Au vu des différentes attaques qui assaillent le quotidien des entreprise et par rebond des investigateurs et analystes sur incident, l’assertion suivante reflète assez fidèlement le niveau de protection des systèmes d’information :
« La présence d’un antivirus, HIPS, IDS sur le système cible ne présente que peu, voire aucun challenge pour l’attaquant.»
Certes, ces solutions forcent l’attaquant à prendre quelques précautions standards qui relèvent plus du bon sens que de l’ingéniosité :
- Réserver de nouveaux noms de domaine.
- Recompiler le programme malveillant.
- Éviter les scans massifs…
Mais les mécanismes de détection et de prévention actuels n’empêchent aucunement l’attaquant de pénétrer dans le réseau de l’entreprise, encore moins de se propager sur les partages et postes internes des collaborateurs.
Fort de ce constat, plusieurs acteurs mettent en valeur une vague d’outils « innovants » afin de répondre à trois problématiques majeures identifiées par les entreprises :
- Détecter une attaque avancée.
- Obtenir plus de visibilité sur le terminal (poste et serveur).
- Remédier à distance les nuisances d’une attaque.
Avant d’aborder en détail le fonctionnement de ces nouvelles solutions marketing-ment appelées EDR, « Endpoint Detection and Response » ou encore « anti-APT endpoint », prenons le temps de souligner les limites des solutions classiques.
Limites des solutions classiques
Solutions antivirales
Les solutions antivirales, positionnées tant au niveau du terminal qu’au niveau des serveurs de messagerie présentent des fonctions de sécurité indispensables et permettent de se protéger contre les menaces et attaques diffuses. Toutefois, force est de constater que ces outils ne sont pas équipés pour détecter, encore moins bloquer, une attaque ciblée qui utilise un malware inconnu voire dans certains cas aucun malware (cf. Hacking team).
Sans forcément naviguer dans le monde obscur de l’obfuscation manuelle du code, il est assez trivial de contourner tous les antivirus du marché via une simple exécution en mémoire. En effet, un antivirus scanne automatiquement tout fichier qui est écrit sur le disque. Dès lors, un malware qui s’exécute uniquement en mémoire via l’une des nombreuses techniques existantes (dropper, injection de processus, injection de DLL, etc.) contourne toutes les protections présentes sur le terminal.
Intrusion Detection System
Les solutions IDS en contrepartie font face à un problème encore plus challenging : l’obsolescence des signatures. La protection qu’offre un IDS est aussi efficace que sa base de signatures. Certes il est possible et recommandé d’implémenter des règles de corrélation comportementales, via un SIEM à titre d’exemple, mais peu d’entreprises prennent le temps d’étudier et mettre en place ces règles soit par manque de temps, de ressource, d’expertise ou à cause des limitations des outils du marché.
Endpoint Detection & Response : une nouvelle approche
De plus en plus d’éditeurs s’intéressent à la problématique du poste de travail afin d’offrir une solution qui puisse détecter intelligemment une attaque mais également mener une investigation à distance et effectuer des actions de remédiation.
Nous aborderons en détail chacune de ces trois fonctionnalités afin d’apporter un éclairage sur la valeur ajoutée de ces outils par rapport aux solutions antivirales classiques, mais également mettre en évidence leurs limitations face à une véritable attaque ciblée.
Acteurs du marché
De manière très macroscopique, il est possible de distinguer quatre constellations importantes d’acteurs dans l’univers des EDR :
- Des pure-players qui sont dédiés au domaine de l’EDR et focalisent toute leur énergie sur les différents aspects du sujet : SentinelOne, Cylance, Carbon Black, etc.
- Des acteurs globaux, ces géants de l’informatique et de la sécurité : RSA, Cisco et Palo Alto proposent également des solutions EDR, principalement issus de rachat de pure-players mais qui ont généralement l’avantage de bien s’intégrer avec leurs solutions classiques.
- Des acteurs spécialisés en investigation numérique (Digital Forensics & Incident Response - DFIR) : certains acteurs tels que Guidance et FireEye se sont fortement inspirés de leurs interventions sur des incidents afin de développer des outils EDR.
- Enfin, contre toute attente, les éditeurs de solutions antivirales qui agrémentent leur antivirus de quelques fonctionnalités inspirées du monde EDR.
Détection des menaces
L’une des attentes majeures d’un EDR est bien sûr sa capacité de détecter des attaques avancées pour lesquelles aucun IOC (indicateur de compromission) n’est disponible. Nous nous limiterons donc aux solutions proposant un moteur de détection intelligent et autonome.
Quatre techniques de détection sont généralement employées par les acteurs du marché.
Détection de l’exploitation d’une vulnérabilité
Cette approche typiquement adoptée par des acteurs tels que FireEye, Confer (racheté par Carbon Black) ou encore Palo Alto profite d’un constat assez simple.
Qu’elle soit connue ou non (zéro-day) une vulnérabilité est exploitée via des techniques classiques, répertoriées et surtout dénombrables : dépassement de tampon, retour à des instructions, injection DLL, préparation du tas, etc.
Ces solutions ciblent donc la manifestation de ces techniques dans la mémoire des processus lancés sur le système et lèvent une alerte le cas échéant.
Ceci dit, afin d’avoir un niveau de visibilité satisfaisant sur le système, il est nécessaire de détourner une partie non négligeable des appels systèmes effectués par le système d’exploitation, intervenir dans le maniement des objets par le noyau, etc. Autant d’opérations qui peuvent facilement causer des dénis de service voire endommager le système.
Aussi l’approche généralement suivie est de ne surveiller que les processus souvent exploités par les attaquants i.e : une zéro-day sur flash aurait en revanche de grandes chances d’être détectée par ces outils. Une zéro-day sur le process smb.exe qui gère le partage de fichiers aurait beaucoup de chance de passer inaperçue.
Détection d’un comportement malveillant
Contrairement à la détection de l’exploitation d’une vulnérabilité, qui intervient dans les phases amont d’une attaque, la détection d’un comportement malveillant suppose que l’attaquant a pris, ou est en train de prendre, la main sur le poste.
Certains outils tels que Carbon Black, RSA ou encore SentinelOne préfèrent ainsi se concentrer sur des enchainements d’actions qui sont caractéristiques d’une attaque. À titre d’exemple, un éditeur de texte (notepad) qui exécute un processus cmd.exe et ouvre une connexion sur le port 443 d’un serveur hébergé dans un autre continent, est synonyme d’une action pour le moins suspecte et sera (dans l’idéal) remontée comme telle par ces outils.
L’inconvénient majeur de ce mode de détection est bien entendu le nombre de faux positifs que cela peut générer. Un exemple assez parlant se présente sous la forme des documents Office, qui pour peu qu’ils embarquent une macro un tant soit peu complexe, sont instantanément détectés par certaines de ces solutions comme des malwares. L’une des principales raisons est l’écriture massive dans les répertoires temporaires de l’utilisateur %APPDATA% ou %TEMP% d’icônes, d’images, etc. comportement assez similaire à celui d’un malware.
Détection via sandbox
Certains éditeurs, principalement les acteurs de solutions antivirales, proposent une mise à jour de leur agent afin d’inclure des « capacités EDR ». Ceci est certes séduisant d’un point de vue déploiement et exploitation, mais bien souvent la mise à jour de l’agent n’ajoute qu’une étape de validation externe dans le processus de détection : si un fichier présent sur le disque ne correspond à aucune signature mais est tout de même considéré comme suspect, via une analyse statique du dit-fichier, ce dernier est envoyé à une sandbox qui l’exécute dans un environnement virtuel afin de statuer sur son état.
Outre le temps de détection inhérent à l’envoi et l’analyse du fichier sur un serveur distant ainsi que les potentiels problématiques de déploiement dans le cloud d’une telle sandbox, la détection se base toujours sur l’inspection des fichiers présents sur le disque uniquement et n’inspecte pas les processus qui tournent en mémoire sur l’endpoint.
Par ailleurs, le fait d’avoir un écart entre l’environnement d’exécution du malware (machine virtuelle - sandbox) et l’environnement de dépôt du fichier (terminal) introduit un biais qui peut se révéler fatal. En effet, plusieurs malwares se servent de cet écart afin de conditionner l’exécution de la charge utile malveillante et ainsi tromper les systèmes de sandboxing.
Détection via apprentissage
Contrairement aux outils de détection réseau, très peu d’acteurs EDR se sont aventurés dans le domaine de la détection des menaces via l’apprentissage du comportement de l’utilisateur.
Les techniques de détection présentées précédemment identifient bien des écarts, mais ces écarts sont renseignés sous forme de « liste noire » de comportements connus pour être malveillants. Là est la nuance qui ne va pas sans rappeler les principes des signatures, quoique sous une forme plus raffinée.
C’est ainsi que des acteurs tels que Triumfant suivent une approche assez intéressante : ils construisent un modèle mathématique qui décrit l’état nominal de l’activité d’un utilisateur sur un poste de travail. Toute variation par rapport à cet état : utilisation du privilège se_debug pour la première fois, présence de cinq comptes actifs sur le poste au lieu d’un seul, etc. remonte une alerte sécurité, qui sera validée ou non par l’opérateur.
Des acteurs comme Guidance s’inspirent de cette démarche mais modélisent plutôt le comportement de l’ensemble du parc informatique, ce qui permet effectivement de détecter un malware qui se propage sur le SI, mais pourrait faire défaut lors d’une attaque ciblée qui n’impacte que quelques postes.
Synthèse
Ces mécanismes de détection sont bien sûr très complémentaires et certains éditeurs n’hésitent pas à s’inspirer de plusieurs approches pour construire leur moteur de détection, toutefois ceci ne couvre pas l’intégralité des menaces. De ce fait, presque toutes les solutions incorporent un flux d’intelligence communiqué par les laboratoires de recherche des éditeurs, des clients, etc.
Ces flux d’intelligence reposent sur les traditionnels indicateurs de compromission (IOC), qui reprennent finalement les avantages, et surtout limitations, de la détection via signatures depuis longtemps proposée par les antivirus…
Capacités d’investigation
L’un des besoins majeurs mis en avant par les entreprises est la possibilité d’obtenir l’état de du terminal et de collecter des informations techniques à un instant t. Ceci se traduit par exemple par la récupération sur demande des artefacts suivants :
- Les processus et services actuellement présents sur l’endpoint.
- La liste des fichiers présents dans le répertoire %AppData%.
- Une copie de la mémoire vive.
Ce qui autrefois nécessitait un script powershell développé à la main peut maintenant s’effectuer presque instantanément depuis une console centralisée et ainsi offrir une vision exhaustive de l’état du parc informatique.
Outre le gain indéniable en efficacité, la fiabilité des résultats en est également améliorée. En effet, les fonctions de recherches à distance présentes nativement sur Windows sont limitées à l’espace utilisateur (ring 4) et ne peuvent pas détecter les processus/fichiers/clés de registres cachés par des malwares avancés (ring 0).
Ceci représente en effet l’atout majeur d’un agent installé sur le poste, pourvu qu’il soit installé au niveau du noyau et implémente des fonctions bas niveau.
Beaucoup d’éditeurs vont un cran plus loin en exposant des API permettant d’automatiser ces actions redondantes de recherche.
Le format des IOC supportés varie d’un éditeur à un autre selon les choix stratégiques effectués : YARA pour Guidance qui a un background investigation, OpenIOC pour CarbonBlack et FireEye, alors que RSA supporte de nombreux formats. Néanmoins presque tous les éditeurs convergent petit à petit vers le support de l’ensemble des formats.
Aussi, afin d’approfondir certaines analyses suite à une alerte, les éditeurs n’hésitent pas à s’interfacer avec des outils de sandbox tiers, ou propres à l’éditeur afin de mener des analyses plus avancées, c’est le cas de Cisco, Hexis, et tant d’autres.
Options de remédiation
Le troisième aspect naturellement traité par les EDR est bien sûr la remédiation à distance des terminaux. Avant de traiter ce sujet néanmoins, il est intéressant de considérer la réelle valeur ajoutée d’une telle fonctionnalité. En effet, supprimer un fichier, DLL, processus à distance ne garantit aucunement l’éradication du malware. Certains malwares tels que Greyfish s’attaquent par exemple au BIOS et peuvent persister après le formatage du disque.
Toutefois, les incidents quotidiens n’impliquent pas systématiquement un malware aussi complexe que Greyfish et la possibilité de supprimer une clé de registre de persistance classique pourrait bien faciliter la vie de nombre d’analystes.
Du fait de cette problématique, d’un côté des éditeurs comme FireEye proposent uniquement d’isoler le poste infecté ce qui garantit un certain confinement de la menace, d’un autre côté des éditeurs comme Carbon Black ou Guidance proposent d’agir au niveau du système afin d’effectuer des opérations avancées au niveau du noyau et tenter de remédier le poste.
Enfin, d’autres acteurs comme Cisco ou RSA permettent de supprimer à distance quelques artefacts mais cela ne traite que superficiellement l’infection.
Un acteur peu connu en France, Triumfant permet lui d’effectuer des opérations chirurgicales au niveau de la mémoire afin de corriger les altérations du malware (tables IDT, SSDT, etc.) et traiter ainsi des malwares assez complexes.
Attention par contre, si la console de l’outil EDR tombe dans de mauvaises mains, elle peut devenir une arme de destruction assez massive.
Conclusion
Les solutions classiques antivirales, IDS, etc. présentent certes des protections faillibles mais il est illusoire de penser que les « nouvelles » solutions du marché fournissent des résultats parfaits et infaillibles, surtout sur l’aspect détection.
Un antivirus reste de mise, en particulier pour se protéger des malwares basiques et ne pourra être remplacé par un EDR.
Au final, la valeur ajoutée d’un tel outil se situerait plus au niveau des options de collecte d’artefacts, de recherche d’IOC voire de remédiation à distance qui faciliteront grandement les opérations des équipes de réponse à incident en cas d’attaque d’ampleur.
Ces outils devront cependant être particulièrement sécurisés pour ne pas être eux-mêmes des vecteurs facilitateurs de l’attaque.