Questions les plus fréquentes

Stonesoft Corporation International HeadquartersItälahdenkatu 22 A Fl-0021O Helsinki, Finland

tel. +358 9 4767 11 | fax. +358 9 4767 1349www.stonesoft.com

Stonesoft Inc. Americas Headquarters1050 Crown Pointe Parkway, Suite 900Atlanta, GA 30338, USAtel. +1 866 869 4075 | fax. +1 770 668 1131

Stonesoft Anti-evasion FAQ Page 2

IndexGlossaire...................................................... 3

Généralités et historique ........................... 5

Les solutions Stonesoft ............................ 10

Stonesoft Anti-evasion FAQ Page 3

GlossaireEvasion

Les techniques d’évasion sont un moyen de dissimuler ou de modifier une attaque, afin que celle-ci échappe à la détection et au blocage par les systèmes de sécurité des informations. Une évasion permet aux cybercriminels de faire pénétrer du contenu malveillant, de lancer un exploit ou une attaque au sein d’un réseau, le tout sans être détecté et bloqué. Les systèmes de sécurité ne savent pas repérer ces techniques d’évasions, de la même façon qu’un avion furtif peut attaquer sans être détecté par les radars ou d’autres systèmes de défense.

Anti-EvasionL’Anti-évasion est issue des recherches et des expériences technologiques menées dans l’objectif de protéger les données critiques (données et systèmes) contre les attaques avancées qui reposent sur des techniques d’évasions habituelles ou plus élaborées visant à contourner les systèmes de sécurité. L’ensemble des systèmes de sécurité, du firewall, à l’IPS, l’UTM, L’IPS sur l’hôte, l’antivirus et l’antispam devraient intégrer des fonction-nalités d’anti-évasion afin d’empêcher les techniques d’évasion avancées classiques et plus élaborées de corrompre les systèmes d’informations. Voir Anti-evasion Ready.

Stonesoft Anti-evasion FAQ Page 4

Advanced Evasion Techniques (AETs)Les techniques avancées d’évasion sont de nouvelles tactiques d’évasion qui peuvent être modifiées ou combinées afin de passer outre la détection par les systèmes de sécurité. Par nature, les AET sont dynamiques, inhabituelles, relativement incontrôlables en nombres et indétectables via des méthodes traditionnelles. Elles peuvent attaquer tous les niveaux de la pile TCP/IP, une multitude de protocoles ou de combinaisons de protocoles.Le nombre d’AET croît chaque jour de façon exponentielle. Elles représentent un challenge permanent et considérable pour le marché de la sécu-rité et les entreprises du monde entier.

Anti-evasion ReadyUn système Anti-evasion ready est une solution de sécurité conçue, construite et testée pour délivrer une protection dynamique contre les tech-niques d’évasion traditionnelles et plus avancées. Les solutions Anti-Evasion ready sont logicielles et savent se mettre à jour automatiquement, à distance et sans effort, à partir d’un point d’administration centralisée. Les appliances Anti-Evasion ready doivent pouvoir télécharger les patches AET actuels et les mises à jour de sécurité en permanence. Ces solutions doivent être capables de détecter, suivre et remonter les tentatives d’évasion via l’administration centralisée.

Stonesoft Anti-evasion FAQ Page 5

Généralités et historique Q Qu’est-ce qu’une évasion ?

Une évasion est une tactique de contournement des dispositifs de sécurité ayant pour objectif de lancer un exploit, une attaque ou d’autres mal-wares (virus, vers, chevaux de Troie) et d’infecter un réseau ou un système, sans être détectée.

Q Actuellement, que sait-on des évasions ?

On connait les évasions depuis le milieu des années 1990. Elles ont été le sujet principal de plusieurs évènements relatifs à la sécurité informatique, comme la sécurité informatique et la Shmoo Con. Ce sont Tim Newsham et Thomas H Ptacek qui ont livré une première description complète des évasions dans un rapport technique datant de 1998. Des recherches plus récentes ont également été menées par H.D. Moore dans le cadre du pro-jet Metasploit 3.0, qui visait à communiquer des informations détaillées et du code pour les développeurs d’exploits, les tests de pénétration et les chercheurs.De même, des laboratoires de tests comme les ICSA et les NSS Labs consacrent des tests spécifiques aux techniques d’évasions. Un sondage NSS Labs récent démontre que 45 % des éditeurs testés ont échoué au test élémentaire de détection de vulnérabilité.

Q Des évasions ont-elles déjà été utilisées dans le passé ?

Oui, mais il s’agissait d’évasions traditionnelles connues suivant les standards TCP/IP, ayant pour caractéristiques d’être assez connues, maîtrisées et peu nombreuses. Sous ces formes, les éditeurs de sécurité sont en mesure de contrôler et de délivrer une protection contre ces techniques. De même, ils sont capables de développer une nouvelle parade contre une nouvelle technique. Ces techniques avancées d’évasion ne répondent pas à ce principe : elles sont indétectables via des méthodes conventionnelles et permettent un nombre de combinaisons illimité, rendant ainsi la main-tenance et les mises à jour problématiques, surtout au sein des systèmes statiques.

Stonesoft Anti-evasion FAQ Page 6

Q Comment fonctionne une évasion ?

Les techniques d’évasion sont un moyen de dissimuler ou de modifier une attaque, afin que celle-ci échappe à la détection et au blocage par les systèmes de sécurité des informations. Prenons un exemple : un système conçu pour reconnaître des mots clés dans le langage, tels que « complot terroriste ». Une évasion simple consisterait à utiliser une autre langue que l’anglais, mais que chaque partie est toutefois capable de compren-dre. Cependant, la plupart des systèmes sait répondre à ce type de technique et en protéger. Une technique d’évasion avancée, elle, utilisera plus-ieurs langues. Plusieurs centaines de langues étant utilisées à travers le monde, ceci représente un nombre de possibilités bien plus important qui doivent trouver une parade. C’est pour cet aspect que la plupart des dispositifs échoue actuellement.

Q Pourquoi pense-t-on que les évasions sont une nouvelle forme de menaces à la sécurité ?

Les AET représentent une sérieuse menace pour les dispositifs de sécurité réseau du monde entier. Elles sont en effet capables de quasiment tous les contourner. Cette découverte est donc tout-à-fait significative et peut potentiellement modifier l’ensemble du paysage de la sécurité réseau.

Q Pourquoi des équipements de sécurité traditionnels du type firewalls ou IPS sont-ils incapables de détecter ces techniques d’évasion avancées ?

Jusqu’à aujourd’hui, les méthodes de tests de sécurité et les architectures de sécurité se pliaient aux règles conventionnelles du réseau. Les équipe-ments de sécurité ont été conçus pour combattre des techniques d’attaques connues. Il n’a jamais été envisagé qu’ils doivent faire face à des phé-nomènes inconnues. On est parti du principe que les pirates obéiraient tous aux mêmes règles.

Q Que se passera-t-il si une technique avancée d’évasion est utilisée contre un réseau d’entreprise ? Quel est le pire cas de figure ?

Les AET dépendent d’un hôte vulnérable localisé à l’intérieur du réseau. Cependant, les AET permettent aux pirates de tester une multitude d’exploits sans le risque d’être repérés. Un exploit s’appuyant sur une AET pénétrant un réseau signifierait, entre autres, la perte d’informations confidentielles, de données financières et d’éléments relevant de la propriété intellectuelle. Ceci impliquerait également des frais considérables, en termes de détérioration de la réputation, d’interruption de l’activité, de coûts de surveillance des crédits, de transactions financières frauduleuses et d’opportunités commerciales perdues.

Stonesoft Anti-evasion FAQ Page 7

Q Qu’a découvert et signalé la société Stonesoft en ce qui concerne les évasions ?

Stonesoft a découvert que les tentatives d’évasion visant à dissimuler des exploits ou des attaques fonctionnent à tous les niveaux de la pile TCP/IP. La plupart des évasions traditionnelles ne savent pas dissimuler un exploit. En revanche, les techniques avancées d’évasion permettent de combin-er un très grand nombre de techniques et de contourner une multitude de solutions IPS figurant dans le Carré Magique IPS du Gartner.

Q Pourquoi la société Stonesoft s’est-elle particulièrement intéressée aux évasions ?

Le groupe d’analyse des vulnérabilités Stonesoft aborde la recherche en technologies de l’information de façon proactive et s’appuie sur plus-ieurs années d’expérience assorties d’une expertise technique considérable. Convaincus que toutes les problématiques liées à la sécurité n’ont pas été explorées, les membres de ce groupe s’efforcent de remettre en question les faits établis et réfléchissent sans cesse à de nouvelles méthodes qu’utilisent les cybercriminels pour mener à bien leurs attaques et aux façons de se défendre contre ces attaques. S’il est possible pour la recherche d’imaginer ces méthodes, des pirates désireux de gagner de l’argent peuvent tout à fait faire de même.

Q Qui travaille pour Stonesoft ?

Les équipes de Stonesoft sont composées des meilleurs professionnels du marché. Beaucoup d’entre eux justifie de très hauts diplômes assortis de plusieurs années d’expérience dans le domaine des systèmes d’informations. Les développeurs de Stonesoft ont déposé de nombreux brevets dans le secteur, dont nos technologies de clustering et de répartition de charge, récompensées à plusieurs reprises. Nos clients ont non seulement l’assurance de collaborer avec un fournisseur de solutions délivrant la meilleure protection contre les TAE, mais également capable de comprendre comment gérer et limiter les risques liés à ces techniques.

Q Qui/ quelle équipe/ quel département de Stonesoft a découvert cette nouvelle attaque?

Le groupe d’analyse des vulnérabilités Stonesoft

Q Comment ont-ils fait cette découverte ?

R: Lors de tests sur leur propres produits, tests menés à l’aide d’outils développés en interne. Le département R&D de Stonesoft est très actif et travaille constamment dans la perspective de délivrer à ses dispositifs les plus hauts niveaux de sécurité du marché.

Stonesoft Anti-evasion FAQ Page 8

Q Pourquoi les experts ayant mis à jour ce phénomène si problématique n’expliquent-ils pas eux-mêmes leur découverte ?

Nos experts ont travaillé en collaboration avec des laboratoires de tests indépendants, des analystes et ont coordonné le détail des recherches dans le monde entier pour enfin en informer le CERT. Cette découverte a non seulement été validée par nos porte-parole techniques mais également par ces organismes tiers indépendants.

Q Qui les AET peuvent-elles toucher ?

Les AET peuvent affecter toute entreprise ayant mis en place des technologies de prévention des intrusions n’ayant pas été mis à jour pour devenir Anti-evasion ready. A l’heure actuelle, l’ensemble des recherches démontrent que beaucoup d’éditeurs présents dans le Cadrant Magique IPS du Gartner n’ont pas su détecter des attaques reposant sur des AET.

Q Quels secteurs sont les plus touchés ?

Malheureusement, aucune industrie n’est complètement à l’abri. Notre inquiétude porte surtout sur les infrastructures critiques des entreprises, cibles les plus stratégiques pour un cybercriminel lançant une attaque dans le but de recueillir des données financières ou politiques.

Q Comment peut-on prouver que les AET représentent véritablement une menace ?

Stonesoft a mené à bien des tests approfondis en interne et auprès de laboratoires de tests indépendants et d’instituts de recherche. Le résultat est tout à fait démontrable. Il a d’ailleurs été confirmé par le CERT-FI, l’US-CERT, le CERT/CC et les laboratoires ICSA.

Q Quelle est la différence entre une AET et une APT (Advanced Persistent Threat) ?

Même si elles présentent des similarités, les AET et les APT ne sont pas les mêmes. Les APT sont généralement des techniques et des technologies de collecte de données secrètes et surtout, les APT ne sont pas opportunistes. L’objectif des AET est de délivrer une charge malveillante sur un sys-tème vulnérable sans être détectées. En d’autres termes, les AET peuvent tout à fait servir de vecteur à une APT, mais les AET ne comprennent pas en tant que telles d’ingénierie sociale ou d’aspects non-techniques.

Stonesoft Anti-evasion FAQ Page 9

Q Comment être certain que les systèmes existants ne sont pratiquement pas protégés contre les AET ?

Les techniques d’évasion habituelles s’appuient sur plusieurs méthodes d’attaques d’obfuscation. Même si ceci est variable et que certaines solu-tions sont meilleures que d’autres en matière de prévention, l’ensemble des techniques d’évasion fonctionnent sur des règles bien connues qui limi-tent la créativité de l’évasion. La prévention des évasions traditionnelles reste donc un phénomène relativement prévisible. Les AET, en revanche, ne se comportent d’aucune façon connue et peuvent se combiner. Une solution de sécurité actuelle aura du mal à résister à une technique d’évasion imprévisible, couplée à des possibilités de combinaisons illimitées.

Stonesoft Anti-evasion FAQ Page 10

Les solutions Stonesoft Q Les dispositifs de Stonesoft savent-ils détecter les AET ?

Aujourd’hui aucune solution sur le marché ne peut combattre le nombre infini d’AET. Cependant, grâce aux recherches avancées de Stonesoft, les solutions StoneGate Firewall/IPS sont régulièrement mises à jour pour se protéger des AET et peuvent recevoir davantage de mises à jour via notre console d’administration centralisée dynamique, très rapidement et sans interruption d’activité. Stonesoft offre la protection la plus complète du marché contre les AET et s’engage à continuer ses recherches pour l’amélioration de la sécurité réseau.

Q Pourquoi pensez-vous que Stonesoft a un avantage dans cette situation ?

Les solutions dynamiques sont adaptées pour protéger contre les AET. Stonesoft propose des solutions de sécurité réseau, basées sur du logiciel, dynamiques et flexibles, et délivre l’administration et les mises à jour contre ces nouvelles menaces.Stonesoft est également pionnier en termes d’approfondissement des recherches sur les évasions et continuera à exploiter de nouvelles façons de concevoir des solutions proactives capables de défendre contre ces nouvelles menaces à la sécurité.

Q Pourquoi les entreprises ont-elles recours à des technologies statiques ?

Les technologies statiques ont tendance à privilégier les performances aux dépens de la sécurité. Dans des environnements ou le débit importait plus qu’aucune autre chose, le ratio vitesse/sécurité était considéré comme acceptable. Malheureusement, cette technique de normalisation des flux pour l’inspection présente des inconvénients. Les solutions développées chez Stonesoft visent à sécuriser le réseau sans endommager les per-formances ou la sécurité.

Stonesoft Anti-evasion FAQ Page 11

Q Les solutions logicielles sont connues pour être lentes. Comment cela se fait-il ?

Les toutes premières technologies de sécurité, la mémoire et les processeurs, très lents, n’étaient pas à même d’être correctement mis en place dans une infrastructure uniquement composée de logiciels. Ça n’est plus le cas désormais. Les solutions logicielles ont à présent des capacités considéra-bles pour profiter des améliorations en termes de processeurs et de mémoire, notamment les technologies multi-core et multi-fils et les systèmes 64-bits. Les solutions Stonesoft sont également basées sur une architecture modulaire qui permet des mises à jour rapides, dynamiques et flexibles et une approche qui sait s’adapter aux menaces inconnues et imprévisibles.

Q Quelles étapes les entreprises doivent-elles mettre en place pour se protéger des AET ?

Les entreprises doivent déjà commencer par auditer les infrastructures et les données critiques. Puis, elles doivent identifier les serveurs où sont hébergées ces données critiques. Enfin, en fonction de leur évaluation des risques, elles doivent protéger ces données. Les entreprises doivent dé-ployer une administration centralisée et trouver des solutions dynamiques et flexibles.

Q N’est-il pas extrêmement coûteux pour les entreprises de remplacer l’ensemble des systèmes de sécurité ?

Cela dépend de la taille de la société. Dans certains cas, l’opération peut se révéler extrêmement coûteuse. La mise à jour des dispositifs de sécurité prendra beaucoup de temps et nécessitera des ressources financières et humaines considérables si les entreprises ne disposent pas d’une con-sole d’administration centralisée. Cependant, les coûts liés à la perte de revenus, aux fuites de données et la dégradation de la réputation peuvent s’avérer encore plus coûteux. Nous ne sommes absolument pas en train de dire que tous les dispositifs de sécurité doivent être remplacés en même temps. Dans un premier temps, les entreprises devraient commencer par suivre les recommandations ci-dessus, puis renforcer leur sécurité au moyen de solutions dynamiques, tout en développant une stratégie à long-terme visant à corriger le problème.

Q Qu’entend Stonesoft par solution de sécurité dynamique ?

Une solution de sécurité dynamique est flexible, logicielle capable de se mettre à jour et à niveau à distance, d’offrir des technologies de flexibilité de la connectivité afin d’optimiser les flux tout en réduisant les interruptions réseau. Elle comprend également une console d’administration cen-tralisée dotée d’outils visant à faciliter les process de sécurité. La technologie de Stonesoft est leader dans ce domaine.

Stonesoft France SAS38, Rue de Villiers

FR-92300 Levallois, Francetel. +33 (0)1 47 58 48 05 | fax. +33 (0)1 47 58 56 17

info.france@stonesoft.com

Stonesoft Corporation International HeadquartersItälahdenkatu 22 AFl-0021O Helsinki, Finlandtel. +358 9 4767 11 | fax. +358 9 4767 1349www.stonesoft.com

Cop

yrig

ht 2

010

Sto

neso

ft C

orpo

ratio

n. A

ll rig

hts

rese

rved

. All

spec

ifica

tions

are

sub

ject

to c

hang

e.