécurité, le simple fait d'être hébergé par un fournisseur d'hébergement pare-balles est bien souvent un indicateur suffisant pour supposer que le trafic est malveillant et doit être bloqué.

Pour éviter cela, il faut trouver des options d'hébergement qui semblent inoffensives pour les protections, du moins assez longtemps pour servir suffisamment de malwares pour qu'une campagne soit couronnée de succès. Les vulnérabilités à exploiter ne manquent pas, en particulier dans les systèmes de gestion du contenu (CMS) tels que WordPress, les sites piratés constituent un moyen très courant d'hébergement et de distribution de malwares. C'est là qu'intervient la protection des applications web pour empêcher le piratage du site.

Types de protection des terminaux

Bien que la protection d'un périmètre soit à la fois importante et efficace, lorsque les menaces traversent le périmètre, elles parviennent aux systèmes qui s'y trouvent. La protection des terminaux est le logiciel qui protège ces systèmes, le plus souvent utilisés sur les postes de travail des utilisateurs, mais de nombreux types de systèmes, tels que les serveurs, peuvent utiliser de telles protections.

La protection des terminaux peut prendre différentes formes et différents niveaux de sophistication, mais le type le plus courant est le logiciel antivirus qui utilise des signatures pour détecter les malwares qui s'introduisent dans le terminal. Pour les entreprises, il existe des solutions anti-malware plus sophistiquées qui utilisent des techniques de détection plus avancées telles que l'analyse statique, qui analyse le fichier tel quel pour y déceler des indicateurs malveillants, ou l'analyse dynamique, qui exécute le fichier dans un environnement contrôlé pour en analyser le comportement. La protection des terminaux peut également varier en termes d'analyse, allant de simples fichiers à l'examen des processus en cours et des vidages de mémoire.

La puissance des correctifs

La protection du périmètre et des terminaux fournit des outils précieux pour se défendre contre les malwares et autres attaques. Toutefois, la nature et l'ampleur de la protection qui peut être obtenue dépendent aussi fortement des budgets alloués à la sécurité. Quel que soit le niveau de protection mis en place, il existe des moyens bien moins coûteux et plus simples de se protéger contre les malwares.

S'assurer que les logiciels sont à jour est l'une des méthodes les plus facilement réalisables et les plus abordables pour se protéger contre les attaques. L'exploitation des vulnérabilités des logiciels étant un élément clé des attaques, que ce soit pour obtenir un accès initial à un réseau ou pour le parcourir et obtenir un accès plus privilégié, la mise à jour rapide des logiciels garantit que les correctifs de sécurité pour ces vulnérabilités sont appliqués de manière à ce qu'elles ne puissent plus être exploitées. Certes, il y aura toujours des vulnérabilités, mais au moins celles qui sont connues ne seront plus viables pour les pirates. De plus, les vulnérabilités connues sont les exploits les plus utilisés, car il est très coûteux de trouver ou d'acheter des vulnérabilités de type zero-day (c'est-à-dire des vulnérabilités qui n'ont pas encore fait l'objet d'un correctif).

Dernière ligne de défense

En général, la plus grande vulnérabilité de toute organisation, quel que soit le nombre de précautions de sécurité et de solutions mises en place, est celle qui est la plus difficile à prévenir : les personnes. En même temps, elle offre la possibilité de créer une culture de la sécurité au sein d'une organisation qui peut être très efficace pour prévenir et détecter les malwares et autres attaques.

Les e-mails étant la principale méthode de distribution des malwares, les utilisateurs qui savent comment les repérer et ne pas cliquer sur les pièces jointes ou les liens qu'ils contiennent contribuent grandement à leur protection. Malheureusement, même s'il n'est pas nécessairement coûteux à réaliser, il est très difficile d'y parvenir pour un certain nombre de raisons. De nombreux employés n'ont pas les connaissances et les compétences nécessaires pour repérer les attaques, ce qu'une heure ou deux de formation par an ne peuvent pas leur apporter, et ils ne s'investissent pas non plus personnellement dans la sécurité de l'organisation, hormis s'ils risquent de perdre leur emploi, ce qui n'est pas suffisant.

Cette protection particulière consiste véritablement à favoriser une culture au sein de l'entreprise qui cultive les compétences et la motivation nécessaires pour devenir un élément actif de l'infrastructure de cybersécurité. Lorsque les employés comprennent l'importance de l'impact qu'ils peuvent avoir sur la sécurité globale d'une organisation, ils seront non seulement plus conscients dans leurs activités quotidiennes, mais ils assimileront aussi plus efficacement tout matériel de formation, ce qui ajoutera de la valeur à la formation elle-même plutôt que de se contenter de cocher une case de conformité. Les utilisateurs constituent la dernière ligne de défense contre de nombreuses cyberattaques et, dans certains cas, comme le vishing (hameçonnage vocal effectué par le biais d'appels téléphoniques) ou la détection d'activités suspectes sur un site physique, la seule ligne de défense.

Vous pouvez lire le reste de la série Malwares 101 ici

Jonathan Tanner

Jonathan est chercheur senior en sécurité chez Barracuda Networks. Connectez-vous avec lui sur LinkedIn.

Billets associés :
Malware 101 : Détection et remédiation
Malware 101 : Détection et remédiation
 Malware 101 : piratage du système de fichiers : rootkits et bootkits
Malware 101 : piratage du système de fichiers : rootkits et bootkits
 Malware 101 : Piratage du système de fichiers : mémoire seule et registre
Malware 101 : Piratage du système de fichiers : mémoire seule et registre
Malware 101 : l’emploi de bombes logiques pour échapper à la détection
Malware 101 : l’emploi de bombes logiques pour échapper à la détection
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.