Lorsque vous consultez les rapports sur le blocage de menaces, vous devez savoir où regarder. Les cas que vous recherchez peuvent parfois sauter aux yeux. Prenez, par exemple, les données recueillies par le DNS Firewall de l’ACEI d’une entreprise, une ville dans cette situation, ayant quelques centaines d’utilisateurs de réseau et une équipe de TI plutôt grande (elle dessert des dizaines de milliers de citoyens). Elle n’est pas gigantesque, mais elle n’est pas petite, non plus. Cependant, elle est suffisamment grande pour accorder un budget à des couches de protection pour le réseau et les points d’extrémité, dont l’une d’entre elles est le DNS qui refuse les requêtes de menaces.
Les requêtes du DNS proviennent habituellement des courriels d’hameçonnage, des sites Web risqués visités par des employés et des réseaux de zombies. Dans ces cas-ci, le nombre n’est pas ingérable (croyez-moi, certains sont énormes!). Donc, une équipe de TI peut consulter les données plutôt qu’utiliser un outil externe comme une GIES. Il est plutôt facile de repérer une hausse subite de requêtes, suggérant une attaque ciblée ou une infection de réseaux de zombies. Par exemple, si un domaine particulier est énormément touché, il se peut qu’un courriel d’hameçonnage ait traversé les filtres. Dans ces situations, l’équipe de TI peut rapidement évaluer le type de risque et alerter les utilisateurs.
Mais que se passe-t-il lorsqu’une entreprise est dix fois plus grande? À quoi ressemble alors une hausse subite ? Dans ces circonstances, deux hausses subites sont évidentes, mais d’autres peuvent aussi se cacher dans les données. Il se peut que des équipes particulières soient ciblées ou que plusieurs utilisateurs soient touchés. Voici où vous pouvez savoir quels sont les domaines qui ont été attaqués plusieurs fois.
En vérifiant simplement les adresses URL, vous pouvez voir les tentatives évidentes d’hameçonnage ou vous pouvez remarquer une tendance dans les domaines spécifiques et les domaines liés qui sont affectés. Cela permet aux équipes de TI qui séparent de nombreux réseaux de gérer le risque entre les types d’utilisateurs. Nous n’utiliserons pas un client en guise d’exemple ici, car ce serait trop compliqué. Nous nous servirons plutôt des données agrégées de l’ACEI. Voici le type de données que nous retrouvons sur le réseau:
Ces nombres sont trop élevés pour qu’un être humain puisse consulter toutes les données (l’IA ou l’apprentissage automatique s’en occupent). Dans ce cas, nous devons surveiller deux mesures : le nombre de requêtes et le nombre d’utilisateurs affectés. Dans le cas du nombre de requêtes, les données ne sont pas très utiles, car elles sont énormément (fortement) influencées par à peine quelques machines infectées. Alors, oui, vous pouvez voir dans l’image ci-dessous que nous avons presque quatre millions de requêtes d’un seul domaine malveillant, mais lorsque vous regardez d’où elles proviennent, vous pouvez constater qu’il s’agit d’une seule et même adresse IP. Le client devra certainement agir! Cependant, ce n’est pas une menace vitale pour les réseaux canadiens.
La liste est plutôt différente lorsque vous regardez le nombre de comptes personnels qui tentent de visiter des sites malveillants. Dans l’exemple ci-dessous, vous pouvez voir des centaines de comptes qui essaient (tentent) d’aller sur des sites potentiellement dangereux. Certains peuvent être des menaces explicites, tandis que d’autres affichent inconsciemment des publicités malveillantes. D’autres fois, nous y trouvons même des sites compromis qui étaient auparavant légitimes. Ceci peut souvent inclure des sites infectés qui s’en prennent à de plus petites entreprises locales ou encore aux applications que nos propres clients ont développées. Donc, la menace est bien réelle, et la meilleure manière de se protéger est de ne jamais faire confiance aux sources étrangères.
Il est beaucoup plus inquiétant de voir plusieurs comptes qui tentent d’aller à la même adresse URL, car cela porte à croire qu’il s’agit d’une attaque envahissante. Dans plusieurs cas, il s’agit de typosquattage. Mais nous avons déjà vu par le passé des hausses subites dans le minage clandestin de la cryptomonnaie (un problème que nous avons heureusement enfin réglé en grande partie), ou un terrain de golf local qui s’est fait pirater juste avant le début d’un tournoi municipal.
Quelques mots sur le filtrage de contenu et la révision des données
Le filtrage de contenu peut être un sujet sensible, puisqu’il concerne les gens. Cependant, puisque cela touche aussi les entreprises, c’est un outil très répandu dans le monde de la cybersécurité. Certes, quelques entreprises souhaitent chasser le contenu inapproprié de leur réseau (ou veulent réduire la consommation de leur bande passante) et peuvent le faire à l’aide de politiques et d’outils. Certains utilisent un Wi-Fi public qui permet d’accéder à du contenu possiblement indésirable, alors nous ne recommandons pas cette solution. En revanche, il ne s’agit pas seulement de la censure par les entreprises, car il y a bel et bien un besoin légitime en matière de sécurité. Il a été prouvé que certains contenus hébergent plus de menaces. De plus, bon nombre de menaces se cachent sur des sites d’apparence attrayante. Par exemple, les sites pour enfants qui offrent diverses activités et des pages de coloriage (populaires durant la pandémie) sont souvent exploités par des vecteurs de menaces. Les mémoires en ligne non autorisées par l’équipe de TI représentent aussi un danger, car elles peuvent être exploitées par les pirates informatiques pour propager du contenu malveillant. Les anonymiseurs peuvent être utilisés par des employés pour effectuer des activités que l’équipe de TI ne veut pas que vous fassiez (pratiquiez).
Si vous filtrez du contenu, la révision du rapport quotidien de blocage n’est habituellement pas nécessaire ou utile, car il est presque garanti d’être énorme. Selon notre expérience, presque personne ne le fait hors des contextes de GIES où l’on emploie l’apprentissage automatique pour repérer des changements dans les tendances des utilisateurs. Par contre, c’est une utilisation plutôt extrême de la technologie, et seulement les équipes de TI bien financées se servent de ce type d’approche pour protéger des données sensibles. Cependant, si vous choisissez de le faire, assurez-vous de comprendre l’ampleur du problème.
En conclusion, que recommandons-nous pour évaluer le blocage des menaces par le DNS ?
- Repérez rapidement les réseaux de zombies qui pourraient se trouver sur votre réseau, car ils pourraient servir de porte d’accès.
- Ne paniquez (cédez) pas (à la panique) en voyant le nombre de blocages; portez plutôt une attention particulière aux hausses subites. Ces hausses sont-elles générées par un seul utilisateur ? Par un seul département ? L’adresse URL est-elle ciblée (par exemple, le typosquattage du domaine d’un grand fournisseur de services) ?
- Traitez les tentatives d’hameçonnage et les menaces envahissantes en adoptant un mélange équilibré de formation éducative et de technologie.
- Le filtrage de contenu est une partie importante de la sécurité, mais servez-vous-en à bon escient.
Rob a acquis plus de 20 ans d’expérience de la rédaction, de la présentation et du blogage à l’intention de l’industrie des technologies. Il aborde des thèmes aussi variés que les outils de développement de logiciels, l’ingénierie inverse de Silicon, la cybersécurité et le DNS. De fait, Rob est un spécialiste du marketing passionné qui s’adresse aux professionnelles et aux professionnels des TI en leur donnant les renseignements et les précisions dont ils ont besoin pour s’acquitter de leurs tâches.
