Manualsbrain.com
  1. Handbücher
  2. Marken
  3. Cisco
  4. Cisco ScanSafe Secure Mobility
  5. Informationshandbuch

Cisco Cisco ScanSafe Secure Mobility Informationshandbuch

Download
Seite von 8
 
 
© 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco.  
Page 3 sur 8 
Solution 
Cisco a recommandé au client d
’effectuer une mise à niveau vers CWS Premium, qui inclut les moteurs CTA et 
AMP, afin de bénéficier d
’une visibilité accrue sur son réseau et d’aider l’équipe de sécurité à catégoriser les 
menaces.  
L
’analyse rétrospective d’AMP permet de détecter les fichiers habilement déguisés et les programmes malveillants 
sophistiqués considérés comme « sains » lorsqu
’ils ont traversé les lignes de défense du périmètre. AMP alerte 
sur-le-champ l
’administrateur de la sécurité et lui permet de voir quel utilisateur sur le réseau est susceptible 
d
’avoir été contaminé et à quel moment. 
Parallèlement, CTA détecte les menaces les plus furtives qui ont réussi à s
’infiltrer et qui opèrent activement sur le 
réseau d
’entreprise. Ce système innovant de détection des programmes malveillants fait appel à l’analyse 
comportementale et à la détection des anomalies pour identifier les terminaux compromis. CTA repose sur des 
méthodes avancées d
’analyse statistique et sur l’apprentissage automatique pour identifier séparément les 
nouvelles menaces, en apprenant de ce qu
’il voit et en s’adaptant au fil du temps, sans nécessiter d’ajustement ni 
de configuration. 
CTA a identifié une preuve d
’activité d’un programme malveillant sur le réseau du client et l’a signalée. Le 
programme en question se composait d
’un ensemble de modules contrôlés par une entité malveillante. En 
l
’occurrence, la charge utile était le rançongiciel CryptoLocker. Ce programme malveillant sophistiqué chiffre les 
fichiers présents sur les ordinateurs des victimes et verrouille les appareils jusqu
’à ce qu’une rançon soit versée.
5
 
Comme l
’indique la figure 2, le pirate a utilisé une infrastructure de contrôle-commande pour lancer l’attaque. Cette 
campagne s
’est déroulée en quatre étapes clés : 
Étape 1 
Le pirate a utilisé une attaque (CVE-2012-4681) pour tirer parti d
’une vulnérabilité du composant Java 
Runtime Environment (JRE) dans la mise à jour Oracle de Java 6 vers Java SE 7. Il a ainsi pu exécuter 
du code à distance tout en échappant à l
’administrateur de la sécurité.  
Étape 2 
Le bootkit (Rovnix.l) s
’est ensuite installé sur l’ordinateur pour assurer une présence permanente. 
Étape 3 
La charge utile a alors été libérée, rendant le programme malveillant pleinement opérationnel. (En 
l
’occurrence, la charge utile était le rançongiciel CryptoLocker.) 
Étape 4 
Enfin, l
’attaque a créé des biais de contrôle-commande afin de maintenir l’opération active. 
Figure 2.    Les quatre étapes clés de l
’attaque 
 
                                                   
5
 Le malvertising, procédé utilisé pour diffuser des programmes malveillants, a joué un rôle majeur dans la diffusion de 
CryptoLocker, qui a depuis lors été neutralisé. Très répandus, le malvertising et les rançongiciels sont utilisés par les 
cybercriminels pour lancer des campagnes extrêmement ciblées via le Web. Pour plus de détails, consultez notre rapport 
semestriel 2014 sur la sécurité (en anglais) : 
.