Le greylisting, la nuance de gris pour faire face aux cyberattaques

Vitu
Par Jean-Christophe Vitu Publié le 26 décembre 2017 à 5h00
Cyberattaques Protection Entreprises Greylisting
@shutter - © Economie Matin
53 milliards $Une cyberattaque mondiale peut provoquer jusqu'à 53 milliards de pertes économiques.

Une étude récente estime qu’une cyberattaque mondiale, telle que WannaCry ou NotPetya, peut provoquer jusqu'à 53 milliards de dollars de pertes économiques.

Pour se protéger contre ces menaces, la mise en place au sein des entreprises de listes blanches (ou white lists) est couramment privilégiée. Cette technique de renforcement de la sécurité sur les endpoints, qui lutte contre les logiciels malveillants (malwares), permet en effet de mettre en place un contrôle des applications et des scripts exécutés. Cependant, l’utilisateur est la plupart du temps limité à deux modes : « approuver » ou « refuser ». Bien qu’adéquate pour des petites structures n’utilisant que quelques applications, cette approche est plus compliquée à mettre en place pour les grandes entreprises. Ces dernières devront plutôt opter pour les modes « autoriser l’inconnu », ce qui les expose alors à des risques inutiles en acceptant des applications potentiellement dangereuses ; ou « refuser l’inconnu », et gérer donc des utilisateurs mécontents et des problèmes opérationnels liés au rejet d’applications sûres. Pourtant, en matière de sécurité et d’informatique, tout n’est pas blanc ou noir. Il est donc essentiel de trouver le juste milieu doté de la bonne nuance applicative de gris.

Il est désormais nécessaire de repenser le système binaire des listes blanches pour affronter les attaques de plus en plus sophistiquées. Pour Philippe Claudel, "Rien n'est tout noir ni tout blanc, c'est le gris qui gagne. Les hommes et leurs âmes, c’est pareil". Un constat qui s’applique également aux entreprises et à leur sécurité informatique. Quand une entreprise n’a recours qu’aux outils de base pour définir les applications autorisées, elle est immanquablement plus vulnérable aux menaces qui visent les points d’accès. Au fil des années, les chercheurs ont découvert de nombreux exécutables capables de facilement contourner les outils basiques avec des commandes simples, ainsi que d’exécuter des scripts de façon arbitraire. Faire confiance et se reposer uniquement sur un système d’autorisation binaire n’est donc pas sans risque. Ainsi, bien que ces logiciels de sécurité gratuits restent une ressource de base, des contrôles de sécurité additionnels sont nécessaires afin d’optimiser la cyberprotection d’une entreprise.

En pratique, un service informatique ne peut pas avoir connaissance de l’ensemble des applications existantes au sein d’une grande entreprise, imaginer le contraire n’est pas réaliste. De même, il est difficile d’analyser et d’identifier les logiciels à autoriser. En effet, lorsqu’une organisation déploie une solution de contrôle des applications, elle choisit la plupart du temps de mettre en place une liste blanche, ce qui induit une analyse précise de chaque application, soit une tâche lourde et chronophage pour les équipes. Le plus simple est de se fier aux statuts "validé/refusé" proposés par défaut par le fournisseur du système d’exploitation. Or, tous les processus validés ne sont pas nécessairement fiables, comme par exemple ceux concernant les enfants, qui nécessitent une configuration manuelle pour assurer la protection de ces derniers. En effet, les malwares modernes peuvent passer outre les contrôles en utilisant des outils tels que PowerShell, pour ensuite télécharger en ligne les sources d’outils, notamment Mimikatz, pour les exécuter en mémoire. Ces malwares contournent par conséquent facilement les antivirus et solutions usant des listes blanches.

Pour pallier ce risque, les organisations peuvent recourir au principe de grey listing, option intermédiaire entre le white listing et le black listing, qui consiste à rejeter temporairement une application moins connue afin d’en déterminer le statut. Ces listes permettent également à des applications connues, mais potentiellement suspectes, de fonctionner avec des restrictions telles qu’une impossibilité de se connecter à internet et une limitation des droits d’accès. Ce principe apporte plus de souplesse à l’utilisateur final et empêche les applications d’accéder aux ressources sensibles, visées lors de cyberattaques. En outre, il est désormais possible de mettre en place différents niveaux de sécurité, grâce auxquels les employés peuvent définir des listes blanches et grises. Les grandes entreprises peuvent, dès lors, gérer simplement un grand nombre d’applications, et déterminer quels logiciels et fichiers provenant des partenaires commerciaux sont légitimes et sans risque. Face à la recrudescence des piratages, il est primordial de réduire au minimum la surface d’attaque au niveau des points d’accès. Pour ce faire, l’approche la plus adaptée consiste à coupler la gestion des droits administrateurs au contrôle des applications, celui-ci représentant un avantage majeur pour bloquer les facteurs d’attaque les plus courants, notamment utilisés par les ransomwares.

Une réaction ? Laissez un commentaire

Vous avez aimé cet article ? Abonnez-vous à notre Newsletter gratuite pour des articles captivants, du contenu exclusif et les dernières actualités.

Vitu

Jean-Christophe Vitu est VP Solution Engineers EMEA chez CyberArk.

Aucun commentaire à «Le greylisting, la nuance de gris pour faire face aux cyberattaques»

Laisser un commentaire

* Champs requis