Protection des postes de travail : éviter le surblocage

19 Mar 2019

Comment les cybercriminels attaquent-ils les postes de travail ? En général, ils exploitent les vulnérabilités des programmes fréquemment utilisés, ou les fonctions potentiellement dangereuses d’un logiciel légitime. Il existe bien évidemment d’autres méthodes, mais ces deux stratagèmes sont les plus courants. Il peut donc sembler logique de limiter l’utilisation de tels programmes. Comment le faire sans pour autant nuire aux processus commerciaux ? Bloquer un logiciel sans réfléchir peut endommager sérieusement votre entreprise. Vous devez prendre en compte les différences qui existent entre les rôles de chaque employé. Notre approche consiste à réduire la surface d’attaque en utilisant le contrôle évolutif d’anomalies, ce qui est possible grâce aux techniques d’apprentissage automatique.

Depuis de nombreuses années MS Office avait la particularité d’être le roi du nombre de vulnérabilités exploitées. Cela ne signifie pas pour autant que le logiciel est mauvais. Les vulnérabilités sont omniprésentes. C’est juste que les cybercriminels se concentrent plus sur Office que sur ses concurrents parce qu’il s’agit du logiciel le plus communément utilisé. Même si votre entreprise est prête à dépenser de l’argent pour former le personnel à utiliser un autre programme, dès qu’une autre suite bureautique devient populaire, elle va détrôner Office et occuper la première place du classement des logiciels exploités.

Certains produits ont des fonctions qui sont clairement dangereuses. Par exemple, les macros de ce même programme Office peuvent être utilisées pour exécuter un code malveillant. Mais une interdiction générale ne serait pas pratique. Les analystes et comptables financiers ont besoin de ces outils dans leurs opérations quotidiennes.

La tâche consiste à déterminer comment surveiller de près ces programmes, et à n’intervenir que lorsqu’une activité anormale est détectée. Ce n’est pas un problème.

Qu’est-ce que vous considérez comme activité anormale ?

L’essence de l’activité du cybercriminel est de sembler légitime aux yeux des systèmes de sécurité. Comment un système de cybersécurité peut-il déterminer si le message envoyé à un employé, avec un fichier important en pièce jointe, contient une macro ou un cheval de Troie ? Cette personne a-t-elle envoyé un fichier .is dans le cadre du travail ? Ce fichier cache-t-il un virus ?

Il serait possible, du moins en théorie, d’analyser manuellement le travail de chaque employé, de déterminer les outils indispensables et ceux dont ils n’ont pas vraiment besoin et, sur la base de ces informations, d’établir un modèle de menaces et de bloquer certaines fonctions du programme.

C’est là que les choses se compliquent. Tout d’abord, plus l’entreprise est grande, plus il est difficile de construire un modèle précis pour chaque employé. Ensuite, même pour une petite entreprise, une configuration manuelle demande beaucoup de temps et d’efforts de la part des administrateurs. Enfin, il faudra certainement répéter tout le processus lorsque l’infrastructure de l’entreprise ou les outils utilisés seront modifiés.

Contrôle évolutif

Nous avons mis en place un processus d’automatisation de la façon suivante : les systèmes qui reposent sur les principes de l’apprentissage automatique ont ratissé nos bases de données relatives aux menaces, et ont généré des modèles standards d’activité potentiellement dangereuse. Nous avons ensuite mis en place des points qui bloquent ces modèles sur chaque poste de travail spécifique.

Ensuite, nous avons créé un mode d’adaptation automatique, aussi dit Smart, pour analyser l’activité de l’utilisateur et déterminer les règles qui peuvent être appliquées, et celles qui pourraient interférer avec les opérations normales. Ce mode fonctionne de la façon suivante : le système recueille les statistiques relatives au déclenchement des règles de contrôle pendant un certain temps en mode apprentissage, puis crée un modèle correspondant à l’opération normale de l’utilisateur ou du groupe (scénario légitime). Le mode apprentissage est ensuite désactivé, et seules les règles de contrôle qui bloquent les actions anormales sont activées.

Si le modèle de travail de l’utilisateur change, le système peut à nouveau passer au mode apprentissage et s’adapter au nouveau scénario. Il existe également une option permettant d’affiner les réglages au cas où il faudrait ajouter certaines exclusions.

Le remède miracle n’existe pas, mais ce système permet de réduire considérablement la surface pouvant souffrir d’une attaque.

Le module de Contrôle évolutif des anomalies (AAC) fait partie de notre solution Kaspersky Endpoint Security for Business récemment mise à jour, et dévoilée aux utilisateurs il y a peu. Cliquez sur la bannière ci-dessous pour télécharger la version d’essai.