Défenses sophistiquées contre les attaques ciblées : Plateforme KATA

Comment les entreprises se protègent-elles contre les menaces persistantes avancées ?

Les menaces persistantes avancées (ATP, Advanced persistent threats) sont des campagnes sophistiquées, sur le long terme et généralement extrêmement bien préparées, conçues pour contourner une protection à un seul niveau.

Le principal objectif des solutions de protection contre les menaces persistantes avancées (ATP)/attaques ciblées est de rendre tellement chère la préparation d'une attaque que celle-ci n'est plus réalisable ou viable du point de vue financier. Cela est obtenu grâce à l'application de plusieurs techniques : plus il est possible de mettre en œuvre des couches différentes de détection et plus les points d'entrée d'attaques potentielles sont supervisés, plus la probabilité de découverte d'une attaque est élevée, indépendamment du temps et de l'argent que l'attaquant est prêt à y mettre.

Parmi les solutions de cette catégorie qui s'adressent aux entreprises, on trouve la plateforme KATA, qui combine Kaspersky Anti Targeted Attack et Kaspersky EDR. Les couches de ses technologies avancées sont les suivantes :

Analyse du trafic réseau. Ce module intègre des capacités de détection comportementale et analyse le trafic ainsi que les objets en s'appuyant sur la technologie IDS et la réputation des URL :

• La technologie de détection des intrusions associe la détection des menaces traditionnelles, mais aussi avancées, renforcée par un ensemble unique de règles IDS destinées à l'analyse du trafic, orientées vers les attaques ciblées. Les ensembles de règles IDS sont automatiquement mis à jour.
• Analyse de la réputation des URL Les URL suspectes ou indésirables sont détectées en fonction de données de réputation issues du réseau mondial Kaspersky Security Network (KSN) basé dans le cloud, qui contient également des informations sur les URL et les domaines connectés aux attaques ciblées.

Sandbox. La sandbox exécute les objets suspects dans ses propres machines virtuelles afin de détecter toute activité malveillante. La sandbox reçoit des tâches d'exécution d'échantillons qui comprennent des paramètres de virtualisation en fonction de la source de l'objet évalué et de l'objectif de l'évaluation (p. ex., type de systèmes d'exploitation, configuration du ou des systèmes d'exploitation, environnement, paramètres du début de l'échantillon, durée de l'exécution).

Pendant l'exécution des échantillons, la sandbox collecte :

• des journaux du comportement des échantillons (y compris une liste des appels de fonctions du système, l'itération avec d'autres processus et fichiers, les activités réseau, les URL, etc.)
• dumps
• objets déposés
• trafic généré par l'échantillon

Une fois l'exécution achevée, les artefacts acquis sont stockés, puis traités par un outil d'analyse dédié. Si l'échantillon est considéré comme malveillant, un verdict est rendu et le résultat est reporté dans la base de connaissances MITRE ATT&CK. Toutes les données collectées sont stockées en interne pour permettre une analyse plus approfondie des tactiques et techniques de l'adversaire sans avoir besoin de formuler des demandes supplémentaires à la sandbox, ce qui permet d'économiser des ressources serveur.

Un ensemble complet de fonctionnalités, y compris la randomisation de l'environnement du système d'exploitation, l'accélération du temps dans les machines virtuelles, les techniques anti-évasion, la simulation de l'activité des utilisateurs, etc., sont autant de dispositifs qui contribuent à une détection comportementale très efficace. La sandbox repose sur un certain nombre de technologies brevetées et peut être exploitée aussi bien en mode automatique que manuel.

Kaspersky Security Network (KSN) est une infrastructure cloud mondiale qui regroupe des verdicts en matière de réputation ainsi que d'autres informations sur les objets traités par la plateforme KATA (fichiers, domaines, URL, adresses IP, etc.). KSN offre également une détection à l'aide de modèles ML basés dans le cloud, comme Cloud ML for Android: les métadonnées du fichier APK local sont collectées par la plateforme et envoyées à KSN, qui répond en rendant un verdict créé par le modèle ML basé dans le cloud. Il existe une solution de cloud privé, Kaspersky Private Security Network (KPSN), pour les entreprises qui ne peuvent pas envoyer leurs données vers le cloud mondial KSN, mais souhaitent quand même bénéficier de la base de données de réputation mondiale de Kaspersky. Outre l'accès privé à notre base de données mondiale de Threat Intelligence, les verdicts de la plateforme KATA sont conservés dans une base de données KPSN locale et automatiquement partagés avec d'autres produits Kaspersky déployés dans l'infrastructure organisationnelle pour une réponse automatisée. Les entreprises qui ont déployé KPSN tirent avantage des réputations fournies par des systèmes tiers externes, sans étapes intermédiaires, à l'aide d'une API.

L'analyseur d'attaques ciblées (TAA – Targeted Attack Analyzer) détecte des actions suspectes à l'aide d'une heuristique avancée de recherche d'anomalies, en fournissant des capacités automatisées de recherche de menaces en temps réel. Il contribue à l'analyse automatique des événements et établit leur corrélation avec un ensemble unique d'Indicateurs d'attaque généré par la fonctionnalité Threat Hunters de Kaspersky. Dès lors qu'une anomalie importante est détectée par l'analyseur d'attaques ciblées, le spécialiste de la sécurité informatique reçoit une description écrite, des recommandations (p. ex., sur la gestion du risque de récurrence de l'événement découvert), ainsi qu'un indice de confiance dans le verdict et la gravité de l'événement en vue d'une hiérarchisation. Tous les Indicateurs d'attaque font l'objet d'une application du cadre MITRE ATT&CK pour fournir des informations détaillées, y compris la technique ATT&CK employée, une description et des stratégies d'atténuation. Vous pouvez donc bénéficier automatiquement d'une recherche de haut niveau en matière de menaces sans accroître la charge de travail de vos experts internes. Vous dégagez ainsi du temps pour d'autres tâches complexes comme peuvent l'être les enquêtes approfondies sur les incidents et le threat hunting. Vous pouvez également créer votre propre base de données d'Indicateurs d'attaque personnalisés, adaptée à votre infrastructure particulière ou à votre secteur d'activité.

Logiciel contre les programmes malveillants amélioré. En fonctionnant sur un nœud central, avec des paramètres plus agressifs que ceux activés sur la configuration du terminal, le moteur analyse les objets pour rechercher tout code malveillant ou potentiellement dangereux, et transmet à la sandbox les objets au contenu potentiellement malveillant. Cela débouche sur des détections très précises qui peuvent s'avérer fort utiles durant la phase d'investigation des incidents.

Balayage des indicateurs de compromission* La plateforme KATA permet un chargement centralisé des indicateurs de compromission à partir de sources de données sur les menaces et prend en charge le balayage automatique programmé des indicateurs de compromission. Le travail des analystes s'en trouve ainsi rationalisé. Les analyses rétrospectives des bases de données peuvent enrichir la qualité des informations sur les événements et incidents de sécurité précédemment signalés.

Vérification des certificats. Le module Certcheck contrôle la validité des certificats signés et détecte les certificats suspects.

Parmi les autres services de la plateforme KATA à destination des experts en sécurité informatique :

Détection à l'aide des règles YARA. YARA est l'un des principaux outils de recherche de nouvelles variantes de programmes malveillants. Il est compatible avec les règles de concordance complexes pour rechercher des fichiers avec des caractéristiques et des métadonnées spécifiques, p. ex., des chaînes caractéristiques du style d'un codeur. Il est possible de créer et de télécharger des règles YARA personnalisées afin d'analyser les objets pour rechercher des menaces propres à votre entreprise.

Une analyse rétrospective. L'automatisation de la collecte de données, d'objets et de verdicts, ainsi que leur stockage centralisé, permettent de mener une analyse rétrospective tout en enquêtant sur les attaques à plusieurs niveaux, même dans des situations où les terminaux compromis sont inaccessibles ou lorsque les données ont été chiffrées par des cybercriminels. En outre, les fichiers enregistrés à partir des emails et du trafic Web peuvent être automatiquement réanalysés périodiquement, en appliquant les dernières règles de détection à jour.

Outil flexible de création de requêtes pour la recherche proactive des menaces. Les analystes peuvent créer des requêtes complexes pour rechercher des comportements atypiques, des événements suspects et des menaces propres à votre infrastructure afin d'améliorer la détection précoce des activités criminelles en ligne.

Kaspersky Threat Intelligence Portal. Les requêtes manuelles sur les menaces dans notre base de données de Threat Intelligence procurent aux analystes en sécurité informatique un contexte supplémentaire pour mener efficacement la recherche des menaces et les enquêtes correspondantes.

La plateforme KATA agrège des données d'analyse à partir de diverses sources :

Une sonde réseau reçoit des copies de toutes les données de trafic, à partir desquelles elle récupère des objets et des métadonnées réseau pour une analyse plus approfondie. Les sondes réseau détectent les activités dans plusieurs domaines de l'environnement informatique, permettant la détection « en temps quasi réel » des menaces complexes dans les environnements proxy, Web et de messagerie :

• La sonde réseau est capable d'extraire des informations sur la source, la destination, le volume des données et la périodicité du trafic réseau (même lorsque le fichier est chiffré). Ces informations sont en général suffisantes pour prendre une décision sur le niveau de suspicion à appliquer et pour détecter des attaques potentielles. Les protocoles SMTP, POP3, POP3S, HTTP, HTTPS, ICAP, FTP et DNS sont pris en charge.
• La sonde réseau peut intercepter le trafic Web et également gérer des objets transmis par HTTPS au moyen de l'intégration au serveur proxy via le protocole ICAP.
• La sonde de messagerie prend en charge l'intégration aux serveurs de messagerie, via une connexion POP3S et SMTP vers la boîte de réception spécifiée. La sonde peut être configurée pour surveiller n'importe quel ensemble de boîtes de réception.

Outre l'analyse complète du trafic réseau, la plateforme assure une réponse automatisée, au niveau de la passerelle, aux menaces complexes en mettant Kaspersky Secure Mail Gateway et Kaspersky Web Traffic Security – utilisés comme sondes réseau complètes – au service de la plateforme KATA.

Les sondes de terminaux (Kaspersky EDR) réunissent toutes les données nécessaires à partir des terminaux de votre infrastructure. L'agent déployé sur les terminaux surveille en permanence les processus, les interactions, les connexions réseau ouvertes, l'état du système d'exploitation, les modifications de fichiers, etc. ll envoie ensuite les données collectées et les informations relatives à la détection d'événements suspects à la plateforme KATA pour étude et analyse complémentaires, ainsi que pour comparaison avec les événements détectés dans d'autres flux d'informations.

La plateforme KATA à l'œuvre

En mettant en œuvre les technologies énumérées ci-dessus dans une architecture de serveur unifiée et avec une gestion centralisée, la plateforme KATA sécurise les points d'entrée des menaces au niveau du réseau et des terminaux, y compris les serveurs Web et de messagerie, les PC, les ordinateurs portables, les serveurs et les machines virtuelles, offrant un état des lieux détaillé de l'infrastructure informatique de votre entreprise. Fournit une boîte à outils complète pour la détection de menaces multidimensionnelles, les enquêtes approfondies, la recherche proactive de menaces et une réponse centralisée aux incidents complexes

La plateforme KATA s'intègre à Kaspersky Endpoint Security for Business pour assurer une protection des terminaux qui bloque automatiquement les menaces et apporte des réponses aux incidents complexes. En outre, elle s'intègre étroitement avec Kaspersky Security Mail Gateway et Kaspersky Web Traffic Security pour bloquer les menaces basées sur le Web et les emails et fournir une réponse automatisée aux menaces complexes. Cette solution tout-en-un réduit considérablement le temps et l'énergie que vos équipes de sécurité informatique doivent consacrer à la protection avancée contre les menaces. C'est grâce à l'automatisation optimale des actions défensives au niveau du réseau et des terminaux, enrichie de la Threat Intelligence et gérée via une console Web unique.

La plateforme KATA protège l'infrastructure des entreprises contre les menaces complexes et les attaques ciblées, sans qu'aucune ressource supplémentaire ne soit nécessaire. Intégrée à votre stratégie existante, cette plateforme arme efficacement votre équipe de sécurité informatique ou du centre de sécurité. Elle complète les technologies de protection tierces existantes et prend en charge l'interaction avec votre solution SIEM, permettant à vos experts de contrer, de manière fiable et efficace, les menaces complexes et les attaques ciblées.