Le chiffrement des données: la meilleure « planque » pour les logiciels malveillants | Commentaires de Kevin Bocek, VP Threat Intelligence and Security Strategy chez Venafi

Close up of man typing on laptop computer with glowing technology effect

Retour sur le rapport de l’Institut Ponemon publié fin Août par A10 Network

A10 Networks a publié fin Août un rapport Ponemon mettant en lumière le problème posé par la dissimulation de malwares dans du trafic crypté.

Ce récent rapport révèle que les pirates informatiques utilisent le chiffrement pour dissimuler leurs activités malveillantes et le font de telle manière qu’il est quasiment impossible de les déceler. Pourtant près de la moitié des cyber-attaques seraient concernées par ce phénomène !

Voici un aperçu des principaux enseignements de ce rapport :

  • 80 % des entreprises ont été victimes de cyber-attaques l’an dernier.
  • Près de la moitié de ces cyber-attaques dissimulaient des logiciels malveillants dans du trafic crypté afin d’échapper à toute détection.
  • 75 % des experts informatiques interrogés admettent que ces malwares seraient susceptibles de détourner les identifiants des collaborateurs sur leurs réseaux.

Kevin Bocek, VP Threat Intelligence and Security Strategy chez Venafi (spécialiste de la protection des clés et certificats) commente:

« Une nouvelle étude confirme un constat devenu manifeste depuis 1 an : 75 % des entreprises dilapident leurs budgets sécurité, puisqu’elles s’avèrent incapables de déceler les agissements de pirates qui se camouflent derrière du trafic crypté ! (À la limite, preuve est donnée que des professionnels honnêtes sont disposés à admettre les failles qui minent les fondements de leur sécurité.) Sachant que près de la moitié des attaques utilisent du trafic crypté, la prédiction de Gartner selon laquelle 50 % des attaques réseau cibleront les protocoles SSL/TLS d’ici à 2017 est d’ores et déjà réalisée. Cet échec signifie que la plupart des investissements réalisés dans les pare-feu de nouvelle génération, les mécanismes sandbox, l’analyse comportementale et autres systèmes de sécurité le sont tout simplement en pure perte. La tâche ingrate qui consiste à localiser les clés et certificats TLS/SSL et à mener à bien l’inspection SSL a beau s’inscrire au cœur de la cyber-sécurité, cet enjeu demeure négligé.

L’incapacité à décrypter le trafic entrant et inter-réseau est entretenue par le chaos provoqué par le recours aux clés et certificats. C’est nous – professionnels de la sécurité – qui avons créé cet angle mort. Cette étude conjointe entre A10 et Ponemon Institute établit clairement que l’insuffisance des ressources et l’automatisation des contrôles entretiennent une situation quasi-démentielle : nous ne cessons de multiplier les clés et les certificats et de renforcer le cryptage, tout en étant incapables d’y mettre le nez. Comment un administrateur pourrait-il centraliser et maîtriser le nombre croissant de clés et de certificats indispensables au décryptage ? Les entreprises s’en remettent au cryptage par défaut. Certaines initiatives, comme Let’s Encrypt, ont contribué à assurer la gratuité des certificats, créant par là-même un scénario dangereux. Les clients de Venafi indiquent avoir repéré près de 16 500 clés et certificats TLS/SSL NON IDENTIFIÉS, autrement dit du trafic crypté dont ils ignoraient même l’existence. Et ce, alors même que la progression des clés et certificats est de l’ordre d’au moins 20 % en glissement annuel : au moins 23 000 clés et certificats TLS/SSL sont en service dans chacune des 2 000 premières entreprises au monde. Quant au DevOps et au cloud, avec ses microservices et son élasticité, ils ne feront qu’accroître le nombre de clés et de certificats, et accélérer encore le trafic TLS. Le problème empirera forcément avant qu’une embellie ne s’annonce.

Les menaces ne feront que s’amplifier jusqu’à ce que nous déployions les contrôles de sécurité 1) indispensables au décryptage du trafic 2) libérant automatiquement les clés et certificats nécessaires au décryptage. Aucun être humain ne peut à a fois centraliser l’ensemble des clés et certificats utilisés au sein d’une grande structure, assurer leur protection, puis s’occuper de les renouveler avant expiration et de gérer leur remplacement chaque semaine. Même si plusieurs collaborateurs à plein temps se consacrent à ce problème, ils ne seront pas en mesure de localiser la totalité des sessions TLS/SSL et de dresser l’inventaire des clés et certificats existants pour identifier les malwares dissimulés dans du trafic crypté.

Malheureusement, il s’agit là d’un angle mort que nous persistons à vouloir ignorer. Exemple probant de cet aveuglement : l’obligation imposée par l’administration fédérale américaine (le Royaume-Uni a agi de même) de sécuriser les sites web par le protocole HTTPS chiffré au moyen de clés et de certificats d’ici le 31 décembre 2016. Le DSI des États-Unis a défini des règles pour renforcer le cryptage, mais a totalement omis de fournir des directives sur la manière de se défendre contre des pirates se dissimulant au sein de ce nouveau trafic crypté. Jamais ce problème n’a été abordé, ni la façon d’y remédier. Jamais.

L’époque est on ne peut plus favorable aux pirates ! Et malheureusement, même 90 % des DSI sont conscients d’être vulnérables aux attaques dissimulées dans du trafic crypté ET à l’origine de pertes par millions, le tout face à des contrôles de sécurité amorphes et à des pirates qui prennent le dessus ! À nous de corriger cet angle mort, de cesser de nous voiler la face, et de nous convaincre que l’inspection SSL est incontournable. Nous devons être en mesure d’inspecter le trafic et d’automatiser l’émission et la diffusion sécurisées de clés et de certificats pour mettre en lumière le piratage et éliminer de possibles actes de malveillance dissimulés dans du trafic crypté. »

Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

Le chiffrement des données: la meilleure « planque » pour les logiciels malveillants | Commentaires de Kevin Bocek, VP Threat Intelligence and Security Strategy chez Venafi

Close up of man typing on laptop computer with glowing technology effect 5th septembre, 2016

Retour sur le rapport de l’Institut Ponemon publié fin Août par A10 Network

A10 Networks a publié fin Août un rapport Ponemon mettant en lumière le problème posé par la dissimulation de malwares dans du trafic crypté.

Ce récent rapport révèle que les pirates informatiques utilisent le chiffrement pour dissimuler leurs activités malveillantes et le font de telle manière qu’il est quasiment impossible de les déceler. Pourtant près de la moitié des cyber-attaques seraient concernées par ce phénomène !

Voici un aperçu des principaux enseignements de ce rapport :

  • 80 % des entreprises ont été victimes de cyber-attaques l’an dernier.
  • Près de la moitié de ces cyber-attaques dissimulaient des logiciels malveillants dans du trafic crypté afin d’échapper à toute détection.
  • 75 % des experts informatiques interrogés admettent que ces malwares seraient susceptibles de détourner les identifiants des collaborateurs sur leurs réseaux.

Kevin Bocek, VP Threat Intelligence and Security Strategy chez Venafi (spécialiste de la protection des clés et certificats) commente:

« Une nouvelle étude confirme un constat devenu manifeste depuis 1 an : 75 % des entreprises dilapident leurs budgets sécurité, puisqu’elles s’avèrent incapables de déceler les agissements de pirates qui se camouflent derrière du trafic crypté ! (À la limite, preuve est donnée que des professionnels honnêtes sont disposés à admettre les failles qui minent les fondements de leur sécurité.) Sachant que près de la moitié des attaques utilisent du trafic crypté, la prédiction de Gartner selon laquelle 50 % des attaques réseau cibleront les protocoles SSL/TLS d’ici à 2017 est d’ores et déjà réalisée. Cet échec signifie que la plupart des investissements réalisés dans les pare-feu de nouvelle génération, les mécanismes sandbox, l’analyse comportementale et autres systèmes de sécurité le sont tout simplement en pure perte. La tâche ingrate qui consiste à localiser les clés et certificats TLS/SSL et à mener à bien l’inspection SSL a beau s’inscrire au cœur de la cyber-sécurité, cet enjeu demeure négligé.

L’incapacité à décrypter le trafic entrant et inter-réseau est entretenue par le chaos provoqué par le recours aux clés et certificats. C’est nous – professionnels de la sécurité – qui avons créé cet angle mort. Cette étude conjointe entre A10 et Ponemon Institute établit clairement que l’insuffisance des ressources et l’automatisation des contrôles entretiennent une situation quasi-démentielle : nous ne cessons de multiplier les clés et les certificats et de renforcer le cryptage, tout en étant incapables d’y mettre le nez. Comment un administrateur pourrait-il centraliser et maîtriser le nombre croissant de clés et de certificats indispensables au décryptage ? Les entreprises s’en remettent au cryptage par défaut. Certaines initiatives, comme Let’s Encrypt, ont contribué à assurer la gratuité des certificats, créant par là-même un scénario dangereux. Les clients de Venafi indiquent avoir repéré près de 16 500 clés et certificats TLS/SSL NON IDENTIFIÉS, autrement dit du trafic crypté dont ils ignoraient même l’existence. Et ce, alors même que la progression des clés et certificats est de l’ordre d’au moins 20 % en glissement annuel : au moins 23 000 clés et certificats TLS/SSL sont en service dans chacune des 2 000 premières entreprises au monde. Quant au DevOps et au cloud, avec ses microservices et son élasticité, ils ne feront qu’accroître le nombre de clés et de certificats, et accélérer encore le trafic TLS. Le problème empirera forcément avant qu’une embellie ne s’annonce.

Les menaces ne feront que s’amplifier jusqu’à ce que nous déployions les contrôles de sécurité 1) indispensables au décryptage du trafic 2) libérant automatiquement les clés et certificats nécessaires au décryptage. Aucun être humain ne peut à a fois centraliser l’ensemble des clés et certificats utilisés au sein d’une grande structure, assurer leur protection, puis s’occuper de les renouveler avant expiration et de gérer leur remplacement chaque semaine. Même si plusieurs collaborateurs à plein temps se consacrent à ce problème, ils ne seront pas en mesure de localiser la totalité des sessions TLS/SSL et de dresser l’inventaire des clés et certificats existants pour identifier les malwares dissimulés dans du trafic crypté.

Malheureusement, il s’agit là d’un angle mort que nous persistons à vouloir ignorer. Exemple probant de cet aveuglement : l’obligation imposée par l’administration fédérale américaine (le Royaume-Uni a agi de même) de sécuriser les sites web par le protocole HTTPS chiffré au moyen de clés et de certificats d’ici le 31 décembre 2016. Le DSI des États-Unis a défini des règles pour renforcer le cryptage, mais a totalement omis de fournir des directives sur la manière de se défendre contre des pirates se dissimulant au sein de ce nouveau trafic crypté. Jamais ce problème n’a été abordé, ni la façon d’y remédier. Jamais.

L’époque est on ne peut plus favorable aux pirates ! Et malheureusement, même 90 % des DSI sont conscients d’être vulnérables aux attaques dissimulées dans du trafic crypté ET à l’origine de pertes par millions, le tout face à des contrôles de sécurité amorphes et à des pirates qui prennent le dessus ! À nous de corriger cet angle mort, de cesser de nous voiler la face, et de nous convaincre que l’inspection SSL est incontournable. Nous devons être en mesure d’inspecter le trafic et d’automatiser l’émission et la diffusion sécurisées de clés et de certificats pour mettre en lumière le piratage et éliminer de possibles actes de malveillance dissimulés dans du trafic crypté. »

By
@coesteve1
backtotop