_

Qu'est-ce que les attaques zero-day et comment s'en prémunir ?

Les attaques zero-day en quelques mots

Les attaques zero-day se vendent à prix d’or sur le Darknet. Ce sont des attaques informatiques qui exploitent des vulnérabilités ou des failles de sécurité dans un logiciel, un système d’exploitation ou un réseau, qui sont inconnues du public et des développeurs. D’où le terme “zero-day” signifiant mot pour mot : jour 0.

Seuls les attaquants en ont connaissance. Ils profitent de ces vulnérabilités pour exécuter du code malveillant, accéder à des données confidentielles ou encore prendre le contrôle d’un système informatique. Les gouvernements et les agences de renseignement peuvent également utiliser ces attaques pour espionner des individus ou des organisations. L’attaque de la centrale iranienne par Stuxnet utilisait par exemple des vulnérabilités zero-day.

Pourquoi le terme “zero-day” ?

Ces attaques sont appelées « zero-day » car les développeurs ou les éditeurs de logiciels n’ont pas encore eu le temps de publier un correctif ou une mise à jour de sécurité pour résoudre la vulnérabilité. Les attaquants peuvent donc utiliser cette faille pendant une période indéterminée, ce qui rend ces attaques particulièrement dangereuses et difficiles à contrer. En effet, elles ont toutes les chances de réussir si elles parviennent à atteindre le système vulnérable.

Elle perdra sa terminologie de “zero-day” lorsqu’elle commencera à être connue de la communauté Cyber.

Comment s’en prémunir ?

Il est très difficile de se prémunir d’une attaque zero-day puisque comme mentionné plus haut, les attaquants exploitent des vulnérabilités inconnues.

Il est souvent préconisé de mettre à jour régulièrement vos logiciels et vos systèmes. C’est vrai que certaines mises à jour peuvent inclure des correctifs de sécurité permettant de se prémunir de certaines vulnérabilités. Mais cela ne va pas vous servir dans le cas des attaques zero-day car si le système vulnérable est atteint, il sera à un moment ou un autre attaqué.

Cependant, il y a quelques mesures que nous vous recommandons pour réduire les risques :

1. Utiliser une solution de sécurité fiable – Dans le cas des attaques zero-day, les nombreux outils de détection par signature existants sur le marché vous seront inutiles puisque la signature de l’attaque n’est pas connue par la communauté. Dans ce cas-ci, il est recommandé d’utiliser une solution utilisant des technologies avancées telles que l’analyse comportementale qui va identifier les comportements inhabituels et les activités suspectes pouvant indiquer une intrusion.
2. Sensibiliser les utilisateurs – Les utilisateurs doivent être sensibilisés aux risques de sécurité et aux techniques courantes d’attaque. Ils doivent être formés à la sécurité informatique et être encouragés à signaler toute activité suspecte ou inattendue.
3. Utiliser une approche de sécurité multicouche – Il est important d’utiliser une approche de sécurité multicouche qui comprend des mesures de sécurité de différents niveaux pour augmenter les chances de détecter et de bloquer les attaques zero-day.

Comment Custocy détecte les attaques zero-day ?

Nous parlions à l’instant d’adopter une approche de sécurité multicouche qui consiste à utiliser plusieurs solutions de sécurité pour contrer différents types de menaces et de vulnérabilités.

Vous êtes peut-être déjà équipé d’un EDR, un SIEM ou un XDR. Parlons à présent d’un outil complémentaire, le NDR, qui a été reconnu par Gartner comme une composante essentielle dans la sécurisation de l’infrastructure informatique. Il tire parti de l’intelligence artificielle supervisée, non supervisée et de la threat intelligence pour détecter les attaques sophistiquées et inconnues (zero-day).

C’est le cas de notre NDR Custocy.

Voyons maintenant comment notre solution utilise l’IA pour détecter ce type d’attaques.

1. Technologie d’intelligence collective – Nous avons créé une communauté d’IAs supervisées et non supervisées qui inspectent le flux réseau à différentes échelles de temps (millisecondes, secondes, minutes, semaines) et qui se concertent régulièrement pour s’accorder sur la sévérité d’une menace. Un maître de l’IA, le Metalearner, centralise les réponses de ces IAs pour donner une décision finale à l’analyste.  Même nos modèles d’intelligence artificielle supervisée peuvent nous aider à détecter les attaques zero-day. Ils ne vont pas forcément réussir à les classifier dans la mesure où ils ne peuvent pas s’entraîner sur ce type d’attaques puisqu’elles sont inconnues, néanmoins, ils sauront que ce n’est pas un flux bénin. Ce regroupement de multiples IAs nous permet de générer très peu de faux positifs, souvent énuméré comme étant le point noir des solutions NDR. C’est une technologie unique qui a été développée par nos équipes en interne.
2.  Détection d’anomalies – Souvent associée à la catégorie des IAs non supervisées et connue sous le terme d’analyse comportementale, cette méthode d’apprentissage automatique ne se base pas sur des données étiquetées. Notre intelligence artificielle modélise le comportement normal d’un groupe d’assets (serveurs, ordinateurs, applications, etc) et détecte quand l’un d’entre eux dévie la norme. Cela permet d’identifier des comportements inhabituels sur le réseau tels que des connexions à des heures inhabituelles, des accès non autorisés à des comptes utilisateurs, des envois de fichiers inhabituels, etc.

Face aux attaques zero-day, il est essentiel de mettre en place une stratégie de sécurité complète qui comprend la sensibilisation et la formation des employés, la surveillance continue du réseau, et l’utilisation d’autres outils complémentaires de sécurité avancés pour minimiser les risques et agir AVANT qu’il ne soit trop tard.

La surveillance du réseau passe par une solution NDR. Qu’en dites-vous de découvrir Custocy ? Réservez votre créneau de démo ICI.