Vasily Dyagilev, Check Point Software Technologies - à propos des pokemons incorrects, des doigts perdus et des cryptomines dangereuses

Vasily Dyagilev - Spécialiste en développement des affaires informatiques, dirige depuis 2013 le bureau de Check Point Software

Technologies dans les pays de la CEI. Auparavant, il était responsable de la vente des produits Microsoft aux entreprises et avait dirigé le développement du réseau de partenaires de Kaspersky Lab.

- Comment les produits Check Point Infinity protègent-ils contre les attaques ciblées et quel est le principe de leurs actions pour protéger les réseaux d'entreprise?

- La société est engagée depuis longtemps dansdévelopper des systèmes pour prévenir les attaques ciblées. La plupart des produits contenus dans leur ADN ont comme fonction de traiter de nouvelles menaces inconnues, et pas seulement une analyse de signature de ce qui est déjà connu. Les solutions analysent les anomalies dans le trafic entrant et sortant au sein de l'organisation et traitent de la prévention de la source même des menaces. Par exemple, nous avons des technologies sous le nom général SandBlast, qui protègent contre les attaques de phishing. Lorsqu'un utilisateur télécharge un fichier, SandBlast ne retarde pas l'enregistrement du document dans le bac à sable, mais permet à l'utilisateur de recevoir immédiatement une copie sécurisée à 100%. Le système analyse également les liens et désactive ceux qui peuvent être potentiellement dangereux.

Photo: Anton Karliner / Haytek

Un autre problème que nous résolvons est la fuitedonnées d'entreprise. Très souvent, les utilisateurs s'inscrivent sous un même identifiant et mot de passe dans plusieurs systèmes, notamment en utilisant un compte de messagerie professionnel, par exemple dans les réseaux sociaux. En n'utilisant ni identifiant ni mot de passe d'entreprise pour s'inscrire ou entrer dans un formulaire d'inscription sur des ressources en ligne, nous protégeons l'utilisateur contre l'ouverture accidentelle des données à des attaquants pouvant envoyer des courriels de phishing.

Essentiellement, Check Point Infinity - modèlesécurité par abonnement, dans laquelle une personne a instantanément accès à toutes nos technologies et peut les utiliser en fonction des tâches qu’elle effectue sur son réseau.

Clouds, virtualisation et protection hybride

- En ce qui concerne la protection des données dans le cloud - comment vos produits fonctionnent-ils dans ce segment?

- Nous avons un certain nombre de produits conçus pourprotection lors de la migration dans le cloud. Soyons honnêtes - pour le moment, il n’existe pas à 100% de sociétés dans le cloud, ou de sociétés qui stockent tout uniquement dans le périmètre. D'une manière ou d'une autre, les services cloud sont utilisés pour diverses tâches. Ici, la position de Check Point est extrêmement simple: offrir au client la possibilité d’une intégration transparente des technologies cloud avec le même niveau de protection. En effet, en élevant un service dans le cloud, vous pouvez appliquer les mêmes politiques de sécurité que dans le réseau local et ainsi assurer le même niveau de sécurité à la fois dans les applications cloud et dans les référentiels, ainsi qu'au sein de l'entreprise.

Photo: Anton Karliner / Haytek

Si nous parlons d'IaaS, alors c'est une protectionvirtualisation - machines virtuelles, stockage, configuration du cloud. À son tour, SaaS est un outil de protection spécialisé, tel que les sandbox permettant de vérifier le contenu pour détecter de nouvelles menaces, l'authentification anti-hameçonnage et l'authentification multifacteur. Par exemple, pour fournir aux utilisateurs de Microsoft 365 une sécurité de messagerie précisément dans sa version cloud. De plus, grâce à l’acquisition de Dome9, nous disposons d’une solution de sécurisation des déploiements multi-cloud dans Amazon AWS, Microsoft Azure et Google Cloud.

La technologie Dome9 permet l'auditinstances de cloud et voyez comment la sécurité actuelle est assurée et appliquez les mêmes politiques de sécurité que pour le réseau local. La direction se développe activement en Russie, nous constatons un besoin croissant du côté des entreprises, car le problème de la mise à l'échelle est assez aigu.

La société a déjà commencé à élaborer de telspropositions pour les utilisateurs de solutions de cloud en Russie, et nous dialoguons activement sur l’introduction de tels services pour les plus grands fournisseurs de cloud en Russie.

- La protection contre les attaques biométriques est-elle en cours de développement et comment traiter la méthode du masque invisible?

- La biométrie commence à entrer assez étroitementnotre vie En fait, il ne s’agit que d’une certaine méthode d’authentification des utilisateurs au sein du système d’information. Lorsque vous entrez un nom d'utilisateur et un mot de passe, le système comprend qu'un certain utilisateur se trouve devant lui et, à l'aide d'un identificateur qui vous est attribué, il vous laisse passer, vous donne certains droits d'accès au sein de ce système, etc.

La biométrie n’est donc que la première étape de la collecte des données. En entrant le nom d'utilisateur et le mot de passe, nous remplaçons le visage, les empreintes digitales, la voix - jusqu'à l'ADN de votre corps. L'entrée de ces données est vérifiée avec l'identifiant conservé dans le système d'information, un certain hachage numérique. Ensuite, tout est identique à ce qui se passe lorsque vous entrez un nom d'utilisateur et un mot de passe.

Barre latérale

Nous ne travaillons pas directement avec la biométrie, carnous protégeons non pas l'accès, mais le système d'information lui-même, les données qu'il contient. La question de la définition d'un utilisateur dans le réseau est un autre domaine.

Cependant, le cas de substitution d’agent numériqueL’autorisation de l’utilisateur devient de plus en plus pertinente, je pense que dans un avenir proche, une plus grande attention sera accordée à cela. D'une part, l'identification biométrique est très pratique: vous n'avez pas besoin de vous souvenir de plusieurs mots de passe, la combinaison de données est unique. Par contre, il n’est pas aussi fiable que cela puisse paraître à première vue. Pour déverrouiller un smartphone avec un identifiant de visage, un attaquant doit simplement montrer le visage de son propriétaire. De plus, il y avait des affaires pénales. Dans certains pays, la biométrie a été interdite pour identifier un utilisateur possédant un guichet automatique. Ensuite, les empreintes digitales ont été utilisées - et après plusieurs cas de coupure des doigts pour voler de l'argent, ils ont commencé à refuser cette méthode d'identification.

En outre, les attaquants peuvent affectersystèmes de reconnaissance afin que le système ne reconnaisse pas l’image correctement. L'une des méthodes avancées est la méthode du masque invisible, dans laquelle un attaquant utilise des DEL infrarouges pour tromper la caméra. Le rayonnement infrarouge, invisible pour les yeux, affecte les systèmes vidéo et entraîne une classification erronée dans le système de reconnaissance. En d’autres termes, il existe une manipulation avec le système de reconnaissance, et non avec l’apparence d’une personne.

Bien sûr, le marché de la biométrie se développe et les problèmes liés à l’utilisation légale de certains systèmes seront résolus. Pour nous, la question de la protection des données reste primordiale.

Football, Pokemon et fausses applications

- Quelles nouvelles applications pour la protection multiniveau des appareils mobiles vont apparaître cette année?

- Outre les nuages, solutions mobiles -priorité. Le nombre de menaces mobiles tant sur la plate-forme Android que sur la plate-forme iOS croît à peu près au même rythme que pour les PC classiques. Nous devons comprendre que nous ne portons pas un téléphone dans nos poches, mais un ordinateur à part entière. Et les informations qui y sont stockées sont parfois beaucoup plus intéressantes pour les attaquants que sur le PC. Un smartphone peut stocker un visage numérique, des informations sur la santé, la localisation, les données de cartes bancaires, des contacts - et toutes ces informations peuvent être très utiles pour les fraudeurs. En outre, l’année dernière, les attaques de crypto-mineurs se sont propagées sur les téléphones mobiles et ont parfois entraîné des dommages physiques en raison de la lourde charge du système d’exploitation, par exemple une batterie a explosé.

Les menaces sont développées et dirigées vers trois principauxchoses: le vol de données personnelles et d'entreprise, l'utilisation de ressources de processeur et de mémoire et la création de réseaux de zombies. C’est contre ces menaces que les solutions Check Point fonctionnent.

Tout d’abord, la famille Capsule protège les données ensmartphone à l'intérieur du conteneur, qui est utilisé pour stocker toutes les informations de l'entreprise. Ainsi, la solution sépare l'utilisateur et les composants de l'entreprise sur un appareil personnel, de sorte que les informations confidentielles ne tombent pas dans les éléments les plus vulnérables, tels que les réseaux sociaux.

La seconde est la famille SandBlast, qui, en fait,transfère aux appareils mobiles la même logique que celle utilisée pour protéger les ordinateurs personnels. Il garantit que l'utilisateur n'installe pas de logiciels suspects, ne scanne pas et ne détecte pas les réseaux Wi-Fi compromis, bloque l'accès aux applications et aux appareils suspects jusqu'à ce que la menace soit résolue.

Un exemple frappant: si vous avez téléchargé une application de lampe de poche dissimulant le logiciel malveillant, la solution bloque les opérations bancaires en ligne afin qu'aucun attaquant ne puisse accéder à vos finances.

- Quel est le degré de dangerosité des logiciels malveillants lors de l'installation d'applications mobiles, y compris dans des magasins spécialisés? Comment puis-je définir la protection?

- Les utilisateurs sont frivoles àappareils mobiles et installation d'applications. En donnant à tel ou tel programme l’accès aux processus internes - contacts, microphone, jusqu’aux droits de l’administrateur, les utilisateurs ne pensent pas aux conséquences.

Par exemple, qui visite fréquemment des expositions, connaîtapplications avec le calendrier et la navigation de l'exposition. Une telle application demande souvent l'accès à des contacts, à un emplacement, à un microphone, afin que vous puissiez communiquer avec d'autres participants, partager des photos, définir une géolocalisation. Pour télécharger l'application, vous devez scanner le code QR - et personne ne pense que quelqu'un peut en coller un autre sur ce code QR, ce qui téléchargera la fausse application qui demande les mêmes droits et vole les données de votre téléphone.

Photo: Anton Karliner / Haytek

La même chose arrive avec non préparéles utilisateurs qui, au plus fort de la popularité d'un jeu (comme avec Pokemon Go) ou d'événements (Coupe du Monde de la FIFA), téléchargent de fausses applications se faisant passer pour des jeux, des horaires et des émissions. Ces applications volent des mots de passe, enregistrent des conversations, volent des SMS d'une banque - et bien plus encore.

Le risque ici est beaucoup plus élevé que celui des utilisateurs.PC d'entreprise. En règle générale, les stratégies de sécurité en vigueur dans les entreprises ne permettent pas aux programmes tiers de télécharger et de maintenir des contrôles stricts. Avec les appareils mobiles plus difficiles. Bien que nous utilisions le courrier des entreprises ou des documents, les entreprises craignent d’empêcher leurs employés d’utiliser des gadgets personnels.

En termes d'applications malveillantes, la plateformeAndroid est plus vulnérable car il est très populaire et vous permet de télécharger des applications depuis des magasins informels. Toutefois, sur iOS, vous pouvez également installer des applications tierces, par exemple à partir de portails d'entreprise, où il peut y avoir un risque de substitution. En outre, un grand nombre de personnes impliquées dans le rut des smartphones sur la plate-forme iOS sont également exposées aux mêmes risques que les utilisateurs d'Android.

Du point de vue des entreprises, vous devez utiliserLes systèmes MDM qui distinguent les informations personnelles des entreprises. Et si nous parlons d'utilisateurs ordinaires, les solutions de sécurité des principaux fabricants conviendront, qui les protégeront contre les virus et contre l'installation de contenus indésirables.

Comment sauver Internet des aspirateurs, des cafetières et des crypto-mineurs

- Quelle est la gravité des prétendus mineurs de crypto cachés aujourd'hui? Comment se protéger des outils de cryptographie?

- L'année dernière, les mineurs crypto entrés mensuellementdans le top 3 des menaces les plus actives. L'une des plates-formes minières cachées les plus populaires, Coinhive, a été fermée le 8 mars, mais même pendant ces huit jours, le cryptominer a attaqué 23% des organisations dans le monde. Je pense que ce vecteur d'attaques va évoluer, la technologie des hackers est déjà assez déboguée. Pour extraire une crypto-monnaie, vous avez besoin d'une énorme quantité de ressources informatiques. Où les trouver? Créez uniquement un botnet dont la capacité totale dépassera toutes les batteries de serveurs possibles pour la production de crypto-monnaie. Ainsi, vous téléchargez, à première vue, une application inoffensive qui, après un certain temps, commence à télécharger des modules malveillants pour la crypto-extraction. Tout ce que vous pouvez remarquer, c'est que le smartphone est constamment soumis à une charge accrue et qu'il se décharge rapidement.

Botnets - les réseaux des appareils connectés sont créés pourAfin d'utiliser la puissance du périphérique connecté pour des attaques massives sur des ressources tierces. Le botnet Mirai, qui a dirigé les attaques DDoS de webcams et de routeurs vulnérables, en est un exemple frappant. Il a été utilisé par un pirate informatique qui a déconnecté tout un pays d'Internet - le Libéria. Avec une capacité adéquate, les pirates informatiques peuvent quitter le pays sans électricité ni communication, les risques sont donc très élevés.

La deuxième façon que les pirates ont maîtrisée dans le passéannée, et très probablement, il continuera à évoluer - le cryptobirge par effraction directe. Etant donné qu'un très grand nombre de cryptobirds sont créés sans un niveau de sécurité adéquat, la vitesse et la commodité étant au premier plan, pour les pirates informatiques, il s'agit d'un chemin court vers l'argent. Et plus la croissance de la crypto-monnaie est importante, plus l'intérêt des pirates pour ce sujet est grand.

- Que sont les botnets et comment ne pas être attaqué?

- Dans le monde PC, les structures de réseau avec des réseaux de zombiesappris à bien se battre, car, en fait, c'est le même malware. La situation sur les appareils mobiles est moins contrôlée et avec d'autres appareils IoT, la situation est encore pire. Comme nous l'avons dit, les utilisateurs mobiles courent un risque en raison du non-respect des règles de sécurité et de l'installation d'applications peu fiables. Les appareils de l'Internet des objets ne sont généralement pas perçus par beaucoup comme des sources de menace. Les appareils connectés, qu'il s'agisse de télévision intelligente, d'aspirateurs intelligents ou de cafetières, sont initialement créés sans tenir compte des exigences de sécurité. Par exemple, il existe un fabricant de puces Wi-Fi ou Bluetooth qui les intègre dans un milliard d'appareils dans le monde: montres, appareils photo, drones, ascenseurs et trains. Leur logiciel est très vulnérable, et si le pirate informatique trouve un moyen de prendre le contrôle de la puce, il peut toutefois prendre le contrôle de tout le système de périphériques. Soit la mise à jour logicielle de ces appareils n’est pas fournie, soit personne ne la fait.

Photo: Anton Karliner / Haytek

Dans une récente attaque sur Asus, les pirates informatiques ontaccès aux serveurs de mise à jour officiels et a essayé d’infecter un grand nombre de périphériques Asus afin de créer un botnet et de rassembler des informations pour une attaque plus sérieuse. J'appellerais cela une panne de stylo, car les pirates informatiques voulaient comprendre combien d'appareils ils pouvaient contrôler. Botnet - l'une des principales menaces aujourd'hui. Un réseau de zombies de 50 000 appareils a déjà provoqué une panne d'électricité dans les États baltes. Un réseau de 200 000 appareils a presque détruit le réseau mondial. Imaginez maintenant un botnet de la taille de plusieurs millions d’appareils. Les conséquences d'une telle puissance d'attaque ne peuvent être prédites.

Parmi les professionnels de la sécurité etLes fabricants d’appareils débattent activement de la manière dont l’appareil Internet des objets peut et doit être protégé. Une approche est la protection de chaque dispositif individuel, l'introduction de soi-disant nanoagents, qui sont développés par les grands fournisseurs. Une autre approche est la sécurité globale au niveau du cloud. Cependant, il n’ya pas de panacée pour cette menace.