La moitié des logiciels malveillants du monde sont désormais cryptés

Ce que vous ne voyez pas peut nuire à votre organisation, et le chiffrement demeure un angle mort important. Selon F5 Labs, plus de 80 % du trafic internet mondial est chiffré, et l’absence de visibilité sur ce trafic constitue une menace sérieuse pour la sécurité. D’après un rapport récent des chercheurs en sécurité de Sophos, près de la moitié (46 %) des logiciels malveillants en 2020 étaient dissimulés dans un paquet chiffré. Si vous ne disposez pas des moyens pour déchiffrer ces paquets, vous risquez de laisser entrer un volume considérable de malwares dans votre réseau. Sans visibilité sur le trafic chiffré, vos ressources peuvent rester exposées à des attaques malveillantes, qu’il s’agisse de communications de commande et contrôle (et des attaques qui en découlent) ou d’exfiltration de données.

Pourquoi tant de logiciels malveillants sont-ils cryptés aujourd’hui ?

Dans le rapport, les chercheurs ont identifié deux raisons principales pour l’augmentation des logiciels malveillants cryptés. Premièrement, ils ont découvert que de plus en plus de logiciels malveillants sont hébergés sur des solutions de stockage cloud légitimes, telles que GitHub et Google Workspace, qui sont cryptées avec TLS. Les pirates informatiques se sont donc appuyés sur des certificats existants provenant d’organisations de confiance pour attaquer les entreprises. Deuxièmement, les chercheurs ont suggéré que la large disponibilité d’extraits de code compatibles TLS permettait aux mauvais acteurs d’utiliser le chiffrement facilement et fréquemment. Et avec le volume croissant de trafic légitime stimulé par le travail à distance pendant la pandémie de coronavirus, il est encore plus impératif pour les organisations de répondre à la forte demande tout en équilibrant la sécurité organisationnelle.

Cependant, le chiffrement n’est certainement pas « le méchant ». En fait, le cryptage est essentiel pour protéger la confidentialité des données. Lors de la manipulation de données sensibles en ligne, de l'accès aux dossiers bancaires à la saisie d'un mot de passe, en passant par la vérification des dossiers médicaux, le cadenas omniprésent dans les barres de notre navigateur offre aux utilisateurs un sentiment de confiance lorsqu'ils naviguent sur le Web. Les dossiers médicaux et financiers peuvent rester sécurisés, et le vol et l’utilisation abusive des données sont considérablement réduits. Et surtout, les hébergeurs d’applications peuvent rester conformes aux réglementations destinées à protéger la confidentialité des utilisateurs, telles que le Règlement général sur la protection des données (RGPD) de l’Union européenne, qui recommande, mais n’exige pas, le cryptage, et le California Consumer Privacy Act (CCPA), et agir en bons intendants des données de leurs utilisateurs.

Mais les mauvais acteurs peuvent également obtenir des certificats TLS. Le chiffrement, bien qu’utile pour protéger la confidentialité des données des utilisateurs, peut créer un risque sérieux pour votre entreprise s’il n’est pas déchiffré et inspecté pour détecter les charges utiles malveillantes entrant dans votre environnement, l’exfiltration de données sensibles ou les communications de commande et de contrôle sur le trafic sortant. Bien que les certificats TLS gratuits et facilement disponibles permettent aux hôtes d’applications de protéger à moindre coût la confidentialité des données de leurs utilisateurs, les acteurs malveillants peuvent également cacher des logiciels malveillants derrière un certificat. Et cela devient de plus en plus facile pour eux de le faire.

Des solutions de décryptage inefficaces peuvent conduire à de multiples points de défaillance de sécurité

Au sein de votre organisation, vous faites peut-être déjà face à la menace du trafic chiffré en utilisant des dispositifs dans vos piles de sécurité, tels que des logiciels de prévention de la perte de données (DLP), des pare-feu de nouvelle génération (NGFW) ou un système de prévention des intrusions (IPS), entre autres, pour déchiffrer, inspecter le package à la recherche de logiciels malveillants et rechiffrer le trafic traversant votre réseau. Et même si ces solutions de sécurité peuvent être utilisées pour décrypter les paquets, elles ne font pas le travail très bien ni très efficacement.

Nous avons conçu ces solutions pour renforcer la sécurité, sans traiter la tâche intensément calculatoire du déchiffrement du trafic. Quand elles doivent consacrer énergie et cycles à autre chose qu'à la sécurité, vos dispositifs risquent d’être submergés, laissant passer du trafic sans contrôle, ce qui peut ouvrir la porte à des exploits et attaques. Relier plusieurs dispositifs de sécurité dans une chaîne en série crée autant de points de défaillance possibles, à l’image d’une guirlande lumineuse. Si un fusible saute alors que l’alimentation est active, toutes les lampes situées après ce fusible s’éteindront, devenant inopérantes. Chaque élément représente un point de défaillance potentiel. Quand un composant cède, tout le système -ou la pile de sécurité- en pâtit.

La connexion en chaîne de dispositifs de sécurité, comme une guirlande lumineuse, n'est pas non plus rentable ni efficace. En plus de créer de multiples points de défaillance, ce modèle augmente le coût total de possession (TCO) de la sécurité en exigeant des abonnements (ou en encourageant la sur-abonnement) à une variété de services, entraîne une latence élevée pour l'utilisateur final et crée une complexité importante. Cela signifie que de nombreuses organisations traitent les menaces chiffrées d’une manière à la fois peu pratique et insuffisante, et elles peuvent même créer une frustration supplémentaire pour les utilisateurs finaux liée à la lenteur de l’accès aux applications. Heureusement, F5 SSL Orchestrator est spécialement conçu pour inspecter le trafic crypté.

Orchestrer la sécurité des infrastructures résilientes

F5 SSL Orchestrator offre une visibilité et une orchestration rentables de tout le trafic SSL/TLS entrant et sortant. Au lieu de chaîner les services de sécurité dans une série délicate, F5 SSL Orchestrator utilise un modèle de chaîne de services dynamique qui gère intelligemment le décryptage du trafic sur une chaîne de sécurité avec un moteur de classification contextuelle utilisant une direction du trafic basée sur des politiques. Ce système est résilient et non linéaire, de sorte que lorsqu’un service de sécurité tombe en panne, le système peut toujours protéger les actifs de votre organisation. SSL Orchestrator permet également une insertion facile des solutions de sécurité existantes pour une disponibilité optimale, le regroupement des services, des capacités de surveillance avancées, la mise à l'échelle et l'équilibrage de la charge des solutions de sécurité.

Pour découvrir comment F5 SSL Orchestrator peut vous aider à renforcer la sécurité de votre entreprise, veuillez contacter Sales@f5.com .