Une attaque Advanced Persistent Threat (APT) est un type d'attaque réseau qui utilise des malware avancés et des failles inédites pour accéder aux réseaux et données confidentielles pendant de longs moments. Les attaques APT sont très sophistiquées et ciblent souvent des institutions spécifiques de haut niveau telles que des sociétés publiques ou entreprises du secteur financier. L'utilisation de ces programmes malveillants avancés s'est également élargie pour cibler de petits réseaux et entreprises de bas niveau.
Etant donné que les attaques APT utilisent les techniques malveillantes les plus récentes et des failles inédites (failles que les fournisseurs de logiciels n'ont pas encore découvertes ou réparées) pour infecter et se propager dans un réseau, les techniques d'analyse traditionnelles utilisant des signatures n'offrent pas une protection adéquate contre ces menaces. Le malware (programme malveillant) APT est conçu pour résider au sein d'un réseau pendant un long moment. La communication à partir du programme malveillant est cachée et toutes les preuves de la présence du programme malveillant sont supprimées, ce qui lui permet de se soustraire à la détection.
APT Blocker est un service d'abonnement employant une analyse d'émulation du système complet permettant d'identifier les caractéristiques et le comportement des malware (programmes malveillants) APT présents dans les fichiers et les pièces jointes d'e-mail qui accèdent à votre réseau. APT Blocker n'utilise pas des signatures comme les autres outils d'analyse traditionnels, les programmes antivirus par exemple. Les fichiers qui entrent dans votre réseau sont analysés et un hachage MD5 du fichier est généré. Ce hachage MD5 est soumis au centre de données en nuage APT Blocker via HTTPS. APT Blocker compare le fichier à une base de données de fichiers analysés et renvoie immédiatement les résultats d'analyse. Si l'analyse détecte une correspondance à une menace connue de malware (programme malveillant), vous pouvez prendre une action immédiate sur le fichier, comme par exemple bloquer, abandonner ou mettre en quarantaine le fichier. Les résultats de l'analyse des fichiers sont enregistrés dans un cache local. Par conséquent, en cas de nouveau traitement du fichier, les résultats sont immédiatement obtenus sans recourir à un nouvel envoi de son hachage MD5 au centre de données.
Vous pouvez envoyer les requêtes à un serveur APT Blocker sur site local si votre réseau en comprend un. Dans les réseaux de grandes entreprises, certaines organisations utilisent un serveur APT Blocker local pour des raisons de sécurité et de confidentialité des données. Pour plus d'informations, consultez Configurer les Paramètres Avancés d'APT Blocker.
S'il n'y a pas de correspondance avec les résultats disponibles d'un fichier précédemment analysé, ce fichier spécifique n'a été ni vu ni analysé auparavant. Ce fichier est ensuite soumis au centre de données, où il fait l'objet d'une analyse approfondie dans le cadre de l'activité APT dans un environnement de type bac à sable de nouvelle génération. Cette analyse s'effectue en même temps que le transfert de fichiers. Les données qu'APT Blocker envoie au centre de données sont automatiquement supprimées une fois l'analyse terminée. Pour les proxies autres que SMTP et IMAP, la connexion est autorisée pendant que le périphérique attend le résultat de l'analyse. Lorsque le résultat est renvoyé, en cas de preuves d'existence d'une activité malveillante dans le fichier, votre Firebox peut générer une notification d'alarme. Pour obtenir davantage d'informations sur la surveillance de l'activité d'APT Blocker et l'utilisation des rapports pour suivre les actions d'APT Blocker, consultez Surveiller l'Activité d'APT Blocker.
À Propos des Limites d'Analyse d'APT Blocker
Pour utiliser APT Blocker, vous devez disposer d'une clé de fonctionnalité qui active APT Blocker et Gateway AntiVirus. La taille limite d’analyse de Gateway AntiVirus limite également la taille maximale des fichiers qu'APT Blocker envoie pour analyse. Les limites d'analyse par défaut varient en fonction du modèle de périphérique. Pour des informations sur les limites d'analyse par modèle, consultez À propos des Limites d'Analyse Gateway AntiVirus. Pour de plus amples informations sur la configuration de la limite d'analyse, consultez Configurer les Actions de Gateway AntiVirus.
Bien qu'APT Blocker ne puisse pas analyser des fichiers partiels, la plupart des programmes malveillants sont transmis dans des fichiers de taille inférieure à 1 Mo. Les fichiers plus volumineux sont moins susceptibles de se diffuser rapidement de manière virale.
APT Blocker peut analyser des fichiers jusqu'à 10 Mo. Si vous fixez la limite d'analyse de Gateway AntiVirus à une valeur supérieure à 10 Mo, APT Blocker n’analyse pas les fichiers d'une taille supérieure à 10 Mo et génère le message de journal « la taille du fichier dépasse la taille limite de soumission ». Dans Fireware 12.3 Update 1 et les versions ultérieures, APT Blocker peut envoyer les valeurs de hachage MD5 des fichiers de plus de 10 Mo au centre de données hébergé sur le cloud.
Stratégies de Proxy Prises en Charge
APT Blocker peut analyser les fichiers des stratégies de proxy suivantes :
- Proxy HTTP
- Proxy HTTPS, si APT Blocker est activé dans l'action de proxy HTTP utilisée pour l'Inspection de Contenu
- Proxy FTP
- Proxy SMTP
- Proxy IMAP
- Proxy POP3
Pour obtenir des informations concernant APT Blocker dans les proxies SMTP et IMAP, consultez APT Blocker dans les Proxies SMTP et IMAP.
Types de Fichier Pris en Charge
APT Blocker peut analyser les types de fichier suivants :
- Fichiers Windows PE (Portable Executable)
Cela comprend les fichiers portant les extensions .cpl, .exe, .dll, .ocx, .sys, .scr, .drv et .efi utilisés dans les versions 32 et 64 bits des systèmes d'exploitation Windows. - Documents Adobe PDF
Dans Fireware v12.7 et les versions ultérieures, APT Blocker n'envoie pas de PDF non reconnus pour analyse, sauf si la case Soumettre les fichiers PDF au centre de données pour analyse est cochée dans les Paramètres avancés.
- Document Microsoft Office
- Document Rich Text Format (RTF)
- Fichiers exécutables Android (.apk)
- Fichiers application Apple Mac (.app)
- Fichiers JavaScript (.js) uniquement en tant que pièces jointes d'e-mail
- Fichiers Hanword (.hwp) (Corée)
- Fichiers ISO (.iso)
APT Blocker peut également examiner des fichiers à l'intérieur d'archives compressées. APT Blocker prend en charge les types de fichier d'archive suivants :
- gzip
- tar
- zip
- rar
- 7z
APT Blocker n'analyse pas les fichiers ajoutés à la liste des Exceptions de Fichiers. Pour plus d'informations, consultez Configurer les Exceptions de Fichiers.
Niveaux de menace APT
APT Blocker classe l'activité APT en fonction de la gravité de la menace :
- Élevée
- Moyenne
- Basse
- Propre
Les niveaux de menace Élevé, Moyen et Faible indiquent la dangerosité du programme malveillant. Cette évaluation se base sur un indice attribué au fichier lors de son analyse par APT Blocker. Le niveau Haut indique un score élevé parce que plus de caractéristiques malveillantes ont été identifiées lors de l'analyse. Nous vous recommandons d'utiliser l'action par défaut Abandonner pour tous ces niveaux de menace.
Pour les niveaux de menace Élevé, Moyen et Faible, vous pouvez attribuer une action (Autoriser, Abandonner, Bloquer ou Mettre en Quarantaine) et activer des paramètres d'alarme, de notification et de journalisation.
Le niveau de menace Propre indique que le fichier a été analysé lors de la vérification initiale de son hachage ou après avoir été transmis au centre de données en nuage APT Blocker, qui n'a détecté aucun programme malveillant. L'action pour le niveau de menace Propre est paramétrée par défaut sur Autoriser et ne peut être modifiée. Le niveau de menace Propre vous aide à suivre l'état des fichiers analysés considérés comme non infectés et exempts de programme malveillant par APT Blocker. Vérifiez bien que la case Journal est cochée pour journaliser l'état des fichiers propres.
WatchGuard vous recommande de sélectionner les options Alarme et Journal pour tous les niveaux de menace dans votre configuration d'APT Blocker pour surveiller l'activité d'APT Blocker.
Activer et Configurer APT Blocker
Pour activer APT Blocker sur votre Firebox, vous devez :
- Obtenir une Clé de Fonctionnalité Firebox
- Ajouter ou Supprimer Manuellement une Clé de Fonctionnalité
- Activer Gateway AntiVirus dans une Stratégie de Proxy
- Configurer APT Blocker
APT Blocker participe au même processus d'analyse que Gateway AntiVirus. Lorsque vous activez APT Blocker dans une action de proxy, APT Blocker analyse uniquement le contenu s'il correspond à une règle d'action de proxy configurée dans l'action Analyse AV.