This post is also available in: Deutsch (Allemand) Español (Espagnol)
En matière de sécurité, les solutions ponctuelles portent bien leur nom : elles se concentrent sur un seul point pour intervenir d'un bout à l'autre du cycle de vie de l'attaque. Même si cette solution de sécurité offre un taux de réussite de 90 %, il reste cependant 1 chance sur 10 qu'elle ne parvienne pas à arrêter la progression de l'attaque au-delà de ce point. Afin d'améliorer les probabilités d'arrêt réussi des cyberattaques, les entreprises ne peuvent pas compter sur des solutions ponctuelles. Elles doivent mettre en place des couches de défense couvrant plusieurs points d'interception. Cumuler des techniques efficaces augmente en effet l'efficacité globale des solutions de sécurité, ce qui permet de briser le cycle de vie de l'attaque au niveau de plusieurs points.
Ci-dessous sont expliquées les trois méthodes d'identification des menaces qui, combinées, peuvent empêcher la réussite des cyberattaques :
Analyse dynamique
Le seul outil pouvant détecter une menace de type « zero-day »
Dans le cadre d'une analyse dynamique, un fichier suspect est « détonné » dans une machine virtuelle, comme par exemple dans un environnement d'analyse des malwares, et analysé afin de comprendre ses actions. Le fichier est classé selon ce qu'il effectue lors de son exécution, plutôt que selon les signatures d'identification des menaces. Cela permet à l'analyse dynamique d'identifier des menaces qui ne ressemblent à rien de connu jusqu'à présent.
Pour obtenir les résultats les plus précis possibles, l'échantillon doit disposer d'un accès total à Internet, comme le ferait un terminal normal au sein d’un réseau d'entreprise, car les menaces requièrent souvent une commande et un contrôle pour éclore totalement. À titre de mécanisme de prévention, l'analyse du malware peut empêcher ce dernier d'accéder à Internet et va simuler des réponses pour tenter de tromper la menace et la pousser à se révéler au grand jour. Toutefois, cela peut ne pas être fiable et ne constitue pas une véritable substitution à l'accès à Internet.
Les environnements d'analyse des programmes malveillants sont reconnaissables et le processus est chronophage.
Pour échapper à la détection, les pirates vont tenter de déterminer si l'attaque est exécutée dans un environnement d'analyse des malwares en établissant le profil du réseau. Ils recherchent des indicateurs révélant que le malware se trouve en fait dans un environnement virtuel, comme une détonation à des horaires similaires ou par les mêmes adresses IP, l'absence d'activité valide de l'utilisateur, comme des frappes sur le clavier ou des mouvements de la souris, ou une technologie de virtualisation, comme des volumes importants d'espace disque. S'il est établi que le programme est exécuté dans un environnement d'analyse des malwares, le pirate mettra alors fin à son attaque. Cela signifie que les résultats sont susceptibles d'être erronés dans l'analyse. Par exemple, si l'échantillon téléphone au domicile pendant le processus de détonation, mais que l'opération échoue parce que le pirate a identifié l'analyse du malware, l'échantillon n'effectue aucune action malveillante et l'analyse n'identifie aucune menace. De la même manière, si la menace nécessite qu'un élément logiciel particulier soit exécuté dans une version spécifique, elle n'effectue aucune action identifiable comme étant malveillante dans l'environnement d'analyse des malwares.
Plusieurs minutes peuvent être nécessaires pour générer une machine virtuelle, y insérer le fichier, observer ses actions, détruire la machine et analyser les résultats. Bien que l'analyse dynamique soit la méthode la plus chère et la plus chronophage, elle est également la seule capable de détecter efficacement les menaces inconnues et de type « zero-day ».
Analyse statique
Résultats rapides et aucun besoin d'analyse
Contrairement à l'analyse dynamique, l'analyse statique vérifie le contenu d'un fichier spécifique tel qu'il existe sur un disque, et non tel qu'il est détoné. Elle analyse les données, extrait des schémas, attributs et artéfacts et signale les anomalies.
L'analyse statique est résistante aux problèmes que l'analyse dynamique présente. Elle est extrêmement efficace (dure seulement une fraction de seconde) et bien plus rentable. L'analyse statique peut également fonctionner avec n'importe quel fichier, car aucun environnement ou exigence spécifique ne nécessite d'être adapté et aucune communication n'est nécessaire à partir du fichier pour réaliser l'analyse.
Perte de visibilité avec les fichiers compressés
Toutefois, un malware peut échapper relativement facilement à l'analyse statique si le fichier est compressé. Alors que les fichiers compressés fonctionnent parfaitement avec l'analyse dynamique, la visibilité du fichier en cours est perdue pendant l'analyse statique, car la recompression de l'échantillon parasite l'intégralité du fichier. Ce qui peut être extrait de manière statique est alors proche de zéro.
Machine learning
Regroupement de nouvelles versions de menaces avec des menaces connues, selon leur comportement
Au lieu d'appliquer une correspondance avec un schéma spécifique ou de détoner un fichier, le machine learning analyse le fichier et extrait des milliers de caractéristiques. Celles-ci sont exécutées dans un classifieur, également appelé vecteur de caractéristiques, afin de déterminer si le fichier est malveillant ou non, en se basant sur les identifiants connus. Cette méthode ne recherche pas un élément spécifique. Si une caractéristique du fichier se comporte comme un groupe de fichiers précédemment évalué, la machine marque ce fichier comme faisant partie du groupe. Pour que le machine learning soit efficace, des ensembles de verdicts positifs ou négatifs, conçus à des fins de formation, sont nécessaires et l'ajout de nouvelles données ou caractéristiques permet d'améliorer le processus et de réduire le taux de faux positifs.
Le machine learning compense pour les carences des analyses dynamiques et statiques. Un échantillon inerte, qui ne peut être détoné, qui est bloqué par une compression, qui ne possède pas de commande et de contrôle ou qui n'est pas fiable peut toujours être identifié comme malveillant grâce au machine learning. Si de nombreuses versions d'une menace donnée ont été examinées et regroupées, et qu'un échantillon présente des caractéristiques semblables à celles du groupe, la machine suppose que l'échantillon appartient au groupe et le marque comme étant malveillant en quelques secondes.
Uniquement capable de détecter davantage de menaces déjà connues
Comme les deux autres méthodes, le machine doit être considéré comme un outil présentant de nombreux avantages, mais également quelques inconvénients. En effet, son modèle se base uniquement sur des identifiants connus. Contrairement à l'analyse dynamique, le machine learning ne découvre jamais d'éléments véritablement inconnus ou originaux. Si elle découvre une menace qui ne ressemble à rien de ce qu'elle a observé jusqu'à présent, la machine ne la signale pas, car elle est uniquement formée à détecter davantage d'éléments déjà connus.
Techniques multicouches dans une plateforme
Pour déjouer n'importe quelle attaque qu'un pirate ingénieux peut vous lancer, vous devez avoir en main plus qu'une pièce du puzzle. Vous avez besoin de techniques multicouches, un concept qui était auparavant une solution multifournisseurs. Bien que la défense en profondeur soit toujours appropriée et pertinente, elle doit évoluer au-delà des solutions ponctuelles multifournisseurs et devenir une plateforme intégrant l'analyse statique, l'analyse dynamique et le machine learning. Ces trois méthodes combinées peuvent réaliser la défense en profondeur par le biais de couches de solutions intégrées.
Palo Alto Networks Security Operating Platform est intégré à WildFire, le service d'analyse des menaces basé sur le cloud, pour fournir des renseignements relatifs aux menaces qui soient concrets et qui correspondent au contexte des composants, afin d'assurer une activation sûre sur le réseau, le terminal et le cloud. WildFire combine un moteur d'analyse dynamique conçu sur mesure, l'analyse statique, le machine learning et une analyse sans système d'exploitation pour des techniques avancées de prévention des menaces. Tandis que de nombreux environnements d'analyse des malwares utilisent la technologie libre, WildFire a supprimé toute virtualisation libre dans le moteur d'analyse dynamique et l'a remplacée par un environnement virtuel intégralement conçu. Les pirates doivent ainsi créer des menaces totalement uniques pour échapper à la détection dans WildFire, différentes des techniques utilisées contre d'autres fournisseurs de cybersécurité. Pour le faible pourcentage d'attaques réussissant à échapper aux trois premières couches de défense de WildFire, à savoir l'analyse dynamique, l'analyse statique et le machine learning, des fichiers affichant le comportement d'évasion sont dirigés de manière dynamique vers un environnement sans système d'exploitation pour une exécution matérielle complète.
Au sein de la plateforme, ces techniques fonctionnent ensemble de manière non linéaire. Cela signifie que si une technique identifie un fichier comme étant malveillant, il est marqué en tant que tel dans toute la plateforme afin d'adopter une approche multicouche qui améliore la sécurité de toutes les autres fonctions.