http://www.journaldunet.com/
Nicolas Leseur, Telindus. Marketing et Innovation – sécurité, virtualisation et stockage
Après plus de douze ans de service, Windows XP est officiellement en fin de support depuis le 8 avril 2014. Pour les entreprises qui n’ont pas changé de version, une question se pose : comment rester protégées ?
Désormais, l’assistance
technique pour Windows XP n’est plus disponible, y compris les mises à jour
automatiques permettant de protéger les PC équipés de l’OS Microsoft. Dès lors,
l’arrêt des patchs de sécurité pour Windows XP va provoquer une hausse
prévisible d’attaques encore inconnues (0 days). Il s’agit donc de savoir
comment s’en prémunir.
Quelle est la
situation ?
Un PC sur deux, dans les grandes entreprises, est encore
sous Windows XP. De nombreuses applications ont été développées spécifiquement
pour XP et empêchent la migration vers un OS plus récent, sans parler des PC en
environnement SCADA, ni des distributeurs de billets qui ne peuvent pas tolérer
une version plus récente de Windows. On pourrait s’imaginer qu’un OS, au bout
de douze années de vie, arrive à une certaine maturité et que les failles de
sécurité ont été corrigées et patchées au fur et à mesure. Il est vrai que les
vulnérabilités ne cessent de se succéder depuis quelques années mais il serait
surprenant que cela s’arrête subitement. De plus, un OS qui ne sera plus mis à
jour est une cible de choix pour les cybercriminels qui auront, de fait, une
plus grande « fenêtre » d’exploitation des nouvelles vulnérabilités.
La migration d’XP vers
un OS plus récent n’est pas prévue… Que faire alors pour protéger votre Système
d’Information ?
Un autre problème rend l’OS Windows plus exposé : les
versions plus récentes de Windows partagent du code avec XP. En corrigeant de
futures failles sur Windows Vista, 7 et 8, Microsoft va donc indirectement
exposer les versions de son ancien OS aux hackers en fournissant des
renseignements sur les failles présentes dans les systèmes d’exploitation plus
anciens, qui, elles, ne seront pas corrigées. En dehors des impacts d’une
attaque directe utilisant des failles de sécurité sur XP, dans une entreprise,
la menace réside aussi dans le nombre de « PC zombies » sous XP qui
seront utilisés pour des attaques de grande envergure, comme des dénis de
service par exemple.
Quelles sont les solutions ?
Le problème vient principalement du nombre d’attaques
utilisant des failles « 0 day » qui va augmenter avec la fin de
support d’XP. Les PC équipés de cet OS ne seront rapidement plus à jour, et il
va falloir avoir recours à d’autres méthodes pour continuer à protéger les
entreprises.
Le web étant un des vecteurs prédominants de propagation des
malwares, la version du navigateur utilisée peut alors avoir un impact sur la
sécurité du poste de travail. La dernière version d’Internet Explorer 8,
disponible pour XP, n’est également plus supportée et présente des risques au
niveau sécurité du surf Web. Pour limiter ces risques, on peut alors
sélectionner un autre navigateur, tel que Chrome ou Firefox, dont le support
pour les versions compatibles XP continuera pendant au moins deux ans.
Pour protéger les PC équipés de Windows XP et, par
extension, leur système d’Information, les entreprises vont devoir avoir
recours à des moyens « externes » de sécurisation. Dans un contexte
de cybercriminalité grandissante et de menaces de plus en plus complexes et
furtives, il existe déjà des solutions qui permettent de protéger les
entreprises contre les malwares nouvelle génération et les attaques de type 0
day. Ces solutions sont donc d’autant plus pertinentes pour protéger les postes
sous XP.
Il s’agit de solutions de type sandboxing qui vont émuler
dans un environnement clos et sécurisé (machine virtuelle) le fonctionnement
d’un poste de travail (sous XP par exemple !) afin de simuler l’impact de
l’exécution d’un contenu malicieux. Cette technologie est positionnée en
périmétrie et en coupure des flux mail et web principalement. Une fois le
malware détecté, il est possible de comprendre le vecteur de l’attaque et de
savoir quel OS ou quelle application peuvent être touchés. Cela permet d’avoir
des informations pertinentes afin d’effectuer la remédiation des postes
infectés. De plus, une fois le mode opératoire du malware connu, on va pouvoir
bloquer les flux qui auraient pu permettre au malware de communiquer vers
l’extérieur vers les callback servers.
Vérifier et sécuriser
le réseau et le poste de travail
Ce type de solution est très efficace pour détecter les
attaques ou codes malicieux qui n’ont pas été arrêtés par des moyens plus
traditionnels comme les IPS, proxy ou antivirus, qui ont un système de
détection basé sur des signatures. Néanmoins la détection se fait en périmétrie
du Système d’Information, et même si elle donne de bonnes indications sur une
infection potentielle, il reste encore à savoir si les postes de travail ont
été touchés. L’idéal est donc de coupler cette technologie de détection avec
une solution qui permette de vérifier de manière automatique si les PC ont été
infectés. Les deux solutions couplées établissent un lien entre « ce qu’il
se passe sur votre réseau » et « ce qu’il se passe sur vos postes de
travail ».
Mais quel est le
principe de fonctionnement ?
Des agents sont déployés sur les postes de travail et sont
gérés de manière centrale par une appliance dédiée. Une autre appliance
(fonction sandboxing), située en périphérie et positionnée sur le réseau,
détecte la menace et envoie les informations au boitier central. Ce dernier
donne une visibilité sur les postes touchés par l’incident, avec un rapport
détaillé sur celui-ci. Il est alors possible de mettre les postes infectés en
quarantaine pendant les opérations de remédiation.
Faire un lien entre
« ce qu’il se passe sur votre réseau » et « ce qu’il se passe
sur vos postes de travail ».
Aucun commentaire:
Enregistrer un commentaire