Protégez-vous des menaces émergentes: bloquez les nouveaux domaines.
Lorsque vos équipes de cybersécurité analysent les menaces auxquelles vous faites face, je serais prêt à mettre un 2$ que bien souvent lorsqu’un logiciel malveillant s’exécute ou qu’un lien suspect est cliqué, il y a un nom de domaine récemment enregistré ou utilisé qui y est lié.
Quand je dis un logiciel malveillant, on parle de rançongiciel, de voleur de comptes d’accès, ceux qui causeront un réel impact à votre organisation.
Comme les solutions de cybersécurité se basent bien souvent sur des indicateurs de compromission ou signatures connus (adresse IP, nom de domaine, URL, etc.) pour bloquer au maximum les attaques, les acteurs de menaces ne peuvent utiliser ceux-ci très longtemps sans quoi leurs efforts seraient en vain et ils n’atteindraient pas leurs objectifs. On parle parfois d’un cycle de vie de quelques heures ou quelques jours tout au plus.
D’expérience, les groupes d’attaquants sérieux sont les premiers à avoir des systèmes en place pour renouveler de façon efficace et rapide leurs noms de domaines utilisés lors d’attaques et d’ainsi obtenir un plus haut taux de succès.
Comment se protéger?
Les pare-feu récents, les solutions de filtrage Web, les EDR, et bien d’autres types de solutions de cybersécurité possèdent maintenant la fonctionnalité de bloquer les communications vers les nouveaux domaines ou ceux qui existent depuis longtemps, mais qui viennent tout juste de démontrer des signes d’activités.
Attention: Il y a un potentiel impact du fait de bloquer ceux-ci, une organisation totalement légitime qui achète un nouveau nom de domaine pourrait donc se voir inaccessible numériquement via vos actifs.
J’ai mis l’accent depuis le début sur les « nouveaux » domaines, mais il y a une certaine granularité qui pourrait permettre de vous donner une option supplémentaire selon votre décision quant à bloquer ou non ce type de menace. On possède généralement ces deux options:
- Bloquer les domaines récemment enregistrés. (Par défaut, on parle souvent de moins de 30 jours). Donc qu’un potentiel acteur de menace a acheté récemment.
- Bloquer les domaines nouvellement utilisés. Donc qu’il n’y avait aucune activité observée en lien avec celui-ci via différentes sources d’intelligence en cybermenaces. (Un peu moins précis et plus dangereux à mettre en place selon-moi)
Il est également possible de seulement mettre en mode observation (monitor) ces protections afin d’évaluer l’impact potentiel dans votre propre environnement.
Conclusion
Dans tous les cas, parlez de cette configuration à vos équipes de cybersécurité. Je vous garantis personnellement que d’expérience – dans la majorité des situations, cela a beaucoup plus de chance de vous éviter une catastrophe que de causer un impact significatif dans votre environnement. (mais consultez toujours vos équipes 😉 )
Références
- What Is a Newly Observed Domain? — Definition by ThreatDotMedia
- Troubleshooting Tip: ‘Newly Observed Domain’ Webfi… – Fortinet Community
- Newly Registered Domains vs. Newly Observed Domains vs. Newly Active Domains vs. Newly Observed Hostnames vs. DNS Changes: What Does “New” Mean? – DomainTools | Start Here. Know Now.
- Flagging 13 Million Malicious Domains in 1 Month with Newly Observed Domains | Akamai
1 Commentaire
Effectivement une très bonne pratique ! Si je ne me trompe pas, un nouveau domaine enregistré, reste 10 jours dans ce “status” chez Fortinet.
Au passage, un bel article de https://unit42.paloaltonetworks.com/newly-registered-domains-malicious-abuse-by-bad-actors/