Sécurité réseaux : la cible en mouvement est la plus facile à atteindre

Cela pose de réels problèmes car comme l’individu ne ressent aucune menace directe peser sur lui, il est moins enclin à mettre en place ou à respecter des règles de sécurité strictes : « Cette application me semble très pratique, je vais commencer par l’essayer et si elle fonctionne bien, je demanderais ensuite l’autorisation de l’utiliser à l’équipe informatique » se dit-il par exemple. Par ailleurs, attaquer toute une organisation plutôt qu’un individu isolé génère un gain bien plus important : c’est pourquoi les cybercriminels sont prêts à investir beaucoup de temps et des ressources considérables dans l’élaboration d’attaques extrêmement sophistiquées.

L’« Opération High Roller », par exemple, a coûté près de 1.5 milliards de livres sterling répartis sur des comptes bancaires en Europe, aux USA et en Amérique du Sud lorsque les opérations manuelles ont été remplacées par un niveau d’automatisation permettant de réduire la durée des attaques à quelques secondes seulement, renouvelables 24 heures sur 24, 7 jours sur 7. Cette opération incluait également des techniques de dissimulation automatiques, comme par exemple la falsification des comptes en passe d’être à découverts, pour retarder le moment où la perte d’argent devenait visible.

Le réseau, de plus en plus perméable, est composé de personnes de plus en plus individualistes qui utilisent des équipements de plus en plus diversifiés et il fait l’objet d’attaques de plus en plus intelligentes et agressives ; il est donc tentant d’encombrer le système avec tous les nouveaux équipements de sécurité possibles et toutes les nouvelles mises à jour logicielles correspondantes au point de le rendre si complexe que seuls des hackers y consacrant tout leur temps auraient la patience de le comprendre.

Heureusement, il existe une alternative : appliquer aux méthodes de test de sécurité réseaux le même degré d’expérience et de compétence que celui appliqué par les criminels pour le détruire.

Les spécialistes mettent l’accent sur 3 facteurs essentiels lorsqu’ils testent des réseaux d’entreprises :

•    Un temps de réponse très rapide
•    Une modélisation précise
•    Des processus de tests simples et flexibles

La plupart des nouvelles attaques sont basées sur un code existant qui est légèrement modifié pour échapper aux systèmes de défense déjà mis en place puis reconstitué plus rapidement de sorte que l’ancien processus (rapport, analyse, création et distribution de la mise à jour) ne peut plus suivre. Tester les vulnérabilités requiert donc une très bonne connaissance des toutes dernières attaques mais aussi un suivi minutieux des applications émergentes pouvant ouvrir la porte à de nouvelles vulnérabilités.

Les solutions de tests basées sur le Cloud abordent cela en fournissant des tests instantanés, prêts à être lancés pour toutes les applications possibles. Un test exceptionnel de la sécurité de Skype, par exemple, n’est en effet plus suffisant dans un environnement BYOD : les différents utilisateurs possèdent différentes versions et donc une large gamme de vulnérabilités reparties sur des équipements très divers. Une solution de test basée sur le Cloud permet de mettre à jour des centaines de tests de manière automatique pour rester en phase avec les différentes versions, les différents équipements et les différents systèmes d’exploitation.

Par ailleurs : quel est le niveau de réalisme avec lequel les processus de tests peuvent modéliser les nombreux protocoles sur le réseau ? Le modèle reflète-t-il le temps réellement écoulé entre les paquets ? En VoIP, le débit est d’avantage déterminé par les différentes façons de s’exprimer des utilisateurs que par la structure du protocole. Des milliers d’applications BYOD fonctionnent sur des centaines de protocoles de trafic, chacun sujets à des pics inattendus – et au milieu de ce cocktail intervient un trafic d’attaques malveillantes.

Avec plus de 80% du trafic généré par des applications, les outils de test centrés sur les protocoles (insérant des données aléatoires dans la charge applicative) ne sont pas assez performants. Les nouvelles générations de pare-feu, de systèmes de préventions des intrusions, de passerelles mobiles, de routeurs (etc.) ne réagiront pas de manière réalistes à moins que l’outil de test puisse recréer un état applicatif réaliste pour les cookies, les sessions d’identification, les traductions d’adresses IP (NAT), les modifications dues aux ALG ainsi que pour les défis, longueurs et hachages d’authentification.

La nouvelle génération de solutions de test est conçue pour se comporter de la même manière que des clients réels en situations de congestion et de contrôle des flux et pour fournir des résultats à la fois cohérents et reproductibles permettant d’effectuer des comparaisons entre les différentes sessions de tests et de déterminer si les modifications effectuées sont efficaces. Elles peuvent également recréer des trafics d’applications propriétaires personnalisés pour modéliser des applications métiers spécifiques à l’entreprise.

Les solutions de test réseaux les plus avancées modélisent en effet le trafic avec un tel niveau de détails que lorsqu’elles sont combinées à une base de données Cloud elles réduisent le temps de réponse de plusieurs jours à quelques heures ou même moins. Mais, à moins que les tests soient à la fois rapides et simples, il n’y a là qu’un petit avantage pour un département informatique surchargé. En effet, si les procédures de sécurité deviennent trop encombrantes, les gens prennent des raccourcis et créent des failles dans le système de défense. Peu importe alors la qualité de la procédure de test car elle sera reportée ou écourtée si elle est trop élaborée et chronophage.

Les solutions de test les plus avancées incluent donc une grande flexibilité pour permettre des ajustements à la fois faciles et ciblés avec précision (modification des numéros des ports, incorporation d’adresses IP, etc) pour mieux comprendre les limites du système. De nombreux outils de test ne permettent des ajustements que dans un petit nombre de domaines prédéfinis, alors que des solutions plus sophistiquées doivent permettent des ajustements sur toutes les couches. Une fois que le champ protocole de la couche applicative a été paramétré, vous devez être capables d’insérer des valeurs sur mesure (par exemple tester le filtrage d’URLs en modifiant l’en-tête URL dans la charge applicative en un clic pour pouvoir voir ce qui se passe lorsque des milliers de valeurs alternatives sont fournies).

Autre défi : disons qu’un utilisateur saisisse une année avec deux chiffres dans un champ de datation de type JJMMAAAA ou utilise des lettres pour le mois, le système tombera-t-il en panne ? Le fait d’explorer les réactions du système face à de telles erreurs est connu sous le nom de « fuzz testing » et très peu d’outils de test le supportent. Les permutations aléatoires de bits et l’émission massive de paquets malformés ne suffisent pas à « fuzz tester » pleinement tous les types de champs de la couche applicative – les solutions de test les plus avancées rendent tout cela bien plus facile et complet.

Lorsque vous choisissez une solution de test de sécurité ne cherchez pas seulement ce que la solution peut faire, mais aussi si il est possible de le faire facilement. Les tests automatisés et reproductibles qui peuvent être mis en place via une simple interface graphique sans qu’il y ai besoin d’avoir recours aux talents de programmation de spécialistes permettent de gagner du temps, de réduire le personnel nécessaire et de s’assurer que les tests sont bien lancés dans leur totalité et en temps et en heure.

Dans un monde où la cybercriminalité évolue très rapidement, c’est la simplicité et la flexibilité des systèmes de tests qui vous aide à vous déplacer rapidement et à garder une longueur d’avance sur les cybercriminels.