Cybersécurité + Ransomware + Threat Sébastien Guisnet aujourd'hui03/12/2020 1561 2
Que sont le Machine Learning et le Multi-Layer Zero-Trust ? Quelles sont leur utilité dans un EDR ? Vous êtes peut-être actuellement en train de rechercher votre EDR (Endpoint Detection and Response). Dans l’étude et la recherche du logiciel parfait pour protéger vos données et vos machines vous devez rencontrer bon nombre de termes scientifiques et abstraits. Dans cet article nous allons lever le voile sur le Machine Learning, le Multi-Layer Zero-Trust et surtout sur leur utilité dans un EDR. Pour cela, nous allons remonter le fil en parlant tout d’abord des Malwares et Ransomwares et de leurs façons de fonctionner. Ainsi, nous pourrons étudier dans quelles mesures les Antivirus classiques sont obsolètes et pourquoi un EDR est indispensable. Ce faisant, le fonctionnement et l’utilité du Machine Learning et du Multi Layer Zero Trust dans un EDR prendront tout leur sens et n’auront plus de secrets pour vous.
Les Malwares et les Ransomwares sont les principaux types de logiciels malveillants recensés de nos jours. Afin de mieux lutter contre ces attaques, il faut les connaître et surtout les comprendre. Ces attaques ne sont pas automatiques, elles sont lancées par des individus malveillants. Vous vous devez donc d’être bien protégés. Le premier palier de protection étant le savoir, voici une présentation succincte de ces attaques.
Un Malware est un logiciel malveillant. Il est développé dans le seul but de compromettre votre machine ou plus particulièrement certaines données. Il s’agit d’un programme vicieux et discret qui peut se cacher partout. En revanche, il ne s'exécute pas seul, pour se lancer il aura besoin de votre aide. C’est là que le savoir devient pouvoir. En effet, pour pouvoir être lancé sur votre machine, le Malware a besoin d’une action de votre part. Il peut s’agir d’un clic sur un lien sur un site non sécurisé, de l’ouverture d’un logiciel téléchargé sur un site inconnu ou encore l’ouverture d’une pièce jointe reçue par mail. Il est donc dans un premier temps important de ne pas ouvrir des fichiers ou des liens dont vous n’êtes pas sûr de la provenance. Malgré tout, certains Malwares sont très bien cachés. C'est pour cela qu’une protection efficace est nécessaire pour parer à toute éventualité.
En effet, les logiciels malveillants sont de plus en plus performants et surtout de plus en plus discrets. Le but étant de faire en sorte que vous puissiez les lancer sans même le savoir. Ils restent parfois cachés dans votre système pendant un certain temps avant de corrompre vos données. Leur détection est encore plus compliquée.
Il existe également un type de Malwares bien spécifique et particulièrement recensé ces dernières années. Il s’agit du Ransomware.
Le Ransomware que l’on pourrait traduire par rançongiciel est également un logiciel malveillant. Contrairement à un malware, il comporte une spécificité : son but est d’extorquer de l’argent au propriétaire de la machine infectée. Le principe est simple. Vous êtes en train d’utiliser votre ordinateur quand tout à coup un message ou un mail arrive vous informant que votre machine est infectée. Vos données sont chiffrées, vous ne pourrez plus accéder à votre système d’exploitation ou encore, votre historique de navigation va être divulgué publiquement. Le seul moyen d’empêcher cela : la rançon. Vous êtes redirigé vers une page de paiement et une fois la rançon versée, les données sont déchiffrées, le système de nouveau utilisable ou votre historique effacé selon le schéma d’attaque prévu par l’utilisateur malveillant.
Il y a effectivement plusieurs schémas d'exécution possible pour un ransomware. En effet, selon les besoins de l'attaquant, vous pourriez vous retrouver face à différents types de logiciels. Certains, les plus courants, vont chiffrer toutes ou partie de vos données et ne vous donneront la clé pour les récupérer que lorsque vous aurez payé une certaine somme. Certains autres, quant à eux, vont par exemple empêcher votre système d’exploitation de démarrer le temps que vous n’aurez pas payé la rançon. Dans tous les cas, vous vous retrouvez bloqués, forcés à devoir payer une rançon à un utilisateur malveillant afin de pouvoir récupérer des données sensibles ou importantes ou simplement pour pouvoir accéder à votre machine. Ces logiciels sont de plus en plus courants et puissants. Heureusement, il existe des logiciels de protection qui permettent d’éviter ce type d’attaques.
Les antivirus sont arrivés sur le marché à un moment où les attaques étaient bien différentes. Au fil du temps les logiciels malveillants ont évolué. Les antivirus , eux, se sont uniquement contentés de surcouches. Ils ont gardé une structure très ancienne basée principalement sur le scan de signatures, particulièrement inefficace face aux attaques actuelles.
Pour en savoir plus lisez cet article.
Les antivirus traditionnels ont été conçus de façon à identifier des logiciels malveillants en comparant des signatures déjà créées lors de la première identification du Malware par l’éditeur. Cependant, cette technique est complètement obsolète de nos jours dans la mesure où un même Malware peut être utilisé par plusieurs attaquants ou des parties de son code peuvent même être modifiées.
Il faut également savoir qu’une attaque réalisée à l’aide d’un Malware développé entièrement par l’utilisateur malveillant ne pourra pas être reconnue par un antivirus classique car sa signature n’est pas encore connue.
Aussi, le Ransomware pourra être reconnu par l’antivirus mais malheureusement si il l’est, il le sera bien trop tard. En effet, il existe des manières très simples pour les attaquants d’outrepasser le mécanisme de détection des antivirus. Ces actions sont appelées des attaques File-Less ou “Off the Land Attack”.
Retrouvez plus d’informations sur ce type d’attaques dans cet article.
Si vous n’êtes protégés que par un antivirus classique, vous êtes en danger. Il va donc falloir vous équiper d’une protection pertinente face aux nouvelles attaques.
Les récentes attaques recensées nous ont démontré que les techniques utilisées par les utilisateurs malveillants sont de plus en plus pointues et difficiles à détecter. Nous pouvons citer pour exemple la récente attaque contre la société Sopra Steria dans laquelle les attaquants ont utilisé une combinaison de logiciels ultra-puissants comme les Ransomwares Ryuk et CobaltStrike.
Pour bloquer ce type d’attaques, il est important d’utiliser des technologies à la hauteur de la puissance des logiciels malveillants qui peuvent être rencontrés. Ainsi, la meilleure stratégie est d’utiliser d’une part le Machine Learning et d’autre part le Multi-Layer Zero-Trust.
Afin de mieux comprendre dans quelle mesure cette stratégie de protection est la plus pertinente, voici une présentation de ces technologies.
Le Machine Learning est une technologie d’intelligence artificielle. Il s’agit de faire en sorte que la machine puisse apprendre d'elle-même à reconnaître des comportements ou des processus inquiétants ou malveillants grâce à l’étude de très nombreux facteurs, exemples et surtout de données.
Le moteur de Machine Learning va enregistrer toutes les actions de la machine et va les analyser. Qu’il s’agisse d’actions menées par l’utilisateur ou de la machine en elle-même. Il va aussi analyser des données externes comme des Malwares et des Ransomwares, des forums, des articles, etc, de manière à pouvoir connaître les dernières attaques. C’est ce que l’on appelle le Big Data. Ce moteur va scanner une quantité de données astronomique et va ainsi pouvoir apprendre sans l’aide de l’homme.
Le but du Machine Learning est de pouvoir mettre au point des statistiques et des prédictions qui vont permettre après le développement d’algorithmes spécifiques de savoir si un processus doit être bloqué, surveillé pendant un temps défini ou simplement exécuté.
L’avantage est que le moteur d’intelligence artificielle effectue une veille technologique constante et est de ce fait à même de reconnaître des scénarios d’attaques en temps réel.
Le Multi-Layer Zero-Trust est une technique de protection de machines très poussée. Cette technique a un précepte bien défini : la tolérance zéro.
Utiliser le Multi-Layer Zero-Trust c’est partir du principe qu’aucune action n’est légitime et que toutes les entrées sont des portes ouvertes à des attaques. Pour comprendre cette technologie il faut la visualiser. Cette technologie va analyser chaque processus couche par couche afin de vérifier s' il est légitime ou non. Imaginons la réception d’un Malware dans un mail.
Le Multi-Layer va inspecter chaque action :
Pour limiter les risques des attaques complexes, il est important de restreindre les ressources du système uniquement aux processus légitimes. En effet, quelle est la légitimité d’un processus non signé (même non malveillant) a accéder a des fichier Office ? Aucune.
C’est donc là que réside tout le pouvoir du Multi Layer Zero Trust. Il est en mesure d’analyser de manière séparée chaque processus machine ou utilisateur et ainsi de détecter à quel moment et dans quelle mesure une action devient compromettante pour le système.
Le Multi Layer Zero Trust est principalement pertinent face aux Ransomwares. Il va en effet permettre de repérer des processus anormaux avant que l’utilisateur malveillant ne puisse finir la mise en place du schéma d’attaque.
Ces technologies sont donc très pertinentes face aux menaces d’aujourd’hui. Cependant, il leur faut être intégrées dans un logiciel de protection de manière à ce que vous puissiez en profiter.
Les logiciels Nucleon sont dotés de ces technologies de pointe et les mettent à votre disposition. Ainsi, vos données sont protégées par un des EDR les plus puissants du marché.
Comme évoqué plus haut, les techniques d’attaques des utilisateurs malveillants sont de plus en plus avancées et vicieuses. Face à ces dangers, il vous faut être bien protégés.
Les Antivirus classiques ne vous permettent pas d’être sereins face à la recrudescence des attaques de Malwares mais surtout de Ransomware.
Il existe une solution pour vous protéger efficacement, vous équiper d’un EDR. L’EDR proposé par Nucleon vous garantit une protection maximale face aux attaques les plus sophistiquées. En effet, le logiciel de protection de postes et de serveurs Nucleon propose des technologies de pointe comme le Machine Learning et le Multi Layer Zero Trust. Ces technologies, combinées à l’architecture de fonctionnement du logiciel ainsi qu’à toutes ses autres subtilités vous apportera une protection sans failles face aux attaques d’aujourd’hui mais également celles de demain. Ne craignez plus de perdre vos données, des années de travail ou simplement des souvenirs et demandez vite votre présentation de l’EDR Nucleon.
Protect data that matter. Demander une démo maintenant.
Written by: Sébastien Guisnet
Tagged as: Machine Learning, Multi-layer Zero-Trust.
Cybersécurité Antoine Botte
Malware developers are always looking for new technics to bypass security systems. In this article we will see how Windows Installer can be abused to deliver malicious code, and how ...
Copyright 2023 Nucleon Security