Le chiffrement peut empêcher les acteurs malveillants d’espionner les données critiques, mais il peut également leur permettre de cacher les activités malveillantes aux défenseurs du réseau. C’est pourquoi LiveAction, une société de vision Web, a lancé ThreatEye NV – une plate-forme qui donne aux équipes SecOps de puissants outils pour rechercher les menaces et les anomalies dans le trafic chiffré. « En 2014, environ 30 % du trafic était crypté. Aujourd’hui, il se situe entre 80 % et 90 %. D’ici la fin de 2025, ce sera la quasi-totalité du trafic », explique Thomas Bohr, directeur du marketing produit chez LiveAction. C’est un problème pour Network Defender. Si vous ne parvenez pas à identifier ces tunnels et connexions chiffrés, comment pouvez-vous identifier les menaces ? « .

Ed Cabrera, spécialiste senior de la cybersécurité chez Trend Micro, ajoute : « Le trafic crypté donne aux cybercriminels plus de possibilités de falsifier ou de générer des certificats SSL/TLS légitimes pour les sites de phishing, de diffuser des logiciels malveillants à l’aide de serveurs C2 cryptés et d’extraire des données volées à l’aide du cryptage asymétrique et symétrique. .

Vérifiez également :

ThreatEye peut analyser plus de 150 attributs et comportements d’un package

LiveAction explique dans un communiqué de presse que ThreatEye utilise une analyse approfondie des paquets pour éliminer le besoin de déchiffrer le trafic réseau et de rechercher les charges utiles malveillantes. La plate-forme peut analyser plus de 150 attributs et comportements d’un paquet dans des environnements réseau multifournisseurs, multidomaines et multicloud. Cela permet d’accélérer la détection des menaces en temps réel, d’éliminer la crypto-cécité, de vérifier la conformité cryptographique et permet aux équipes de mieux sécuriser l’ensemble du réseau et de coordonner les réponses avec d’autres outils de sécurité tels que SIEM et SOAR, ajoute la société.

Les autres avantages de la plateforme incluent :

• Détection en temps réel des menaces et des anomalies

• Éliminer la cécité du chiffrement sans avoir besoin de déchiffrement ou de dégradation des performances

• Mise en œuvre simple dans un modèle SaaS avec des capteurs logiciels qui peuvent être déployés partout où la visibilité est requise

• Support SOC incluant des tableaux de bord pour augmenter l’efficacité de la réponse.

• Tirez parti des modèles d’apprentissage automatique spécialement développés pour des cas d’utilisation spécifiques de la sécurité et de la visibilité.

91,5 % des logiciels malveillants détectés et bloqués proviennent du trafic chiffré

« Le cryptage Web et le cryptage en général sont de bonnes choses », déclare Cory Publisher, PDG de Watchguard, une société de sécurité réseau à Seattle, Washington. « Cela sert un objectif commercial énorme qui nous tient tous à cœur. » , le trafic est décrypté, il le scanne, le réencode et le renvoie. Cependant, cette méthode ne semble pas être très populaire. Nachreiner admet que seulement 20 % environ des clients Watchguard utilisent cette fonctionnalité car la configuration nécessite un certain effort de la part de l’administrateur.

Cependant, l’effort impliqué dans la préparation de ce processus présente des avantages significatifs. Nachreiner note que dans les organisations qui utilisent le décryptage, 91,5 % des logiciels malveillants détectés et bloqués provenaient du trafic crypté.

Analyse du trafic crypté à l’avenir pour améliorer la situation de sécurité

« Les analystes de la sécurité ne peuvent pas se fier uniquement aux messages du journal système pour identifier les défis. Nous devons tirer parti de l’apprentissage automatique et identifier le trafic réseau et ces modèles d’attaque avancés », déclare Bohr, ajoutant que le chiffrement continuera de s’améliorer, rendant la cécité au chiffrement plus difficile et coûteux pour les solutions qui reposent sur le décodage et le réencodage des données. Il estime qu' »il n’y aura pas de vision claire dans les futures versions du chiffrement ». « Ce sera un énorme problème pour les défenseurs. C’est pourquoi l’analyse du trafic crypté sera un futur outil pour renforcer la sécurité de l’organisation. »

Source : OSC