Introduit par l’armée américaine dans les années 1950, Moving Target Defense (MTD) est le concept de contrôle du changement dans plusieurs dimensions du système afin d’augmenter l’incertitude et la complexité apparente pour les attaquants, de réduire leur fenêtre d’opportunité et d’augmenter les coûts de leur efforts de détection et d’attaque.
Cette technique a été appliquée au monde de la cybersécurité ces dernières années, mais bien que le concept soit solide, c’est une stratégie complexe qui présente de nombreux inconvénients si elle n’est pas exécutée correctement. Nous avons parlé avec Avihay Cohen, CTO et co-fondateur de Seraphic Security, découvrez comment ce concept est appliqué à l’aujourd’hui stratégies de cybersécurité, ses pièges et comment les mettre en œuvre avec succès.
BN : À quoi ressemble MTD pour la cybersécurité ?
AC : la défense des cibles mobiles est un vieux concept qui a été intégré dans les années 50 par l’armée américaine. Vous pouvez le considérer comme un verrou en constante évolution qui ne cesse de changer lorsque vous essayez de le saisir.
Il existe de nombreuses implémentations de MTD au niveau du système d’exploitation (OS), comme la randomisation de la disposition de l’espace d’adressage (ASLR ). L’une des parties fondamentales et nécessaires d’une exploitation est la prévisibilité de la cible. Simple et simple, l’exploitation de la corruption de la mémoire doit s’appuyer sur la prévisibilité de la cible exploitable. Avant ASLR, par exemple, l’espace d’adressage d’un processus était prévisible, mais ensuite ASLR est venu et a randomisé l’espace d’adressage du processus à chaque exécution. Cela signifie que les emplacements de certaines adresses mémoire que l’attaquant connaissait lorsqu’il a développé les exploits ne sont plus valides sur aucune autre machine. Donc, cela a changé beaucoup de choses, et l’ASLR à lui seul est très robuste. Il fournit une prévention pour des bogues de corruption de mémoire spécifiques, mais le domaine a mûri et il existe maintenant des moyens plus sophistiqués de contourner ces défenses. ASLR est toujours une chose, et c’est maintenant dans votre système d’exploitation. Chaque processus que vous exécutez s’exécute en fait de manière ASLR.
Certaines startups souhaitaient utiliser cette approche dans d’autres domaines du processus, comme la modification de l’espace d’adressage des bibliothèques dynamiques chargées, par exemple. Cela a causé beaucoup de frais généraux et a entraîné de nombreuses pannes de fonctionnalités, donc cela n’a pas décollé. Bien que, pour des zones spécifiques, ASLR fonctionne très bien car il est assez simple et robuste. Pour les autres applications, c’est extrêmement compliqué, mais pour les navigateurs, c’est totalement différent. Dans un navigateur, vous n’êtes pas au niveau du système d’exploitation car il y a quelque chose entre les deux appelé le moteur JavaScript. La raison pour laquelle cette approche fonctionne si bien pour les navigateurs est que nous avons un intermédiaire entre le système d’exploitation et le code JS qui est le moteur JavaScript qui est sous contrôle total.
Grâce aux techniques de MTD, la robustesse de c’est exceptionnel parce que vous ne comptez pas sur la détection. C’est la partie la plus problématique de toute solution de sécurité. C’est soit le taux de faux positifs, soit, plus important encore, les faux négatifs. Que se passe-t-il si nous ne parvenons pas à détecter les menaces qui deviennent de plus en plus sophistiquées ?
La capacité de prévenir les menaces sans les détecter est énorme. C’est exactement ce que fait ASLR-il ne fait aucune détection. Il empêche des cas spécifiques de bogues de corruption de mémoire. Au niveau du navigateur car vous n’interagissez pas directement avec le système d’exploitation, mais plutôt avec le moteur JavaScript. Tout exploit dans le navigateur doit s’appuyer sur des fonctionnalités spécifiques et prévisibles du navigateur. Lors de la mise en œuvre de MTD pour les navigateurs, vous créez un environnement imprévisible sans causer d’impact majeur sur les performances ou de rupture de fonctionnalité tout en modifiant l’environnement entier. Ainsi, ce n’est pas seulement un aspect unique comme l’ASLR, mais ce sont de nombreux composants qui créent ensemble une imprévisibilité qui se traduit par des taux de prévention élevés sans aucun besoin de détection. La prévention est complètement indépendante de la détection, ce qui rend le navigateur très robuste contre l’exploitation.
BN : Pourquoi les organisations ont-elles actuellement du mal à mettre en œuvre des stratégies MTD ?
AC: La plupart des organisations ne connaissent pas MTD, à moins qu’elles n’aient des programmes de sécurité plus sophistiqués. Il y a pas mal d’entreprises qui font une sorte de MTD au niveau du système d’exploitation, mais cela ne s’est pas avéré efficace car cela entraîne des impacts majeurs sur les performances et une rupture des fonctionnalités. Vous voulez évidemment que les employés au travail ne s’embarrassent pas des bugs et des pannes des applications natives, c’est pourquoi c’était extrêmement problématique à mettre en œuvre pour les organisations qui connaissaient ces techniques.
Il y a un long MIT enquête qui a examiné de nombreuses entreprises qui ont tiré parti d’un certain type de stratégie MTD et les a comparées. Après avoir examiné toutes leurs capacités, les résultats de l’enquête ont mis en évidence que le domaine lui-même n’est pas assez mature pour MTD. Ainsi, la raison principale pour laquelle MTD n’a pas gagné en popularité est qu’il peut entraîner un impact spécifique sur les performances ou une rupture de fonctionnalité lorsqu’il n’est pas exécuté correctement, et plus important encore, bon nombre des solutions proposées n’étaient tout simplement pas suffisantes.
BN : À quoi ressemble le succès d’une stratégie MTD correctement mise en œuvre ?
AC : Comme je l’ai partagé, les stratégies MTD ne reposent pas sur la détection. Si vous n’avez que des capacités de prévention et des capacités de détection nulles, le moyen d’obtenir une indication que la stratégie fonctionne est de ne pas obtenir d’indications du tout. Si vous n’obtenez pas de retour de la part de vos utilisateurs indiquant que quelque chose a planté ou qu’il y a des bogues, c’est une indication que votre stratégie fait son travail.
BN : Quels types d’organisations recommanderiez-vous ? utiliser les stratégies MTD ?
AC : S’il existe une approche MTD qui peut fournir une prévention robuste sans perte de fonctionnalité ni impact majeur sur les performances, je conseille à toute organisation de la mettre en œuvre. MTD offre aux organisations la possibilité de prévenir les attaques sophistiquées et moins sophistiquées, sans compter sur certains algorithmes pour détecter ces menaces, car il fonctionne tout le temps et vous êtes en sécurité lors de son déploiement. Je crois vraiment que cette approche pourrait fonctionner pour n’importe quelle organisation.
Crédit d’image : source lumineuse/depositphotos.com