Rubriques Connexes
À propos d'APT Blocker
Une attaque Advanced Persistent Threat (APT) est un type d'attaque réseau qui utilise des programmes malveillants avancés et des failles inédites pour accéder aux réseaux et données confidentielles pendant de longs moments. Les attaques APT sont très sophistiquées et ciblent souvent des institutions spécifiques de haut niveau telles que des sociétés publiques ou entreprises du secteur financier. L'utilisation de ces programmes malveillants avancés s'est également élargie pour cibler de petits réseaux et entreprises de bas niveau.
Etant donné que les attaques APT utilisent les techniques malveillantes les plus récentes et des failles inédites (failles que les fournisseurs de logiciels n'ont pas encore découvertes ou réparées) pour infecter et se propager dans un réseau, les techniques d'analyse traditionnelles utilisant des signatures n'offrent pas une protection adéquate contre ces menaces. Le programme malveillant APT est conçu pour résider au sein d'un réseau pendant un long moment. La communication à partir du programme malveillant est cachée et toutes les preuves de la présence du programme malveillant sont supprimées, ce qui lui permet de se soustraire à la détection.
APT Blocker est un service d'abonnement qui utilise une analyse d'émulation du système complet effectuée par Lastline pour identifier les caractéristiques et le comportement des programmes malveillants APT présents dans les fichiers et les pièces jointes d'e-mail qui entrent dans votre réseau. APT Blocker n'utilise pas des signatures comme les autres outils d'analyse traditionnels, les programmes antivirus par exemple. Les fichiers qui entrent dans votre réseau sont analysés et un hachage MD5 du fichier est généré. Ce hachage MD5 est soumis au centre de données en nuage Lastline par HTTPS. Lastline compare le fichier à une base de données de fichiers analysés et renvoie immédiatement les résultats d'analyse. Si l'analyse détecte une correspondance à une menace connue de programme malveillant, vous pouvez prendre une action immédiate sur le fichier, comme par exemple bloquer, abandonner ou mettre en quarantaine le fichier. Les résultats de l'analyse des fichiers sont enregistrés dans un cache local afin qu'en cas de nouveau traitement du même fichier, les résultats soient immédiatement connus sans qu'il ne soit nécessaire d'envoyer à nouveau le hachage MD5 du fichier au centre de données Lastline.
Vous pouvez envoyer des requêtes à un serveur local Lastline APT Blocker sur site si vous en avez un sur votre réseau. Dans les réseaux de grandes entreprises, certaines organisations utilisent un serveur APT Blocker local pour des raisons de sécurité et de confidentialité des données. Pour plus d'informations, voir Configurer les Paramètres du Serveur APT Blocker.
S'il n'y a pas de correspondance avec les résultats disponibles d'un fichier précédemment analysé, ce fichier spécifique n'a été ni vu ni analysé auparavant. Ce fichier est ensuite soumis au centre de données Lastline où il fait l'objet d'une analyse approfondie dans le cadre de l'activité APT dans un environnement de type bac à sable de nouvelle génération. Cette analyse s'effectue en même temps que le transfert de fichiers. Pour les proxies autres que SMTP et IMAP, la connexion est autorisée pendant que le périphérique attend le résultat de l'analyse. Lorsque le résultat est renvoyé, en cas de preuves d'existence d'une activité malveillante dans le fichier, votre Firebox peut générer une notification d'alarme. Pour obtenir davantage d'informations sur la surveillance de l'activité d'APT Blocker et l'utilisation des rapports WatchGuard Dimension pour suivre les actions d'APT Blocker, consultez Surveiller l'Activité d'APT Blocker.
À Propos des Limites d'Analyse d'APT Blocker
La taille maximale des fichiers qu'APT Blocker envoie à Lastline en vue de leur analyse se base sur la limite d'analyse de Gateway AntiVirus. La limite d'analyse par défaut est de 1 Mo pour la plupart des périphériques Firebox. Les périphériques Firebox T10 et XTM 2 Series ont une valeur par défaut de 512 Ko. Bien qu'APT Blocker ne puisse pas analyser des fichiers partiels, la plupart des programmes malveillants sont transmis dans des fichiers de taille inférieure à 1 Mo. Les fichiers plus volumineux sont moins susceptibles de se diffuser rapidement de manière virale. Pour de plus amples informations sur les limites d'analyse, consultez À propos des limites d'analyse Gateway AntiVirus. Pour de plus amples informations sur la configuration de la limite d'analyse, consultez Configurer les actions de Gateway AntiVirus.
Lastline accepte d'analyser les fichiers d'une taille inférieure à 10 Mo. Si vous fixez la limite d'analyse de Gateway AntiVirus à une valeur supérieure à 10 Mo, APT Blocker ne transmet pas le fichier à Lastline et génère le message de journal « la taille du fichier dépasse la limite de soumission ».
Stratégies de Proxy Prises en Charge
APT Blocker peut analyser les fichiers des stratégies de proxy suivantes :
- Proxy HTTP
- Proxy HTTPS, si APT Blocker est activé dans l'action de proxy HTTP utilisée pour l'Inspection de Contenu
- Proxy FTP
- Proxy SMTP
- Proxy IMAP
- Proxy POP3
Pour obtenir des informations concernant APT Blocker dans les proxies SMTP et IMAP, consultez APT Blocker dans les Proxies SMTP et IMAP.
Types de Fichier Pris en Charge
APT Blocker peut analyser les types de fichier suivants :
- Fichiers Windows PE (Exécutable Portable)
Il s'agit de fichiers présentant les extensions .cpl, .exe, .dll, .ocx, .sys, .scr, .drv et .efi employés dans les systèmes d'exploitation Windows 32 et 64 bits. - Documents Adobe PDF
- Document Microsoft Office
- Document Rich Text Format (RTF)
- Fichiers exécutables Android (.apk)
- Fichiers application Apple Mac (.app)
- Fichiers JavaScript (.js) uniquement en tant que pièces jointes d'e-mail
APT Blocker peut également examiner des fichiers à l'intérieur d'archives compressées. APT Blocker prend en charge les types de fichier d'archive suivants :
- gzip
- tar
- zip
- rar
- 7z
Niveaux de menace APT
APT Blocker classe l'activité APT en fonction de la gravité de la menace :
- Élevé
- Moyen
- Faible
- Nettoyer
Les niveaux de menace Élevé, Moyen et Faible indiquent la dangerosité du programme malveillant. Cette évaluation est déterminée sur la base d'un score attribué au fichier lorsqu'il est analysé par Lastline. Le niveau Haut indique un score élevé parce que plus de caractéristiques malveillantes ont été identifiées lors de l'analyse. Nous vous recommandons d'utiliser l'action par défaut Abandonner pour tous ces niveaux de menace.
Pour les niveaux de menace Élevé, Moyen et Faible, vous pouvez attribuer une action (Autoriser, Abandonner, Bloquer ou Mettre en Quarantaine) et activer des paramètres d'alarme, de notification et de journalisation.
Le niveau de menace Propre indique que le fichier a été analysé lors de la vérification initiale du hachage du fichier ou par chargement au centre de données en nuage Lastline et qu'aucun programme malveillant n'a été détecté. L'action pour le niveau de menace Propre est paramétrée par défaut sur Autoriser et ne peut être modifiée. Le niveau de menace Propre vous aide à repérer l'état des fichiers analysés par Lastline considérés comme non infectés et ne contenant pas de programme malveillant. Vérifiez bien que la case Journal est cochée pour journaliser l'état des fichiers propres.
WatchGuard vous recommande de sélectionner les options Alarme et Journal pour tous les niveaux de menace dans votre configuration d'APT Blocker pour surveiller l'activité d'APT Blocker.
Activer et Configurer APT Blocker
Pour activer APT Blocker sur votre Firebox, vous devez :
- Obtenir une Clé de Fonctionnalité Firebox
- Ajouter ou Supprimer Manuellement une Clé de Fonctionnalité
- Activer Gateway AntiVirus dans une Stratégie de Proxy
- Configurer APT Blocker
APT Blocker participe au même processus d'analyse que Gateway AntiVirus. Lorsque vous activez APT Blocker dans une action de proxy, APT Blocker analyse uniquement le contenu s'il correspond à une règle d'action de proxy configurée dans l'action d'Analyse AV.