Les attaquants s'intéressent de plus en plus à Linux
Le système d'exploitation GNU/Linux est largement utilisé par les entreprises et les institutions. De plus, les architectures Cloud et les applications prises en charge par des conteneurs basés sur Linux ont contribué à son essor.
Ces nouvelles applications font de Linux une cible de choix pour les attaquants qui tentent de tirer parti de failles telles que :
- Les logiciels non mis à jour
- Les erreurs de configuration
- Le code non sécurisé
- ou encore l'hameçonnage et l'ingénierie sociale
comme le souligne une étude réalisée par Trend Micro en 2023, faisant des terminaux Linux une cible potentielle pour de nombreux types de menaces susceptibles d'endommager un système d'information.
Principaux types de logiciels malveillants ciblant le système d'exploitation Linux en 2022 - les menaces sont largement dominées (97%) par les attaques basées sur le web, contrairement à ce qui est observé sous Windows
En outre, un autre rapport de Checkpoint datant de novembre 2023 a mis en évidence une augmentation significative des attaques par ransomware ciblant les serveurs Linux et les hyperviseurs ESXi de VMware depuis 2020.
Bien que ces menaces Linux soient généralement moins sophistiquées, leur impact est préoccupant et évolue. En effet, si les ransomwares ciblant Linux sont minimalistes et se concentrent presque entièrement sur le chiffrement, ils peuvent être difficiles à détecter.
Parmi les exemples notables, citons le logiciel malveillant furtif Shikitega, et les implants Linux de la société chinoise I-Soon et de ses partenaires.
Alors, comment notre EDR fonctionne-t-il pour protéger efficacement les terminaux Linux ? Entrons dans le vif du sujet.
Un EDR robuste et fiable basé sur eBPF
L'EDR HarfangLab repose sur la technologie eBPF qui présente de nombreux avantages par rapport aux EDR basés sur les modules du noyau Linux (LKM) :
- Mises à jour rapides
Contrairement aux Linux Kernel Modules, les eBPF sont plus faciles à maintenir lors des différentes mises à jour de Linux, ce qui permet une mise à jour plus rapide et une prise en charge des noyaux Linux modernes avec un risque minimal d'erreurs ou d'incompatibilités. - Pas de Kernel panic
Aussi, contrairement aux Linux Kernel Modules, les eBPF ne s'exécutent pas en mode noyau et ne peuvent donc pas faire planter le système en provoquant un Kernel Panic, aka. “l'écran bleu de la mort”.
Quid de l'autoprotection de l’EDR ?
Les attaquants font généralement de leur mieux pour rester sous les radars et peuvent essayer de rendre les EDR silencieux pour y parvenir. C'est pourquoi HarfangLab prévoit des capacités d'autoprotection au cœur de ses fonctionnalités, pour protéger son agent contre les comportements malveillants.
Sous Linux, l'autoprotection de l'agent comporte deux aspects :
- La protection des processus, pour empêcher les processus malveillants de tuer l'agent, de lire ou de modifier sa mémoire,
- la protection du système de fichiers, pour empêcher les processus malveillants de lire, d'écraser ou de supprimer les fichiers de l'agent.
Une télémétrie étendue pour une compréhension précise des événements de sécurité
HarfangLab EDR est reconnu pour ses capacités de télémétrie avancées sur Windows, et le même niveau d’exigence s'applique à Linux, avec des sources de télémétrie étendues, telles que les processes events, filesystem events, URL, DNS.... pour faciliter l'analyse par les SOC.
Notre priorité : fournir autant de données de haute qualité que possible, avec le moins de retard possible, pour permettre aux experts en cybersécurité de comprendre l'origine d'une alerte et d'enquêter efficacement.
Pour ce faire, notre EDR permet par exemple d'associer le processus derrière chaque connexion réseau - ce qui est particulièrement ardu à réaliser sous Linux.
Voyons maintenant plus en détails les avantages de données disponibles pour la détection.
Une détection de pointe, des règles ouvertes et personnalisables
Grâce aux données de qualité mentionnées plus haut, notre équipe CTI produit des règles de détection plus fines et plus difficiles à contourner.
En effet, la qualité et la pertinence des données collectées par nos agents nous permettent également, en nous appuyant sur les formats de règles YARA et SIGMA, de fournir une détection de pointe, transparente et personnalisable. En outre, notre moteur d'IA aide à détecter les menaces inconnues sur Linux, comme il le fait pour Windows et macOS, afin de s'adapter au rythme auquel les menaces évoluent.
En pratique, c'est ainsi que nous sommes en mesure de détecter les ransomwares et tous types de menaces en général sur Linux : en alimentant nos moteurs Yara et IOC avec notre télémétrie, et en améliorant continuellement nos modèles d'IA.
Pour les ransomwares en particulier, c'est ce qui permet à HarfangLab de détecter et de bloquer les attaques avant qu'elles ne soient exécutées, garantissant ainsi qu'aucun de vos fichiers ne soit chiffré.
Vous voulez en savoir plus sur le fonctionnement de notre EDR ?