Stuxnet et d'autres dans cette liste de vers Internet à la pointe de la technologie ont eu certaines caractéristiques qu'elles étaient très furtif en fuyant les informations qu'ils ont récoltées. Ainsi, il a réussi à aller sous le radar et passerait généralement inaperçu par IDS/pare-feu. Stuxnet avait également une caractéristique que les machines infectées ont contacté et mis à jour d'autres machines infectées via RPC de manière p2p.
Ma question ici: Quels ajouts ou changements pourraient être nécessaires pour avoir des UTM/IDS intelligents pouvant détecter de tels logiciels malveillants qui ont tendance à être furtifs et à passer sous le radar?
Je n'invite pas des spéculations ici, mais des opinions basées sur la connaissance et de bonnes idées ...
Votre question peut être vue dans un contexte plus large: comment se défendre contre un APT (menace avancée menace persistante) attaque de style (AKA attaque ciblée).
Vecteur d'attaque
Comme on l'a vu jusqu'à présent, la plupart des attentats d'une telle attaque utilisent l'un des trois vecteurs d'attaque (avec quelques exemples):
Dans la pratique, tous ces 3 vecteurs d'attaque prédominants ne peuvent être empêchés à 100% dans une société plus grande avec un réseau assez important et un grand nombre d'employés. Ainsi, parce que la prévention échoue à l'événement, nous devons construire notre défense sur les capacités de détection. Mais comme nous savons tous que la détection des attaques ciblées est difficile et que de telles attaques peuvent être inaperçues depuis des années comme APT1 Mandinat Rapport nous a montré. C'est dur principalement à cause de la furtivité des logiciels malveillants utilisés dans ces attaques.
furtivement
La furtivité des attaques ciblées repose sur le fait que les logiciels malveillants utilisés dans l'exécution de ce type d'attaque sont des logiciels malveillants - il n'a pas été vu à l'état sauvage avant le logiciel AV, les systèmes IDS n'ont pas de signatures pour cela, etc.
Les concepts de défense contre de telles attaques émergent et évolèrent encore, certains exemples notables:
Approche de Lockheed Martin basée sur la menace intelligence et les chaînes de tuer ( link1link2 )
OR
APPROCHE DE LA CYBER-RISQUE CYBER-RISQUE DE LA SÉCURITÉ DE LA SÉCURITÉ DE LA SÉCURITÉ DE LA SÉCURITÉ DE LA SÉCURITÉ DE LA SÉCURITÉ DE LA SÉCURITÉ DE LA SECURITE DE LA SÉCURRAANCE ( Link1link2 )
Je ne sais pas sur intelligent IDS, mais un identifiant basé sur l'hôte muet (vérificateur d'intégrité des fichiers) qui n'ignore pas les fichiers binaires simplement parce qu'ils sont signés auraient détecté le problème - à la fois sur MS-Windows et SCADA .
Pour des mesures plus sophistiquées ... La surveillance active du trafic DNS (ainsi que la ségrégation appropriée des environnements) aurait détecté les tentatives de contact de la C & C. Surveillance/détection du trafic de réseau anormal mai ont détecté l'activité de numérisation et de RPC.
Les trois techniques sont toujours valables et applicables à d'autres logiciels malveillants aujourd'hui, mais si vous avez une exigence très réelle de protéger contre un état de nation déterminé, vous allez devoir faire beaucoup plus que cela.