Comment GLIMPS protège les comptes de messagerie Google Workspace ?

Que ce soit pour sa facilité d’utilisation ou le gain de productivité qu’il apporte au quotidien, Google Workspace a su s’imposer à travers le monde, comptabilisant pas moins de 9 millions d’entreprises clientes de la solution.

Avec sa messagerie d’entreprise (GMAIL), sa solution de visioconférence (Google Meet) ou son système de partage de fichier (Google Drive), l’environnement de travail collaboratif Google Workspace est devenu l’un des leaders du marché.

Malheureusement, comme c’est également le cas pour les environnements Microsoft 365, Google Workspace est aujourd’hui la cible des cybercriminels qui usent et abusent de stratégies avancées dans le but de s’introduire dans les systèmes d’information des entreprises.

Si Google propose déjà des solutions pour limiter les tentatives d’intrusion, le manque d’information sur le fonctionnement de ces solutions natives peut vite devenir un frein pour les équipes SOC qui ont besoin de visibilité et dans le pire des cas ouvrir une vulnérabilité à la suite d’un défaut de configuration.

Pour répondre à cet enjeu, l’utilisation d’une application tierce offrant des capacités de détection plus poussée et une visibilité accrue aux équipes SOC permet de renforcer la sécurité de la messagerie GMAIL.
C’est dans ce contexte que la société GLIMPS a développé un nouveau connecteur pour Google Workspace qui est intégré à son produit GLIMPS Malware. Explication.

Malgré l’adoption grandissante de technologies comme les messageries instantanées (Teams, Slack) et de la visioconférence, l’utilisation de la messagerie traditionnelle reste au cœur du fonctionnement des entreprises modernes.

Or une cyberattaque réussie signifie souvent une paralysie provoquée par l’arrêt de serveurs ou encore la perte des données clients. Elle démarre le plus souvent par l’envoi d’un email malveillant comme l’observe la société Vade Secure. Selon elle, ce ne serait pas moins que 90 % des cyberattaques qui impliqueraient l’utilisation de l’e-mail comme l’un des premiers vecteurs d’attaques.

Une tendance qui, selon la société Hewlet Packard s’expliquerait par un abandon de l’utilisation de macros pour d’autres techniques d’exécution de code, notamment l’exploitation des vulnérabilités logicielles. Au quatrième trimestre 2023, dans la majorité des cas, ces attaques auraient impliqué l’utilisation de documents PDF, Excel, Doc, Docx ou Docm. Un mode opératoire bien connu dont le but est d’exploiter des vulnérabilités de la suite Office qui a évolué comme le rappelle Cédric GIBERT, Directeur Produit chez GLIMPS : « Il n’est pas toujours nécessaire d’inventer des malwares sophistiqués. Les cybercriminels misent souvent sur la simplicité et la ruse, cachant leurs intentions sous plusieurs couches pour échapper à la détection. Par exemple, ils peuvent dissimuler un fichier Excel malveillant dans un PDF. Si le fichier Excel était directement attaché, les systèmes de sécurité l’auraient probablement détecté comme dangereux. En le cachant dans un PDF, les attaquants parviennent à contourner les mesures de sécurité. ». C’est à cette occasion que la technologie du Deep File Inspection, qui consiste à inspecter en profondeur les fichiers en les décomposant en sous-fichiers individuellement soumis à analyse, peut démontrer sa redoutable efficacité. GLIMPS en est à l’heure actuelle l’un des pionniers.

Une ingéniosité des attaquants qui pose question sur la capacité de Google à détecter l’ensemble de ces menaces.

Si GMAIL dispose de filtres de détection antiphishing particulièrement robustes, les payloads malveillants empaquetés dans les fichiers restent difficiles à détecter.

Pour pallier cette contrainte, Google intègre des solutions sandboxing qui sont utilisées pour analyser les pièces jointes afin de détecter les ransomwares, ou tout autre malware, qu’ils soient connus ou inconnus (Zero-day).

Toutefois, l’expérience utilisateur n’est pas forcément au rendez-vous, comme le souligne l’expert : « C’est extrêmement long, cela prend entre 30 secondes et une minute, ce qui peut être dissuasif pour l’utilisateur final. Soyons clairs, les solutions de sandboxing rapides ne sont pas très efficaces. Il n’y a pas de secret : soit on prend le temps de faire une analyse dynamique complète, et cela fonctionne, soit on ne prend pas ce temps et le résultat n’est souvent pas à la hauteur ».

C’est pourquoi les entreprises doivent adopter une protection multicouche intégrant des solutions tierces pour protéger efficacement leur messagerie. De ce fait, même si les outils internes de Google sont défaillants, l’outil tiers aura la capacité de détecter la menace avant qu’elle n’infecte un collaborateur.

Un constat partagé par l’entreprise Gartner qui recommande d’utiliser des solutions tierces s’appuyant sur des algorithmes de Machine Learning, de Natural Language Processing et de Computer Vision.

Il ne s’agit plus simplement de vérifier si un fichier est malveillant, mais de l’analyser en profondeur. C’est là qu’interviennent l’orchestration et l’inspection approfondie des fichiers (Deep File Inspection), un terme proposé par Gartner. Cette approche utilise de nombreux outils hérités du reverse engineering couplés à l’intelligence artificielle pour détecter de nouveaux variants de malware, au lieu de simplement déterminer si un fichier est malveillant ou non.

Enfin, en intégrant un outil tiers, les analystes SOC accèdent plus simplement à la collecte d’informations en temps réel sur les menaces sans avoir à utiliser les solutions de sécurité de Google. Pour exemple, le transfert de log depuis Google Workspace oblige l’utilisateur à créer un compte Google Cloud. En comparaison, un outil tiers accédant au flux pourra plus facilement transférer les données vers le SIEM souhaité et donner des détails plus poussés que ce que peuvent fournir les solutions de Google.

Basée sur le Deep Learning, la technologie GLIMPS Malware permet d’extraire des signatures suspectes à l’aide d’une analyse statistique d’un code informatique. Appelé « concept-code » ce mécanisme permet une analyse approfondie et précise sans avoir besoin d’une étape de décompilation. Une technologie offrant des capacités de détection dépassant nettement celle des antivirus traditionnels y compris ceux utilisant la technologie du machine learning.

« Contrairement aux solutions natives d’antivirus qui prennent quelques millisecondes pour analyser un fichier, GLIMPS effectue cette analyse en environ 3 secondes. Certes plus long que les antivirus classiques, ce délai reste parfaitement compatible avec l’expérience utilisateur attendue pour le traitement des emails. GLIMPS offre ainsi une finesse, une précision et une profondeur d’analyse comparables à celles d’une sandbox, mais de manière beaucoup plus rapide. »

La solution GLIMPS propose un connecteur Google Workspace permettant de s’interfacer avec son API.
Concrètement, lorsqu’un email est reçu, ce dernier apparaît avec un label « not analysed ». Le connecteur récupère automatiquement le mail pour l’analyser à l’aide de ses moteurs d’intelligences artificielles. S’il est sain et en quelques secondes seulement, le mail est labellisé comme « safe » et l’utilisateur pourra l’ouvrir en toute sérénité depuis sa boîte de réception.

Si un email est reçu et que le caractère malveillant est détecté, ce dernier est redirigé vers une boîte de quarantaine de l’équipe de sécurité. L’administrateur accède à un rapport détaillé via GLIMPS Malware Expert lui permettant de qualifier l’incident.

Dans le cas d’une levée de doute, l’administrateur peut consulter le résultat de l’analyse et appliquer une action de remédiation manuelle en relâchant le mail avec la pièce jointe. Le mail est ensuite reçu par le destinataire avec le label « quarantaine » et un commentaire de l’administrateur, confirmant qu’il a subi un traitement particulier ne montrant finalement pas de risques pour son destinataire.

Malgré le fait qu’il soit l’un des leaders dans le domaine des environnements de travail collaboratifs, Google Workspace reste faillible et peu adapté aux équipes d’analystes SOC. Pour répondre à cet enjeu, GLIMPS offre une protection avancée grâce à sa technologie de concept-code. Contrairement aux solutions natives, GLIMPS détecte rapidement et précisément les nouvelles menaces tout en restant compatible avec l’expérience utilisateur. Ses connecteurs API permettent aux équipes SOC d’approfondir leurs analyses et d’améliorer la réponse aux incidents. En utilisant GLIMPS, les entreprises peuvent ainsi renforcer la sécurité de leurs messageries contre les cyberattaques.

Pour découvrir comment GLIMPS peut renforcer la sécurité de vos communications, contactez-nous dès aujourd’hui et demandez une démo de nos solutions.