Avec la variété croissante des menaces et leur sophistication toujours plus avancée, les solutions de protection actuelles ne remplissent plus correctement leur mission. Les antivirus classiques utilisent des signatures statiques pour détecter les malwares. Cette technique atteint ses limites face à des malwares évolutifs et polymorphes. Alors quelles sont les alternatives ?
Dans son rapport « 2017 Annual Cybersecurity Report », Cisco a analysé six familles de logiciels malveillants, et mis en regard pour chacune les délais moyens de découverte (TTD – Time To Discover) et les délais moyens d’évolution (TTE- Time To Evolve).
Parce que les efforts cumulés des fournisseurs de solutions de protection arrivent à réduire le TTD, les attaquants doivent, de leur côté, réduire le TTE pour que leurs attaques puissent maintenir leur pouvoir de nocivité. Dans ce paysage complexe d’évolution rapide, où toutes les familles de logiciels malveillants se comportent différemment, l’expertise humaine ne suffit plus pour identifier et contrer rapidement les menaces.
Les limites du bac à sable
Même si un logiciel malveillant bien conçu peut se dissimuler dans un système de fichiers, il ne peut pas cacher son comportement, comme des demandes d’accès ou de suppression de fichiers, des tentatives de contournement de procédures de sécurité, l’installation de rootkits, ou encore la détection de bacs à sable.
Pour se protéger contre un malware, la technique du bac à sable consiste à exécuter préalablement le fichier suspecté dans un environnement virtuel isolé et contrôlé. Malheureusement, pour y échapper, les malwares se dotent de plus en plus de techniques de détection d’environnement virtuel, en repérant les drivers spécifiques aux machines virtuelles ou encore des fichiers prouvant l’utilisation d’un hyperviseur. Ils peuvent également s’assurer de l’existence d’un utilisateur réel en recherchant par exemple un déplacement de souris, la présence d’un historique de navigation, ou une quelconque saisie sur un clavier. D’autres malwares embarquent du code inoffensif, qui sera activé pendant un temps estimé suffisant pour effectuer une analyse complète dans un bac à sable. Une fois ce délai écoulé, le malware active son code malicieux.
Analyse de comportements et ‘machine learning’
L’analyse comportementale peut s’appuyer sur des méthodes modernes de Big Data ou de Machine Learning pour identifier et contrer plus rapidement de nouvelles attaques, par exemple en détectant des signaux faibles. S’appuyant sur une technologie comportementale exclusive, les nouvelles fonctions de la plateforme Endpoint Security de Malwarebytes peuvent détecter et bloquer un virus de type ransomware avant qu’il ne crypte le moindre fichier. La technologie antimalware est optimisée pour détecter et éliminer les menaces connues ou non qui contournent les antivirus et autres dispositifs de sécurité traditionnels des équipements. Elle utilise la détection heuristique basée sur le comportement pour détecter les malwares polymorphes.
Pour se protéger contre les nouvelles menaces, la meilleure stratégie consiste à utiliser à la fois des méthodes de détection statique – comme des solutions basées sur des signatures – et également des solutions d’analyse comportementale, capables d’apporter de la détection dynamique.
