Comment fonctionnent les attaques de type "zero day" ?
Une attaque "zero day" est une sorte de advanced persistent threat, souvent lancée à l'aide de courriels de phishing, de spear-phishing, de whaling, de liens malveillants, de pièces jointes militarisées, d'usurpation d'identité et d'autres méthodes de menace avancée pour obtenir l'accès à un système d'entreprise et déployer l'exploitation "zero day" de la vulnérabilité.
Qu'est-ce qu'un exploit de type "zero day" ?
Un exploit "zero day" est un malware qui s'attaque à une vulnérabilité logicielle non identifiée auparavant. Les termes "exploit du jour zéro" et "attaque du jour zéro" sont souvent utilisés de manière interchangeable. La différence fondamentale est que l'attaque "zero day" infiltre un réseau d'entreprise, généralement par le biais d'une faille dans la sécurité du courrier électronique, avec un exploit "zero day" qui vole ou endommage des données ou provoque d'autres types de dégâts malveillants perturbateurs.
Comme la vulnérabilité et les dommages causés par l'attaque ne sont généralement découverts que quelques heures ou quelques jours plus tard, et parfois même plus longtemps, l'organisation ciblée dispose de "jours zéro" pour mettre en œuvre un correctif afin d'y remédier.
Une fois qu'un exploit de type "zero day" est découvert, il n'est plus considéré comme une menace de type "zero day".
Qui sont les cibles des vulnérabilités de type "zero day" ?
Toute organisation qui utilise le courrier électronique est la cible d'une vulnérabilité de type "zero day". Il s'agit aussi bien de grandes entreprises comme Microsoft (qui a été attaquée en 2021) que de plus petites organisations. Si vous utilisez le courrier électronique, votre réseau est la cible d'une vulnérabilité de type "zero day".
Comment identifier un exploit de type "zero day" ?
Les exploits "zero day" sont identifiés principalement en examinant les courriels suspects, le trafic réseau inhabituel et le comportement des logiciels. Bien entendu, il est préférable d'identifier un exploit de type "zero day" avant qu'une attaque ne soit lancée avec succès. C'est pourquoi un système de sécurité du courrier électronique à plusieurs niveaux, équipé d'un système de détection des menaces de haut niveau, est absolument essentiel pour votre organisation.
Quels sont les exemples d'attaques de type "zero-day" ?
Pendant la pandémie de Covid-19, Zoom est devenu une plate-forme populaire pour les travailleurs à distance. Malheureusement, il est également devenu une cible populaire pour une attaque de type "zero day". Les utilisateurs de Windows 7 et des versions antérieures présentaient une vulnérabilité qui leur permettait d'accéder à distance à tous leurs fichiers.
Google Chrome a également fait l'objet de menaces de type "zero day" en raison d'un bogue dans son moteur JavaScript. L'application iOS d'Apple, généralement considérée comme l'une des plateformes les plus sûres, a été attaquée à plusieurs reprises, permettant à des pirates de compromettre les données de l'iPhone.
L'une des attaques de type "zero day" les plus célèbres est toutefois Stuxnet, qui a été utilisé pour exploiter les opérations d'enrichissement de l'uranium de l'Iran.
Il ne s'agit là que de quelques exemples d'attaques de type "zero day". Celles que nous ne connaissons pas, malheureusement, peuvent être des attaques de type "zero day" qui affectent votre organisation.
Quelles sont les meilleures pratiques en matière de protection contre les attaques de type "zero-day" ?
Formez tous les membres de votre organisation à l'atténuation des menaces de base. Encouragez la sensibilisation aux courriels suspects et à d'autres pratiques sûres telles que ne pas ouvrir de pièces jointes inconnues ou cliquer sur des liens en dehors de votre organisation.
Sauvegardez tous vos systèmes et élaborez un plan de reprise après sinistre.
Aussi importantes que soient ces pratiques, la plus importante est peut-être l'installation d'un système de sécurité du courrier électronique à plusieurs niveaux.
L'arrêt d'une attaque de type "zero day" nécessite une protection multicouche de la messagerie électronique.
Une attaque de type "zero day" représente une grave menace pour la sécurité des données. Une attaque "zero day" est une sorte de advanced persistent threat qui exploite une vulnérabilité dans un logiciel, utilisant cette faiblesse pour accéder à un réseau d'entreprise dans les heures ou les jours qui suivent la découverte de la menace, mais avant qu'elle ne puisse être corrigée ou patchée.
La sécurité du courrier électronique est primordiale pour protéger une organisation contre une menace de type "zero day", car les attaques sont souvent initiées par un lien malveillant ou une pièce jointe militante. La prévention d'une attaque de type "zero day" nécessite plusieurs couches de protection contre les malware, les virus et le spam, ainsi que contre les targeted attack telles que le phishing, le spear-phishing ou une whaling.
Prévenir une vulnérabilité de type "zero day" avec Mimecast
Mimecast offre une protection efficace contre les attaques de type "zero day" grâce à des services complets de sécurité de la messagerie électronique qui utilisent des moteurs de détection sophistiqués et multicouches ainsi que des renseignements pour arrêter les menaces avant qu'elles n'atteignent le réseau.
Avec Mimecast, la protection de la messagerie électronique et des données est toujours active grâce à des mises à jour continues sur les derniers rapports d'intelligence et d'attaques de type "zero day".
La sécurité de la messagerie de Mimecast est également facile à gérer, ce qui élimine les coûts et la complexité généralement associés aux solutions de sécurité de la messagerie. Les administrateurs peuvent gérer des politiques souples et granulaires à partir d'une single console Web et appliquer des politiques globales en temps réel afin de garantir la conformité et d'améliorer la sécurité.
Solutions de Mimecast pour se défendre contre une attaque de type "zero day".
Mimecast Secure Email Gateway aide à prévenir une attaque de type "zero day" en offrant une protection anti-malware de 100% et anti-spam de 99%. Mimecast Targeted Threat Protection ajoute une protection supplémentaire grâce à des outils spécifiques permettant d'identifier et de contrecarrer une targeted attack.
- Impersonation Protect analyse les en-têtes, les informations sur le domaine et le corps du texte de tous les messages entrants afin de détecter les signes d'ingénierie sociale couramment utilisés dans les attaques de spear-phishing et de whale phishing.
- URL Protect analyse les URL de tous les courriels entrants et bloque tout lien jugé suspect. URL Protect analyse également les liens dans les courriels archivés afin de prévenir la possibilité d'une attaque différée.
- Attachment Protect protège contre les pièces jointes militarisées en les plaçant dans un bac à sable, en les analysant à la recherche de codes malveillants et en n'autorisant pas les employés à les ouvrir tant qu'ils n'ont pas été jugés sûrs.
En savoir plus sur la défense contre une attaque de type "zero day" avec Mimecast, et sur les solutions Mimecast pour la détection des advanced persistent threat.
