Comment gérer les effets secondaires des antivirus

//Comment gérer les effets secondaires des antivirus

Comment gérer les effets secondaires des antivirus

Par | 2016-02-22T11:27:05+02:00 février 22nd, 2016|Blog|

30% des experts en sécurité estiment que l’idée selon laquelle « les antivirus deviennent obsolètes », rapport publié en 2014 par Software Advice, ne tient pas compte de la mutation des menaces d’aujourd’hui et est fortement sous-estimés. Cependant, malgré ce souci clairement exprimé, la croyance populaire reste que les réseaux sont pleinement protégés avec un antivirus mis à jour. Contrairement à ce que le nom lui-même pourrait suggérer, il y a de sérieuses limites à ce qu’il est capable de faire. Comme dans le cas d’une prescription médicale erronée, « guérir » la sécurité avec une solution plus rentable, mais inefficace, peut conduire à des effets secondaires indésirables.

Prenons un peu de recul pour examiner les choses de plus près. Un antivirus permet de protéger votre PC à partir du moment où le système est lancé et jusqu’à ce qu’il soit éteint. La vraie question est la mesure dans laquelle il peut étendre cette protection, qui est limitée au périmètre de sa base de données de signatures. Vous pourriez vous demander: « comment cela peut m’impacter? ». Si vous avez porté suffisamment d’attention à notre article précédent (voir ici), vous savez maintenant que les cybermenaces sont en constante évolution et qu’elles sont plus rapides que les antivirus. Vous ne pouvez être immunisés que contre les virus connus, dans ce cas la, le « vaccin » antivirus que vous venez d’administrer à votre système d’information vous donnera juste un faux sentiment de sécurité. Vous n’êtes pas en mesure de vous protéger contre les attaques étrangères à la base de donnes des virus existants, rendant ainsi les analyses nulles.

Le problème est qu’une cybermenace peut être formellement identifiée par les éditeurs d’antivirus qu’une fois qu’elle a déjà infecté avec succès plusieurs entités et s’est rependu en masse. Autrement dit, la situation est en mesure de changer si un utilisateur remonte un nouveau virus auprès du fournisseur, prouvant encore une fois que le processus a des défauts. C’est pour ça que d’autres méthodes employées par les éditeurs de logiciels antivirus font leur apparition. Le sandbox (« bac à sable »), par exemple, est un conteneur utilisé par les antivirus, placé autour d’une application en cours d’exécution, assurant que le « sable » ne se répand pas à travers le «terrain de jeu». En d’autres termes, nous pourrions l’imager par une mise en quarantaine destinée à empêcher les applications non fiables de mettre en péril l’intégrité de votre système d’exploitation.

Il existe également l’analyse heuristique, l’équivalent d’un traitement expérimental en matière de cybersécurité. Fondamentalement, les commandes de programmation d’un programme de comportement suspect sont exécutées dans une machine virtuelle spécialisée, qui est un environnement qui simule un ordinateur complètement séparé de la machine appartenant au monde réel. Il déroule ensuite le scénario des répercussions que peut rencontrer le fichier. Si des activités virales sont détectées, l’utilisateur reçoit un message d’alerte lui indiquant son caractère potentiellement dangereux.

Pourtant, ces approches ont aussi leurs inconvénients. En se basant sur la comparaison des programmes suspects avec le code des virus déjà connus, la probabilité de remonter un nouveau virus est quasi nulle. C’est également le cas lorsqu’il est confronté à des APT, comportements malveillants, phishing et autres logiciels et/ou actions d’un utilisateur malveillant, qui échappent ou contournent les mesures traditionnelles ou basiques de sécurité. Ces nouvelles menaces entrainent la nécessité absolue d’un nouveau paradigme de la sécurité.

Heureusement, ces attaques laissent souvent des signes de leur présence, un peu comme les symptômes avant d’attraper la grippe. Si nous prêtions suffisamment d’attention à ces signaux faibles, et prenions de l’avance sur eux, nous pourrions simplement arrêter les menaces avant qu’elles ne deviennent une véritable épidémie. Pour identifier les signaux faibles qui sont cachés dans des quantités massives de données, les outils actuels ne sont pas en mesure de le faire. Effectivement, les outils de sécurité actuels ne peuvent pas être aussi sélectifs et, le plus souvent, remontent les éventuelles anomalies au jugement humain. Par conséquent, les analystes sont dépassés. C’est pour ça que ITrust vous propose la solution Reveelium, développé pour traiter cette problématique en analysant des milliards d’événements et de logs, en temps réel, et identifier des anomalies dans le comportement d’un système, déterminant ceux qui sont les plus susceptibles de poser des menaces à la sécurité.

Reveelium vise à couvrir le décalage d’intelligence auquel les antivirus sont confrontés et à guérir tous les effets secondaires, ce qui baisse les temps de détection à 1 semaine (par rapport à la moyenne de 12 mois) et réduit les faux positifs de 95%. Il permet d’identifier les symptômes de tous les comportements malveillants grâce à son système automatisé de détection des anomalies, construit comme une technologie 3D comprenant: un moteur de détection des signaux faibles, qui est le fruit de recherches avancées en algorithmes statistiques et en intelligence artificielle. Ses résultats sont enrichis par un moteur de corrélation qui intègre des détecteurs spécialisés et des règles issues de l’expertise des ingénieurs et des consultants de sécurité d’ITrust. Le système s’appuie enfin sur une base de connaissance globale, la « mémoire » de Reveelium, qui fusionne les informations issues des différentes instances de Reveelium, afin de faire bénéficier chaque client de l’expérience des autres.

[button link= »https://www.itrust.fr/contact/ » color= »blue » target= »_self » size= »large » title= »Contactez-nous « ]Contactez-nous[/button]