Aller au contenu principal

Un flux de menaces DNS est un excellent outil de cybersécurité pour votre organisation. C’est, après tout, l’un des meilleurs moyens de protéger le réseau de votre organisation contre l’accès à des sites Web qui mènent à des maliciels, des rançongiciels et d’autres cyberattaques.

Toutefois, le problème, c’est que tous les flux de menaces ne sont pas créés égaux.

Si vous évaluez un flux de menaces pour le réseau de votre organisation, voici trois questions que vous devez vous poser.

Quelle couverture offre-t-il?

Idéalement, un flux de menaces DNS empêcherait toute personne utilisant votre réseau d’accéder à tous les sites Web malveillants.

C’est là que l’étendue de la couverture du flux de menaces joue un rôle clé.

Les principaux aspects à prendre en compte sont les suivants :

  • La manière dont les comportements anormaux sont détectés : un flux de menaces doit être suffisamment large pour pouvoir signaler quand quelque chose « sort de l’ordinaire » et doit potentiellement être bloqué
  • La capacité à identifier les variations subtiles des robots et des logiciels malveillants : parfois, les cybercriminels apportent de légères modifications aux attaques afin de passer au travers des protections. Les flux de menaces doivent pouvoir tenir compte de ces modifications
  • L’étendue des mesures utilisées pour caractériser et regrouper les activités suspectes : les flux de demandes doivent disposer d’une variété de « cadres » différents pour reconnaître les attaques en cours

Comment un flux de menaces peut-il aider à lutter contre ces menaces?

L’apprentissage automatique peut jouer ici un rôle clé. En appliquant l’apprentissage automatique à de grands ensembles de données DNS utilisés pour la recherche sur les menaces, la couverture des menaces peut être élargie et donc détecter plus efficacement les variations subtiles.

Un comportement anormal peut être signalé en repérant les requêtes entrantes qui ne correspondent pas aux modèles prédits.  Il s’agit d’un moyen efficace de réduire l’ensemble de données et de concentrer les ressources de traitement sur le trafic qui risque davantage d’être malveillant.

Grâce à un traitement supplémentaire, le trafic suspect peut être évalué par des mesures qui calculent le degré de malveillance; ce trafic est ensuite classé en conséquence. Le trafic comportant des modèles similaires peut être repéré et regroupé. Ces agrégations peuvent être comparées à des menaces connues et validées qui partagent les mêmes caractéristiques (forte corrélation) que les menaces validées. À partir de ces données, le flux de menaces peut ensuite obtenir des informations.

Quelle est la précision du flux de menaces?

Pour qu’un flux de menaces DNS soit efficace, il doit être précis; il doit bloquer autant de pages malveillantes que possible tout en permettant aux utilisateurs d’accéder rapidement et facilement à des sites Web légitimes et inoffensifs.

En d’autres termes, la précision est importante.

Elle consiste à garantir une bonne expérience et la productivité de l’utilisateur.  Les technologies de sécurité ne doivent pas bloquer l’accès aux ressources internet légitimes utilisées pour le travail, l’apprentissage et les activités de loisirs sur le Web, quelles qu’elles soient. Globalement, la précision permet d’obtenir la meilleure protection possible tout en minimisant les faux positifs, ce qui garantit une bonne expérience utilisateur.

Une analyse statistique approfondie de volumes massifs de données de requête DNS peut fournir une compréhension approfondie des modèles de requête « normaux » et « malveillants ». Cela se reflète intrinsèquement dans les flux de menaces pour éviter le blocage par inadvertance du trafic légitime. Pour réduire davantage les faux positifs, un large éventail de mesures (jusqu’à 90) doit être évalué pour valider les menaces suspectées.

Dans quelle mesure le flux de menaces est-il agile pour répondre aux nouvelles menaces?

Les cybermenaces sont en constante évolution.

Cela signifie que l’agilité, c’est-à-dire la capacité à réagir rapidement à l’apparition de nouvelles menaces, est un élément clé d’un flux de menaces efficace.

L’agilité est influencée par les données utilisées par un flux de menaces. Les données en temps réel, traitées rapidement et efficacement, permettent de détecter et de valider plus rapidement l’activité des menaces. Mais il ne suffit pas de traquer les nouvelles menaces. Les menaces nouvellement détectées doivent également être envoyées aux points d’application. Le flux de menaces s’avère inutile s’il ne parvient pas à acheminer de nouvelles menaces vers un pare-feu DNS (ou un autre point d’application).

Une analyse sophistiquée peut également découvrir les noms de domaine générés automatiquement (algorithme de génération de domaine) et répliquer la fonction afin qu’un flux de menaces puisse publier les entrées de manière proactive et préventive et bloquer automatiquement les activités futures.

Conclusion

La qualité de votre configuration de cybersécurité dépend de votre capacité à détecter les nouvelles menaces au fur et à mesure qu’elles apparaissent.

En vous posant ces questions au sujet de votre flux de menaces, vous pouvez avoir une assez bonne idée de la protection de votre réseau.

Vous cherchez à renforcer la protection contre les menaces pour votre organisation? CIRA DNS Firewall utilise le flux de menaces d’Akamai pour protéger les organisations canadiennes contre les cybermenaces.

En savoir plus ici.

Mark Brownlee

Mark Brownlee est gestionnaire du marketing des produits pour les Services de cybersécurité de CIRA. Son travail, qui est axé sur les produits du CIRA DNS Firewall et du Bouclier canadien, vise à aider à protéger les personnes et les organisations au Canada contre les cybermenaces. Il est spécialisé dans la stratégie marketing, la planification des communications et les meilleures pratiques publicitaires.