Check Point Threat Emulation : Matrix version anti-malware.

Et si votre passerelle de sécurité savait prévenir les menaces en simulant l’environnement des utilisateurs ? Une promesse de Check Point, en mode cloud ou appliance.

En émulant en conditions réelles l’exécution d’un code suspect, la solution Threat Emulation de Check Point Software apporte une réponse efficace aux codes les plus malicieux, les moins repérables.
Antivirus, antibot (bot : agent logiciel interagissant avec des serveurs informatiques à l’insu de l’utilisateur), anti-intrusion… les solutions de protection contre les menaces électroniques savent de mieux en mieux détecter au plus vite des attaques qui se sont déjà produites, en divulguant et recevant au plus tôt les signatures de ces codes dès qu’ils sont repérés (y compris via des mécanismes de collaboration au niveau mondial, et même entre éditeurs concurrents).
Certaines peuvent même détecter des “comportements apparemment suspects”.
Néanmoins, la marge de manœuvre des hackers reste importante. D’où la nécessité d’intervenir en amont, et de jouer in vivo les éventuelles menaces pour les écarter. Ainsi, les attaques de type “Zero day” (exploit qui tire parti d’une faille non encore découverte) peuvent être déjouées.

Des lames logicielles à compléter
Des lames logicielles à compléter

De la détection a posteriori…
La protection des systèmes d’information est majoritairement assurée via des passerelles de sécurité. Tout le trafic de données à analyser est alors redirigé vers ces équipements installés sur le réseau.
La solution Threat Prevention de Check Point Software combinait déjà trois types de protection : l’IPS/IDS contre les intrusions (Intrusion prevention system, Intrusion detection system), un antibot et un antivirus évitant l’infection de codes malveillants. En fait, la solution peut exécuter un ou plusieurs de ces lames (ou blades) logicielles.
Avec le nouveau module Threat Emulation, l’éditeur se propose de s’attaquer aussi aux malware de type “zero day”.

Deux modes de déploiement pour éviter le pire
Deux modes de déploiemen

… à une réelle prévention.
« En mode traditionnel, il s’agit de détecter au plus tôt des malwares connus,» explique Ben Carmi, responsable produit chez Check Point Software. « Désormais, il s’agit également de détecter les malwares non connus a priori. D’où la nécessité d’une émulation en conditions réelles.»
Check Point Threat Emulation détourne les fichiers attachés aux e-mails ou téléchargés de type Microsoft Office ou Adobe PDF vers une sandbox.
Cet environnement reprenant la configuration à laquelle est destinée l’information ouvre les fichiers et le système examine tout ce qui se passe : comportement inhabituel, modification anormale du registre du système, connexion réseau ou processus système suspects, etc.
Si un problème est détecté, les données concernées sont bloquées dès la passerelle.
Les menaces détectées sont automatiquement remontées vers le Threat Cloud de Check Point.
Cela permet ainsi de partager ces informations avec toutes les passerelles déployées chez les clients de l’éditeur. Un processus qui assure une prévention optimale.