Johanne Ulloa, Solution Architect Trend Micro

Johanne UlloaInterview de Johanne Ulloa, Solution Architect chez Trend Micro
 

 

 

 Je travaille depuis 12 ans dans le domaine de la sécurité dont 10 ans dans le domaine de la sécurité applicative Web. J’ai rejoint Trend Micro il y a bientôt un an. Mon rôle chez Trend Micro consiste principalement à cerner les problématiques de sécurité que peuvent rencontrer nos clients grands comptes et de leur préconiser les solutions les mieux adaptées.

Le métier de Trend Micro consiste à protéger les données de ses clients. Les solutions de Trend Micro permettent, en fonction des problématiques, de protéger l’échange des données, de garantir l’accessibilité ou d’en assurer leur intégrité.

L’innovation est dans l’ADN de Trend Micro qui est reconnu comme étant le leader dans le domaine de la sécurité des environnements virtuels et du cloudcomputing :

  • n°1 Cloud Security(Etude Technavio2012)
  • n°1 Marketshare Leaders in Virtualization Security(Etude Technavio 2012 – Global Virtualization Security Management Solutions Citation)
  • n°1 Largest Independent Security Vendor(Etude  Quocirca Ltd réalisée en 2011 :Selected independent IT security vendor revenues)

 

 

2/ Quelles ont été les grandes tendances en matière de cybercriminalité en 2012

 

Les cyberdélinquants se professionnalisent. Ils attaquent les entreprises et les particuliers avec des objectifs différents en fonction de leur profil que l’on peut classifier en 3 catégories :

 

  • Les cyberdélinquants dont le but est de faire de l’argent : Ils vont le plus souvent attaquer les particuliers. Parmi les attaques les plus perpétrées en 2012 dans cette catégorie, on retrouve :
    • Les ransomware :
      • Ce type de malware bloque l’ordinateur de l’utilisateur sous un prétexte fallacieux et réclame le paiement d’une « amende » pour le débloquer. En France le fameux malware « Gendarmerie »a impacté un nombre important d’utilisateurs.

 

  • Les ATS (Automatic Transfer System) :
    • Ce type de malware est conçu pour réaliser des transferts de fonds depuis le site de banque en ligne de l’utilisateur. Le malware est injecté dans le navigateur de la victime et il attend patiemment que la victime accède à son site de banque en ligne. Dès que l’utilisateur s’authentifie sur son site, le malware vérifie quel est le montant qu’il peut transférer. Il réalise l’opération à l’insu de l’utilisateur et masque le transfert qui a été réalisé. Pour lutter contre ce type d’attaque, certaines banques ont mis en place un mécanisme de confirmation par SMS. Cette année, on a vu ce mécanisme déjoué par l’envoi de pop-up à l’utilisateur (qui semblent venir du site de banque en ligne) en lui indiquant qu’il va recevoir un SMS de test qu’il devra confirmer.

L’ATS qui a fait le plus de victimes est « Zeus » et ses variantes.

 

  • Utilisation de services surtaxés :

Le système Android a été développé en prenant en considération les problématiques de sécurité (secure by design). Toutefois, aucun contrôle n’est réalisé sur les applications délivrées par les développeurs. Aussi, il est très facile pour les cyberdélinquants de mettre à disposition des utilisateurs des applications qui vont provoquer une consommation de services surtaxés (SMS ou tel).

Les entreprises ont également payé un lourd tribut cette année à ce type de cyber délinquant. Même si on a vu l’émergence des attaques ciblées les années précédentes, on a vu une forte recrudescence de ce type d’attaques en 2012, comme Lucky Cat dont plusieurs entreprises dans différents secteurs d’activité ont été les victimes. Les entreprises et organisations gouvernementales françaises n’ont pas été épargnées. Il y a fort à parier que le nombre de ces attaques va augmenter en 2013, car, d’une part, une offre « Crime As A Service » est disponible sur le marché noir, ce qui met à la portée d’un grand nombre de personnes des outils d’exploitation de vulnérabilité (Blackole exploit kit, cool exploit kit, DaRKDDoSseR, etc.) et de prise de contrôle à distance (Citadel, Zeus, Xtrem RAT, Gh0st RAT).D’autre part, les entreprises n’ont généralement pas encore pris la mesure du danger qui les guette et leurs moyens de défense ne sont pas adaptés.

 

  • Les « hacktivistes ». Leur objectif : la revendication. Leur spécialité : le « défacement » de sites web et les dénis de services. Les particuliers ne sont pas visés. Les hacktivistes s’attaquent principalement aux entreprises et organisations gouvernementales.

 

  • Les cyberguerriers/espions. Dans cette catégorie, on retrouve les états. Ils conduisent des attaques qui permettent de récupérer des données sensibles ou d’endommager des systèmes critiques. En dehors des organisations gouvernementales, certaines entreprises peuvent être ciblées par leurs attaques comme les entreprises d’importance vitale (EIV)

 

 

3/ Que proposez-vous comme solutions aux internautes ?

 

Les solutions proposées par Trend Micro couvre un spectre fonctionnel très large, mais toujours orienté sur la protection des données : Protection de l’échange des données à travers les passerelles web et mails, protection des postes clients, protection des centre de données et des environnements virtuels et enfin un axe dédié à la gestion des risques (détection des menaces qui pèsent sur les infrastructures et les données ainsi qu’une offre de service orientée cyber-défense pour aider les entreprises à mieux réagir lorsqu’une menace a été détectée). 

 

Parmi les solutions ayant le vent en poupe actuellement, citons :

  • Deep Security, une plateforme de sécurité permettant de protéger les centres de données contre les principales menaces (exploitation de vulnérabilités, attaques web, malwares et attaques ciblées). Deep Security est adaptée aux environnements virtuels, physiques ou Cloud et ce, pour les principaux systèmes d’exploitation (Solaris, Windows, Linux, IBM-AIX et HP-UX).Deep Security permet notamment d’unifier les différentes briques de sécurité et ainsi de faciliter la gestion de la sécurité des centres de données.

 

  • Deep Discovery : Une solution qui permet de détecter les menaces avancées telles que les attaques ciblées qui frappent les entreprises et les organisations gouvernementales jusqu’au plus sommet de l’état (Cf le dossier de l’express du mois de novembre 2012 sur la cyberguerre). Ces attaques sont conduites de manière à outrepasser les lignes de défense traditionnelles : dans un premier temps, des renseignements sont pris sur une personne de l’entreprise (la plupart du temps ces informations sont recueillies sur les réseaux sociaux). Puis un mail ou une demande de contact est envoyé à la cible. Ce message est particulièrement bien personnalisé pour que la victime soit tentée de suivre le lien ou d’ouvrir la pièce jointe contenue dans le mail. Le lien conduira la victime sur un site web dont le but sera d’exploiter une vulnérabilité de l’environnement de l’utilisateur. Cette exploitation permettra l’installation d’un cheval de troy. Une fois dans la place, le malware tentera d’infiltrer d’autres machines pour maintenir un lien avec les attaquants et obtenir les données recherchées. Ces attaques sur mesure nécessitent une défense adaptée (custom defense) : Deep Discovery dispose de machines virtuelles appelées « sandbox ». Les fichiers ou les liens transmis aux utilisateurs vont être analysés au sein de ces sandbox afin de déterminer si leur comportement est malveillant. Par exemple, si un fichier tente d’exploiter une vulnérabilité et qu’il ouvre une connexion réseau vers l’extérieur, une alerte sera levée ce qui permettra de mener les mesures de remédiation le plus tôt possible. D’autre part, une signature spécifique sera générée et déployée dans l’infrastructure afin d’adapter les lignes de défense de l’entreprise à cette nouvelle menace (custom défense). 

 

Pour les particuliers, Trend Micro propose des solutions telles que Titanium, un antimalware s’appuyant sur notre infrastructure Cloud : « Smart Protection Network » (SPN). SPN collecte, analyse et corrèle les différentes sources de menaces auxquelles peuvent être confrontés les utilisateurs (professionnels ou privés). Ainsi, chaque jour, ce sont 6 Terra octets de données qui sont analysées et 200 millions de menaces qui sont bloquées.

 

L’ensemble des solutions Trend Micro s’appuient sur le SPN, qui identifie les nouvelles menaces rapidement en amont et permet de réagir plus efficacement face aux nouvelles menaces afin de sécuriser les données où qu'elles soient.

 

Ces solutions sont également enrichies notamment grâce aux informations que nous récupérons de nos TrendLabs. Constitués de plus de 1 000experts en menaces et ingénieurs spécialisés, les TrendLabs constituent un réseau international chargé de surveiller les menaces24h/24 7j/7, de prévenir les attaques et de fournir des solutions rapides afin d'aider les clients à sécuriser leurs données, dans ce monde numérique en constante évolution.

 

 

4/ Quels conseils pouvez-vous donner aux Internautes contre la montée de la cybercriminalité,

 

Les entreprises doivent changer le regard qu’elles portent sur les risques qui pèsent sur leurs données. Elles avaient jusqu’ici tendance à considérer qu’une compromission était fortement improbable, or un certain nombre de constats démontre qu’une telle position n’est plus tenable :

 

  • Premier constat : Il y a quelques années, les interactions avec l’extérieur étaient minimes et les données étaient centralisées au sein de l’infrastructure de l’entreprise. Aujourd’hui, c’est le contraire : les échanges avec l’extérieur sont légion et les données sont disséminées sur les ordinateurs portables, tablettes et smartphones. Les moyens de défense qui étaient adaptés par le passé (basés sur la protection périmétrique) sont ainsi toujours nécessaires, mais ne suffisent plus.

 

  • Deuxième constat : Les entreprises sont principalement victimes d’exploitation de vulnérabilités, car elles ont du mal à maintenir leurs systèmes à jour. Elles doivent donc utiliser des solutions qui permettent de faire ce que l’on appelle du virtualpatching. Le virtualpatching permet de protéger immédiatement les systèmes et applications vulnérables et donne donc du temps aux entreprises pour appliquer les patchs de sécurité.

 

  • Troisième constat : Les attaques avancées outrepassent les moyens de défense traditionnels périmétriques et basés sur les mécanismes de reconnaissance de signatures. Il faut donc mettre l’accent sur la détection de signaux faibles, significatifs d’une compromission. Et comme ces attaques exploitent toujours une faiblesse humaine. Il faut éduquer ses utilisateurs en menant des campagnes de sensibilisation.

 

Fortes de ces constats, les entreprises doivent changer de posture et considérer que les compromissions sont inévitables et surviendront à coup sûr. Cela leur permettra de mieux adapter leur défense, comme pour un supermarché ou l’on sait que le vol est inévitable et où l’on met des moyens de défense adaptés : caméras de surveillance, vigiles, barrières électroniques, etc. Sans cette prise de conscience, les entreprises continueront d’utiliser des outils et des méthodes inadaptés et les individus malveillants n’auront qu’à se servir. Rappelons que les données ne disparaissent pas lorsqu’elles sont volées (contrairement aux objets volés dans le monde réel). La plupart des compromissions passent donc inaperçues… Ceci n’incite pas les entreprises à faire les efforts qui sont pourtant absolument nécessaires pour circonscrire les risques.

 

Pour faire face et minimiser les risques il faut :

 

  • Déterminer quelles sont les données importantes de l’entreprise susceptibles d’être convoitées (le plus souvent : bases clients, secrets industriels, avantages compétitifs) et mettre l’accent sur la surveillance de ces données :
    • Etre capable de déterminer qui accède à ces données (mettre en œuvre des solutions de gestion d’identité et de gestion des droits)
    • Surveiller l’intégrité des serveurs hébergeant ces données (mettre en œuvre des solutions de gestion d’intégrité de fichiers)
    • Surveiller les logs de ces serveurs (utiliser des solutions qui vont permettre de faire ressortir de la masse d’information les évènements de sécurité significatifs)
    • S’assurer que ces serveurs sont à jour pour réduire la surface de vulnérabilité
    • Disposer de moyens de virtualpatching pour protéger contre l’exploitation de vulnérabilités pour encore réduire la surface de vulnérabilité

 

  • Etre à l’écoute des signaux faibles sur le réseau, qui peuvent être significatifs d’une compromission.(Utiliser des solutions adaptées à la détection des menaces et s’appuyer sur l’expertise de sociétés spécialisées telle que Trend Micro)

 

Bien entendu, la mise en œuvre de ces solutions techniques doit être accompagnée de moyens humains : des personnes chargées d’exploiter et d’analyser les informations remontées par les moyens techniques et de conduire à la remédiation. Il conviendra également d’éduquer ses utilisateurs  en les sensibilisant aux pièges qui sont susceptibles de leur être tendus.

 

Tout cela sera couteux et pénible à mettre en œuvre, mais seules les entreprises qui s’en seront donné les moyens auront une chance de préserver leurs secrets industriels, leurs avantages compétitifs, leurs bases client.