Jusque très récemment, on connaissant quelques techniques de contournement, qui étaient correctement gérées par les solutions de sécurité. Mais depuis la découverte de Techniques Avancées, il est évident que davantage de techniques peuvent être utilisées pour contourner des systèmes IPS. Les AET exploitent des vulnérabilités dans des protocoles et les faibles barrières de sécurité de la communication réseau. Tout comme les méthodes conventionnelles, elles commencent par « le statut désynchronisé » décrit plus haut. Or les AET font preuve de plus de finesse encore – elles varient constamment, combinent les techniques de déguisement et visent différentes couches du réseau.
Les tests de départ ont identifié la possibilité d’attaques AET au niveau de l’IP, du transport (TCP, UDP) et des protocoles de couche applicatives (SMB et RPC). Le phénomène a donc été identifié comme une menace interne. Des AET intervenant au niveau d’autres protocoles, comme IPV4, IPv6, TCP et HTTP, ont aussi fait surface en automne 2011. Si les AET visent la couche de protocole HTTP (le port 80 et donc l’Internet), elles peuvent aussi tromper les pare-feux et faire passer des logiciels malveillants dans le réseau via le trafic Web. Cela signifie que les cyberpirates peuvent utiliser les AET pour atteindre les environnements cloud tout comme des applications et données web. Le protocole IPv6 offre aux AET de nouvelles façons de déguiser des attaques protocolaires ou agissant au niveau du transport. En raison de la compatibilité exigée avec IPv4, les systèmes doivent faire preuve d’une plus grande tolérance lors de l’interprétation de paquets de données entrants. Cela augmente la dérive pour les AET lorsqu’il s’agit de déguiser des codes malveillants. Un facteur aggravant est notre manque d’expérience et de recul par rapport à l’IPv6.
À ce jour Stonesoft a identifié plus de 300 AET différents. Ce n’est qu’une goutte d’eau ! On peut estimer les combinaisons potentielles aujourd’hui à 2^250. Voici donc le défi auquel les systèmes de sécurité sont confrontés à présent. La protection fiable contre des attaques réseau déguisées par le biais des AET implique que les IPS doivent connaître et intégrer toutes les variantes AET utilisables par un système cible pour rassembler des fragments de données.
Les dispositifs d’inspection de flux fonctionnent avec des analyses de protocole et détections de signature. Cela signifie qu’un système IPS doit déjà être familier avec un modèle d’attaque pour pouvoir l’éviter. Vu le nombre potentiel des AET la tâche est très difficile. Il est vrai que les méthodes de détection correspondantes sont généralement ajoutées aux dispositifs quelques jours après la découverte de nouvelles menaces.
Les grands de l'IT suppriment des milliers de jobs au nom du déploiement de. Une…
Quatre ans après l’appel de Rome - un pacte présenté en 2020 par le Vatican…
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…