Lorsque les logiciels malveillants ont fait leur apparition à la fin des années 1980, notamment le tristement célèbre Morris Worm, les dommages causés ont entraîné la naissance du secteur de la cybersécurité. À cette époque, la cybersécurité signifiait quasiment un logiciel antivirus (AV).

Depuis ses débuts, AV s’appuie principalement sur la détection des signatures de programmes malveillants déjà identifiés pour empêcher l’exécution de fichiers malveillants..

Au cours des 25 dernières années, les logiciels antivirus ont été la première et parfois la seule défense utilisée par de nombreuses entreprises dans le but de protéger leurs ordinateurs et les informations critiques qu’ils contiennent des effets de plus en plus dévastateurs des programmes malveillants..

AV fonctionne en effectuant des analyses périodiques ponctuelles sur des points de terminaison ou des composants système spécifiques. Le meilleur de ce que la plupart de ces solutions peuvent offrir est une vue partielle et généralement ex post facto de ce qui est déjà arrivé..

Cependant, le temps est un facteur critique pour détecter et prévenir les menaces avancées. Avec un système basé sur l'analyse, il existe un "temps d'arrêt" important pendant lequel le logiciel malveillant est résident et actif. Même si un scan le détecte, la question est de savoir depuis combien de temps le système existe-t-il et que fait-il depuis son arrivée?

Même si le temps d'arrêt n'est pas long, il est souvent assez long pour qu'une cyberattaque avancée ait des conséquences dangereuses. Tout ce dont l’attaquant a besoin, c’est suffisamment de temps pour appeler et obtenir des instructions sur la manière de s’installer ailleurs dans votre système, tout en mettant en place des stratégies qui vous empêcheront de détecter le malware..

Le problème avec la méthode antivirus basée sur l'analyse est que les fabricants de logiciels malveillants avancés n'utilisent pas réellement les logiciels existants avec des signatures connues pour se déchaîner..

Acteurs de menace sophistiqués

Ces acteurs de menace sophistiqués emploient certains des développeurs de logiciels les plus talentueux de la planète pour mener des cyberattaques. Leur mission est de frapper leurs cibles avec un logiciel unique, jamais vu auparavant - pour perturber les entreprises et les gouvernements en volant de l’argent, des données et d’autres informations confidentielles et provoquant généralement des ravages.

Pour lutter efficacement contre les attaques avancées d'aujourd'hui, les entreprises ont besoin d'une visibilité en temps réel sur tous les terminaux et les serveurs toujours "connectés", avec une surveillance continue qui vous permet de voir chaque événement en temps réel. Les analyses et les instantanés à un moment précis créent des écarts de visibilité qui vous rendent vulnérable.

Vous devez voir les événements suspects dans le contexte de ce qui se passe sur tous vos ordinateurs d'extrémité, plutôt que sous la forme d'instances isolées sur des ordinateurs d'extrémité individuels. Pour ce faire, vous avez besoin d’une solution capable de surveiller:

  • L'arrivée et l'exécution de chaque fichier avec un code exécutable (programmes, scripts, etc.)
  • Toutes les ressources système critiques (mémoire, processus, etc.)
  • Modifications du registre système
  • Périphériques USB
  • Fichiers critiques

Et pour être efficace, la visibilité doit être continue et en temps réel, car la plupart des logiciels malveillants causent des dommages en moins d’un quart d’heure, puis se modifient ou se suppriment. Vous devez savoir ce qui réside et fonctionne actuellement.

Par exemple, si Adobe Acrobat ou Microsoft Excel génère un exécutable inconnu sur votre ordinateur, il s'agit probablement d'un programme malveillant. Les exécutables ne doivent pas avoir d'extensions JPEG ou PDF, et les processus ne doivent jamais manquer de votre corbeille.

Visibilité en temps réel et surveillance continue

L'une des plus grandes lacunes des méthodes de sécurité traditionnelles est que la plupart des victimes savent seulement qu'elles ont été violées et que des données précieuses ont été endommagées ou volées après que l'auteur a quitté le bâtiment virtuel..

Ainsi, plutôt que de prévenir les attaques en utilisant une visibilité en temps réel et une surveillance continue pour empêcher les attaques, les entreprises qui utilisent l’antivirus traditionnel comme principal moyen de sécurité passent le plus clair de leur temps à essayer de déterminer l’étendue des dommages comprendre comment y remédier.

L'essentiel est que les attaques se produisent en temps réel. La sécurité doit donc aussi être mise en place en temps réel. La sécurité doit être renversée et devenir proactive plutôt que réactive.

Dans le cas contraire, les entreprises resteront à jamais piégées dans leur propre version du film Groundhog Day, en revivant la douleur causée par les attaques ciblées du jour zéro qui contournent facilement les solutions de sécurité traditionnelles. Et encore.

  • Harry Sverdlove, directeur technique de Bit9, s'appuie sur près de deux décennies de conception et d'analyse d'applications avec des entreprises informatiques de pointe pour ajouter une nouvelle couche d'expertise technique et une vision stratégique à la plate-forme de sécurité basée sur la confiance de Bit9..