DLL malveillantes hébergés sur des domaines infectés : le machine learning et l’intelligence à la rescousse

0
267

Les attaquants font de plus en plus recours à l’utilisation de domaines infectés comme maillon clé de la chaîne d’attaque, notamment en y hébergeant les DLL malveillantes. 

Tribune – La sophistication croissante des attaques n’est pas un phénomène nouveau, et l’utilisation fragmentée de technologies fonctionnant en silo, ne suffit plus à contrer ces attaques. La surveillance des vulnérabilités du réseau, le nettoyage des systèmes infectés, l’analyse de journaux de données sans fin provenant d’une ou de plusieurs sources, et enfin la hiérarchisation des alertes et de leur vérification reposent le plus souvent sur des suites d’outils mal intégrées les unes aux autres.  

Encore souvent, les solutions de sécurité présentes sur le réseau ne partagent pas de données entre elles et ne bénéficient pas de données contextuelles sur le réseau en lui-même. Cette absence d’interopérabilité, d’échanges et d’automatisation pèse lourdement sur la posture de sécurité des entreprises. 

Dans ce contexte, Joaquín Gómez, Responsable de la cybersécurité pour l’Europe du Sud chez Infoblox, partage sa vision sur la manière dont les organisations peuvent se protéger face aux cybermenaces en 2023 : 

“La prévention reposait auparavant sur l’utilisation de systèmes autonomes, qu’il s’agisse de pare-feu, de filtrage du courrier électronique ou de systèmes de prévention des intrusions, mais aujourd’hui, cela ne suffit plus. Compte tenu de la sophistication de nombreuses attaques, il est nécessaire d’aller plus loin et de mettre en place des systèmes capables d’anticiper les menaces, même celles qui sont nouvelles. En 2023, nous assisterons à une utilisation croissante des technologies d’IA et de ML pour identifier et même prévenir une attaque avant qu’elle ne se produise, et également empêcher l’exécution de code malveillant. 

Lorsqu’un domaine suspect est impliqué dans une attaque, la gestion sécurisée du DNS peut être un outil très efficace, en utilisant des fournisseurs de DNS capables de refuser l’accès aux domaines compromis utilisés pour héberger le code malveillant. De même, le recours à des fournisseurs dotés de la technologie RPZ (Response Policy Zone) est un moyen de contrôler la transmission des noms de domaine en tenant compte de la réputation des serveurs, et de définir des politiques qui permettent une réponse proactive et automatisée aux requêtes adressées à des domaines suspects.”