Qu’est-ce que la mise sur liste autorisée ?


La mise sur liste autorisée d’applications, ou contrôle des applications, est une fonctionnalité de sécurité qui réduit les attaques de sécurité préjudiciables en autorisant uniquement l’exécution de fichiers, d’applications et de processus de confiance.

Définissons le concept de mise sur liste autorisée

Pour bloquer les activités non autorisées susceptibles de déclencher une attaque malveillante, les entreprises utilisent la mise sur liste autorisée d’applications, ou contrôle des applications, pour renforcer leur sécurité périmétrique. La mise sur liste autorisée identifie les fichiers, applications ou processus connus et permet leur exécution. À l’inverse, les activités inconnues sont bloquées ou restreintes, ce qui les empêche de s’ouvrir et de se propager dans un système ou un environnement en mode attaque.

Certaines sociétés examinent les fichiers bloqués manuellement pour en approuver l’utilisation ou les corriger si nécessaire. Cependant, les solutions avancées de sécurité des terminaux peuvent exécuter automatiquement des processus de mise sur liste autorisée via des contrôles logiciels et des règles de protection qui bloquent et sécurisent complètement les actifs de l’entreprise, la propriété intellectuelle et les données réglementées. Ces solutions réduisent les interruptions de service en automatisant l’approbation des logiciels de confiance et en éliminant le besoin de gestion des listes autorisées.

Dans quelle mesure la mise sur liste autorisée est-elle efficace ?

Même si la mise sur liste autorisée est présentée comme un élément essentiel de la sécurité (voir Industry Pulse ci-dessous), ce n’est qu’un des nombreux outils qui offrent une sécurité complète des terminaux.

Associée à d’autres techniques avancées comme l’analyse comportementale et l’autoapprentissage, la mise sur liste autorisée contribue de manière significative au blocage et à la prévention des attaques malveillantes.

À titre d’exemple, NSS Labs, une organisation indépendante qui fournit des conseils en matière de cybersécurité, a testé les produits Advanced Endpoint Protection (AEP) pour déterminer leur efficacité. L’objectif du test était de valider les fonctionnalités de blocage proactif et de détection active des menaces connues et inconnues.

Comme le montre la carte des valeurs de sécurité de 2017 de la société pour les solutions Advanced Endpoint Protection, les tests de NSS Labs ont prouvé qu’il est possible d’utiliser des outils tels que la mise sur liste autorisée et d’autres fonctionnalités de sécurité des terminaux pour contrer la totalité des attaques.

Industry Pulse : la mise sur liste autorisée comme stratégie de sécurité principale

Les experts en sécurité ont estimé que la mise sur liste autorisée était une stratégie de sécurité fondamentale indispensable, capable d’arrêter les attaques malveillantes telles que les rançongiciels.

En fait, un article sur les CSO suggère que la mise sur liste autorisée en temps réel basée sur des recommandations, des scores de réputation et d’autres données peut théoriquement « offrir la promesse d’une sécurité des terminaux presque parfaite avec un temps système de gestion très réduit ».

Help Net Security a récemment partagé une perspective similaire d’un analyste responsable de la sécurité et de la confidentialité chez Gartner, Neil MacDonald, sur la façon dont la mise sur liste autorisée peut être utilisée pour bloquer les attaques malveillantes. « Pour réduire le risque d’attaques futures contre les vulnérabilités de tous types, nous préconisons depuis longtemps l’utilisation du contrôle des applications et de la mise sur liste autorisée sur les serveurs », déclare M. MacDonald. « Si ce n’est pas déjà fait, il est temps d’appliquer un état de refus par défaut à la protection des charges de travail des serveurs, qu’elles soient physiques, virtuelles, de Cloud public ou basées sur des conteneurs. Cela devrait devenir une pratique standard et une priorité pour tous les leaders de la sécurité et de la gestion des risques en 2018. »

Phil Hagen, un spécialiste de la criminalité numérique et de la réponse aux incidents de la société de solutions de sécurité Red Canary, est d’accord avec M. MacDonald. Dans un article de blog récent, P. Hagen fait remarquer que « les solutions de contrôle des applications telles que celles proposées par notre partenaire Carbon Black sont l’étape la plus significative de prévention que puisse prendre une organisation. Cette méthodologie garantit que seule une liste de fichiers binaires approuvés peut être exécutée sur les systèmes d’une entreprise. Qu’il s’agisse d’une charge utile de hameçonnage comme un rançongiciel ou d’un logiciel malveillant hautement ciblé, le prix à payer pour devenir une victime va généralement bien au-delà du déploiement et de la maintenance d’une solution d’autorisation. »

400 000 machines ont été infectées par l’épidémie de rançongiciel WannaCry au cours de la première semaine.

 

La réponse : la mise sur liste autorisée dynamique en temps réel

Dans un monde où le risque de cyberattaques est partout, il est essentiel d’avoir une solution complète de sécurité des terminaux qui contient la mise sur liste autorisée. Ainsi les données sensibles sont protégées en permanence. Conçus à partir de règles strictes des activités autorisées, la mise sur liste autorisée et le contrôle des applications permettent aux systèmes essentiels de se verrouiller en temps réel, ce qui empêche automatiquement les fichiers, applications et processus malveillants de s’exécuter. Grâce à ces fonctionnalités sophistiquées, les sociétés peuvent :

Contrer les attaques - En autorisant uniquement l’exécution de logiciels approuvés
Automatiser les logiciels - Approbations et mises à jour via des règles informatiques et basées sur le Cloud
Empêcher les changements indésirables - Vers la configuration du système au niveau du noyau et du mode utilisateur
Contrôler les terminaux - Fonctionnalités de surveillance et de contrôle de l’intégrité des fichiers (FIM/FIC)
Répondre aux risques informatiques - Contrôles d’audit pour les principales obligations règlementaires

Ressources supplémentaires

Protéger vos applications et données avec une sécurité intrinsèque

Une nouvelle approche de sécurité intrinsèque : la sécurité intrinsèque est une approche fondamentalement différente pour sécuriser votre entreprise.

Pare-feu service-defined VMware NSX

Faites confiance à un pare-feu interne de couche 7 distribué avec état et reposant sur NSX pour sécuriser le trafic du Data Center sur les charges de travail virtuelles, physiques, conteneurisées et Cloud.

Plate-forme d’espace de travail numérique moderne

Déployez et gérez de manière simple et sécurisée toute application sur n’importe quel terminal grâce à VMware Workspace ONE, une plate-forme d’espace de travail numérique intelligente.