Après la faillite des antivirus traditionnels, les solutions NGES vont-elles prendre le relais ? Nicolas Sterckmans, Responsable Technique France chez Malwarebytes, nous explique pourquoi.
Le marché de la cybersécurité se porte plutôt bien, parce qu’il en est de même pour le marché du cybercrime. Dans sa dixième étude annuelle « Data Breach Investigations Report », Verizon indique que 93 % des attaques réalisées en 2016 auraient des motivations soit financières, soit de l’ordre de l’espionnage. Les motivations idéologiques ne représenteraient que 5 % des attaques.
Les tactiques principalement utilisées sont le hacking et l’utilisation de malwares. Si, selon Verizon, les approches utilisant le « social engineering » n’arrivent qu’en troisième position, ce sont pourtant celles qui connaissent le plus fort taux de croissance. Le poste de travail, et désormais également les smartphones, sont les cibles privilégiées des attaquants, au détriment des sites centraux réputés être mieux protégés.
Bien avant les attaques WannaCry ou NotPetya du printemps 2017, Malwarebytes avait tiré le signal d’alarme en constatant la forte croissance des attaques par ransomware en 2016. Sur le dernier trimestre, les chercheurs de Malwarebytes ont recensé pas moins de 400 variantes de ransomwares, la plupart d’entre elles étant créées par des attaquants à peine experts en programmation, se servant de kits prêts à l’emploi sous forme de « Ransomware-as-a-Service ».
Pour sécuriser les points d’accès et faire face à ces multiples attaques, toujours plus sophistiquées et polymorphes, il faut donc adapter l’arsenal des solutions de sécurité.
Les antivirus ne suffisent plus
Après avoir connu leur heure de gloire en protégeant les postes de travail contre des virus, les antivirus font progressivement place à des solutions qui ciblent non seulement les virus, mais s’attaquent également aux autres sources de malveillance, comme les exploits, les malwares, les ransomwares, ou encore les sites web infectés.
Regroupées sous l’appellation Next Generation Endpoint Security (NGES) ces solutions plus complètes se dotent de techniques de pointe (comme le Big Data ou encore l’Intelligence Artificielle) pour assurer une protection dynamique, alliant analyse comportementale et apprentissage machine.
Nicolas Sterckmans, Responsable Technique France chez Malwarebytes, explique : « les antivirus traditionnels fonctionnent par détection de signature. Il leur faut télécharger une base de signatures très lourde tant sur l’espace disque que l’occupation réseau pour la déployer sur tous les postes de l’entreprise. Afin de ne pas surcharger encore plus ces ressources, certains éditeurs vont utiliser le Big Data pour faire du File Réputation. À chaque nouveau fichier, le poste vérifie chez l’éditeur si ce dernier est connu comme malveillant ou non, ce qui engendre un trafic ininterrompu. Notre approche est différente. Pour nous l’important n’est pas tant de savoir si le poste de travail a été victime du virus X ou du virus Y, mais de briser la chaîne d’attaque le plus rapidement possible grâce à une approche de protection multicouche encore inégalée. Depuis sa création, Malwarebytes propose une approche unique qui repose sur l’analyse comportementale et heuristique s’appuyant sur 50.000 règles mises à jour en permanence. Le ficher à télécharger ne représente que 9 mégaoctets. »
Pour assurer la mise à jour ce ces listes et améliorer ses capacités de détection, Malwarebytes s’appuie sur des honeypots, et sur la communauté de ses 500 millions d‘utilisateurs. Nicolas Sterckmans précise : « les analyses qu’ils passent sur leurs postes nous remontent les informations de terrain primordiales pour rester à la pointe de la détection et de la curation des machines, et mettre à jour le blacklisting de sites web. Notre solution est téléchargée par plus de 500.000 personnes par jour, et éradique quotidiennement plus de 3 millions de menaces sur des postes supposés être sécurisés par d’autres acteurs de la protection. »
Décontaminer un poste sans agent permanent
Lorsqu’il est délicat d’installer un agent permanent sur les postes de travail, par exemple sur des PC industriels très peu enclins à ce genre d’opération, il est possible de lancer à distance un exécutable qui va procéder à l’analyse du poste et à son nettoyage, le cas échéant.
« Malwarebytes Incident Response propose des agents temporaires que l’on déploie via des outils tiers existants, notamment des plateformes de gestion des terminaux et des SIEM, explique Nicolas Sterckmans. Il traque les malwares et les menaces sur le réseau de terminaux à l’aide d’indicateurs de compromission (IOC) utilisant l’infrastructure OpenIOC de partage des menaces. Le client peut choisir de lancer ses analyses de façon automatique, planifiée ou à la demande, pour analyser une machine suspecte, sans perturber l’activité des utilisateurs. »
Depuis peu, Malwarebytes a élargi son offre à destination des infogérants et des fournisseurs de services, avec une solution Cloud qui permet de protéger les postes de travail des clients depuis une console unique plutôt que prendre la main sur les systèmes d’information de chaque client. « Nous regardons si Malwarebytes peut renforcer la sécurité dont le client dispose avec ses solutions existantes. L’histoire montre que, depuis que nous nous intéressons au monde de l’entreprise, 50 % des clients arrêtent leurs solutions antivirus traditionnelles. Ils s’aperçoivent qu’avec nos 7 couches de protection en pré-exécution, nous découvrons – et nous désinfectons – les malwares là où les solutions traditionnelles échouent, » conclut notre expert.
