Alors que le paysage des cybermenaces devient de plus en plus complexe, les équipes de sécurité se retrouvent confrontées à un nombre rapidement croissant de menaces. De nombreuses organisations sont confrontées à des volumes d’alertes élevés et à des faux positifs, ce qui entraîne un jeu de rattrapage perpétuel qui sollicite les ressources et diminue l’efficacité de la sécurité.
La défense automatisée contre les cibles mobiles (AMTD), un concept émergent développé et défendu par Gartner, cherche à changer cette dynamique. Les produits et services de sécurité qui utilisent les technologies AMTD augmentent les coûts pour les attaquants en orchestrant des changements contrôlés au sein des environnements informatiques afin de perturber de manière proactive les attaques et de confondre les activités de violation.
Par nature, indépendantes des menaces, les solutions AMTD offrent aux organisations des avantages considérables en matière de protection en renversant la situation face aux adversaires et en rendant inutiles de larges pans de tactiques, techniques et procédures (TTP) malveillantes.
AMTD sur le point de terminaison
Sophos a pour mission de bloquer dès le départ autant de menaces que possible en exploitant une large gamme de technologies de protection.
En plus de la réduction de la surface des menaces, de l’analyse comportementale et des modèles d’IA d’apprentissage profond, Sophos Endpoint améliore également la sécurité des applications en installant des barrières indépendantes des menaces pour chaque processus. Cela rend plus difficile pour tout programme l’exécution de code arbitraire ne faisant pas initialement partie de l’application, et oblige les attaquants à repenser et à apporter des modifications architecturales aux fonctions principales de leurs logiciels malveillants.
Sophos déploie les technologies AMTD pour établir des barrières et poser des pièges qui interceptent et perturbent automatiquement les menaces sur le point final. En conséquence, même les nouvelles variantes de menaces qui parviennent à échapper aux autres mécanismes de protection auront plus de mal à exécuter des actions malveillantes sur les machines sécurisées par Sophos.
Voici quelques façons dont Sophos utilise AMTD pour assurer la sécurité de ses clients.
Adaptation
Avec Adaptive Attack Protection (AAP), Sophos Endpoint applique dynamiquement une protection agressive lorsqu’il détecte une attaque en cours.
Dans le cas où un attaquant obtient un premier accès à un appareil dans l’environnement, l’AAP réduit considérablement la probabilité de réussite de l’attaque et donne aux défenseurs plus de temps pour la neutraliser. Pour ce faire, il met en œuvre des mesures de défense supplémentaires, notamment le blocage d’actions qui ne sont peut-être pas intrinsèquement malveillantes dans un contexte quotidien, mais qui sont dangereuses dans le contexte d’une attaque.
AAP détecte la présence d’un adversaire actif de deux manières principales : 1) grâce à l’utilisation de kits d’outils d’attaque courants et 2) grâce à des combinaisons de comportements malveillants actifs qui peuvent indiquer les premiers stades d’une attaque.
Lors de la détection, AAP active des restrictions temporaires qui ne conviennent pas à une utilisation quotidienne mais sont nécessaires lorsqu’un adversaire actif est détecté sur un point de terminaison. Un exemple est d’empêcher un redémarrage en mode sans échec, car les attaquants l’utilisent pour échapper à la détection.
AAP s’appuie sur les chercheurs des SophosLabs, qui améliorent continuellement la détection des adversaires et les mesures de protection dynamiques en réponse aux changements dans le paysage des menaces.
Randomisation
Lorsqu’un module de ressources (DLL) au sein d’une application se charge systématiquement à la même adresse mémoire prévisible, il devient plus facile pour les attaquants d’exploiter les vulnérabilités.
Bien que les développeurs puissent choisir d’activer la randomisation de la disposition de l’espace (ASLR) lors de la compilation (qui randomise les adresses une fois par redémarrage), tout logiciel tiers dépourvu d’ASLR peut compromettre cette stratégie.
Sophos Endpoint améliore la sécurité des applications de productivité accessibles sur Internet en garantissant que chaque module se charge à une adresse mémoire aléatoire à chaque démarrage de l’application, ce qui ajoute de la complexité à l’exploitation potentielle.
Tromperie
Les attaquants tentent souvent de cacher leur code malveillant aux analyseurs de fichiers et de mémoire par obscurcissement.
Sans cela, ils devraient générer un code unique pour chaque victime afin d’éviter qu’il ne ressemble à leur code précédent, qui pourrait ensuite être détecté et bloqué par les produits de protection des points finaux.
Heureusement, l’obscurcissement du code malveillant doit être inversé (par une courte routine d’initialisation ou de chargement) avant qu’il puisse s’exécuter sur la machine. Ce processus d’inversion repose généralement sur des API spécifiques du système d’exploitation, et les attaquants tentent d’éviter de révéler cette dépendance dès le début, car cela peut être un indicateur de subterfuge.
Par conséquent, cette dépendance est souvent omise de la table d’importation des fichiers binaires des logiciels malveillants et, à la place, le chargeur est configuré pour rechercher directement le module Windows résidant en mémoire qui fournit l’API nécessaire.
Sophos positionne stratégiquement des éléments leurres qui imitent les API liées à la mémoire couramment utilisées par les attaquants pour initialiser et exécuter leur code malveillant. Cette défense indépendante des menaces et du code peut briser le code malveillant sans entraver les applications inoffensives.
Limites
Pour échapper aux défenses, les codes malveillants sont généralement dissimulés et s’appuient souvent sur des applications inoffensives. Avant l’exécution d’un code secret – tel qu’un implant en plusieurs étapes – la menace doit finalement inverser son obscurcissement, conduisant à la création d’une région mémoire adaptée à l’exécution du code, ce qui est une exigence matérielle du processeur.
Les instructions sous-jacentes, ou opcodes, nécessaires à la création d’une région mémoire capable de coder sont si courtes et génériques qu’elles ne suffisent pas à elles seules pour que d’autres technologies de protection soient jugées malveillantes, car des programmes inoffensifs ne seraient plus autorisés à fonctionner.
Cependant, Sophos Endpoint conserve de manière unique l’historique, suit la propriété et corrèle les allocations de mémoire compatibles avec le code entre les applications, permettant ainsi de nouvelles atténuations de bas niveau qui seraient autrement impossibles.
Durcissement
Sophos empêche la manipulation des processus en érigeant des barrières autour des régions de mémoire sensibles à la sécurité de chaque application.
Des exemples de régions de mémoire sensibles sont le bloc d’environnement de processus (PEB) et l’espace d’adressage des modules liés à la sécurité comme l’interface d’analyse anti-malware (AMSI).
Les attaquants visant à usurper l’identité d’un processus inoffensif masquent les paramètres de ligne de commande, désactivent ou exécutent du code arbitraire dans son propre espace d’adressage (ou celui d’un autre processus) et falsifient régulièrement du code ou des données dans ces régions sensibles.
En les protégeant, Sophos protège de manière générique contre une pléthore de techniques adverses existantes et futures, mettant automatiquement fin et révélant une attaque active.
Garde-corps
Sophos installe des garde-fous autour de l’exécution du code. Cela empêche l’exécution du code de circuler entre les sections de code individuelles et d’entrer dans un espace d’adressage qui, bien que faisant partie de l’application d’origine, est censé contenir uniquement des données – également appelé grotte de code.
Sophos empêche également activement l’injection d’APC et l’utilisation de diverses autres fonctions système au moment de l’exécution qui ne sont pas utilisées par les applications métier.
En revanche, de nombreuses autres plates-formes de protection des terminaux s’appuient principalement sur la détection de techniques d’attaque spécifiques basées sur le code malveillant connu associé, les appels d’instructions séquentielles spécifiques et le contexte de livraison. Par conséquent, ces plateformes peuvent fournir une protection inefficace si l’auteur du malware réorganise son code et sa distribution.
Conclusion
Lorsqu’il est déployé correctement, AMTD ajoute une couche de défense inestimable contre les menaces persistantes avancées (APT), les attaques basées sur les exploits et les ransomwares.
Sophos Endpoint utilise les technologies AMTD sur le point final pour améliorer automatiquement la résilience de toutes les applications sans avoir besoin de configuration, de modifications du code source ou d’évaluations de compatibilité.
AMTD transforme fondamentalement l’environnement informatique, en plaçant la barre plus haut en introduisant davantage d’incertitude et de complexité pour les attaquants. En bref, les points finaux protégés par Sophos sont plus résistants aux attaques.
