Les logiciels antivirus traditionnels ont fait leur temps. De nouvelles techniques d’attaque telles que les programmes malveillants polymorphes et les utilitaires de type « packer » et « wrapper » peuvent faire apparaître comme nouveau un code binaire déjà identifié et, par conséquent, le rendre indétectable par l’antivirus qui se base sur des signatures statiques pour identifier les menaces connues. C’est pourquoi les entreprises ont de plus en plus de difficultés à se fier à ces techniques statiques traditionnelles de détection et de protection. Aujourd’hui, elles sont nombreuses à délaisser les solutions antivirus au profit de nouvelles technologies visant à protéger leurs terminaux contre les programmes malveillants et autres formes d’attaque.

Est-ce la fin des antivirus ?

L’ensemble des protections antivirus dans le monde ne suffisent pas à assurer une protection efficace contre le volume croissant de nouvelles attaques inconnues, qui ont recours à des techniques de pointe pour dissimuler leur caractère malveillant. L’approche défensive basée sur la connaissance d’une attaque est de plus en plus dépassée ; les attaquants pouvant facilement altérer le code ou l’empreinte du programme malveillant pour échapper à la détection de l’antivirus. Ils peuvent également exécuter des attaques sans fichier qui peuvent être téléchargées simplement en naviguant sur un site Web. Ce type de programme malveillant échappe facilement aux solutions antivirus et de prévention contre les intrusions car il s’exécute uniquement dans la mémoire, et non pas sur le disque dur.

L’abandon des logiciels antivirus semble donc inévitable. Mais à quoi les entreprises doivent-elles faire attention au moment d’envisager des solutions alternatives ? Je vous propose ci-dessous ma liste des quatre principales exigences requises pour adopter des solutions de protection de nouvelle génération :

  1. Pouvoir prédire l’attaque : Pouvoir prédire à quel moment une attaque va se produire, et ses conséquences probables, constitue la base de toute défense contre les menaces connues et inconnues. La fonctionnalité de prédiction permet de déterminer la prochaine action d’une menace en se basant sur les schémas et techniques d’attaque ainsi que sur les renseignements sur les menaces collectés grâce au crowd-sourcing.
  1. Les systèmes, les processus et les flux de surveillance peuvent déterminer si le comportement d’un périphérique est malveillant ou non. Cela est d’autant plus important que les attaquants savent désormais comment interférer avec les processus système pour éviter toute détection. Cette fonctionnalité doit opérer de manière autonome, et hors ligne, pour le cas où le terminal n’aurait plus accès au réseau au cours de l’attaque.
  1. Prévenir plutôt que guérir : Il s’agit là de bloquer les menaces connues et existantes avant qu’elles ne puissent s’exécuter sur les terminaux. Les approches les plus efficaces utilisent les informations dans le cloud collectées grâce au crowd-sourcing pour permettre aux équipes informatiques d’être informées en temps réel des menaces potentielles. Ces informations sont utilisées pour renforcer la défense et établir des listes blanches et des listes noires dynamiques visant à réduire la surface d’exposition aux attaques.
  1. Détecter les exploits : Les attaquants ont recours à de nombreuses techniques pour violer les systèmes et exécuter des programmes malveillants. Les téléchargements intempestifs sont particulièrement courants. Toutefois, la protection des terminaux de nouvelle génération intègre des fonctionnalités anti-exploitation qui assurent une protection à la fois contre les exploits basés sur la mémoire et les applications.
  1. L’importance de la remise en état : Lors d’une attaque, un programme malveillant crée, modifie, altère ou supprime le registre et les paramètres de configuration. Or, toute modification risque d’entraîner une instabilité ou un dysfonctionnement du système. De plus, il n’est pas toujours aisé de supprimer une menace et de rétablir un terminal à son état d’origine ; cela nécessite souvent des tâches administratives manuelles fastidieuses. Les solutions de nouvelle génération sont capables de rétablir le terminal à son état initial et fournissent une vue d’ensemble de ce qui a été modifié et de ce qui a été correctement remis en état.

Le nettoyage et la suppression des menaces doivent également être exécutés automatiquement. Peu de terminaux et de produits de surveillance du réseau proposent ces fonctionnalités.

Au moment de remplacer leurs solutions antivirus, les entreprises doivent réfléchir aux alternatives intégrant la prédiction, la prévention, la détection et la remise en état pour assurer une protection contre les menaces avancées utilisant un vaste éventail de vecteurs d’attaques. Le besoin de disposer d’une solution de protection des terminaux de nouvelle génération n’a jamais été aussi important, surtout maintenant que l’adoption du cloud a placé les terminaux au cœur de l’infrastructure informatique.

___________
Scott Gainey est Directeur du marketing et Vice-président senior, SentinelOne