NOS ACTUALITES

Sécurité des Endpoints

par | Sep 20, 2019 | 0 commentaires

Les logiciels malveillants menacent les ordinateurs, les réseaux et les infrastructures depuis les années 80. Plusieurs technologies existent pour se défendre contre ces menaces, mais la plupart des organisations s’appuient presque exclusivement sur une seule approche, la méthode historique basée sur la signature.

Avec une sophistication toujours plus avancée des menaces, la méthode basée sur les signatures semble atteindre ses limites et ne permet de se prémunir que des attaques connues. A contrario, les méthodes récentes de détection via l’analyse comportementale commencent quant à elle à gagner du terrain.

A l’origine, une sécurité reposant sur des bases de signatures…

Les systèmes de détection d’intrusion à base de signatures ont débuté à la suite d’un article écrit en 1987 par Dorothy E. Denning intitulé « An Intrusion-Detection Model » traitant des systèmes de détection et de prévention d’intrusion. Cet article a conduit le Stanford Research Institute (SRI) à développer un système expert de détection d’intrusion (IDES). Ce système utilisait la détection d’anomalies par utilisation de méthode statistique, signatures, des profils d’utilisateurs et de systèmes hôtes pour détecter les comportements réseaux néfastes. IDES avait une double approche : il utilisait un système expert basé sur des règles pour détecter les intrusions connues, ainsi qu'un composant de détection statistique des anomalies basé sur les profils des utilisateurs, des systèmes hôtes et des systèmes cibles.

La détection de logiciels malveillants basée sur les signatures est utilisée pour identifier les logiciels malveillants « connus ». Cette méthode est notamment utilisée par les antivirus. Tous les projets, programmes ou applications peuvent être identifiés par une empreinte représentant leur unique signature déterminée via des algorithmes. Les antivirus utilisent en majorité les signatures pour identifier les fichiers infectés.

Lorsqu'un fournisseur de solution d’anti-malware identifie un programme comme malveillant, sa signature est ajoutée à une base de données de malwares connus. Ces référentiels peuvent contenir des centaines de millions de signatures. Cette méthode d'identification des programmes malveillants a été la principale technique utilisée par les premières solutions de détection de menaces malveillantes et reste l'approche de base utilisée par les derniers pares-feux.

Cependant, cette technique atteint ses limites face à des malwares évolutifs et polymorphes. Les attaquants ont découvert depuis les années 90 des méthodes permettant de contrer les systèmes de détection, laissant la première génération mal équipée pour protéger les organisations des menaces. Leurs principales faiblesses sont qu’ils sont souvent impuissants contre de nouvelles attaques et elles doivent donc être continuellement mises à jour avec de nouvelles connaissances pour les nouveaux utilisateurs. Un autre problème est que les logiciels malveillants avancés d’aujourd’hui peuvent modifier leur signature (via permutation de code, changement de nom de registre, réduction de code, insertion de code, etc.) pour éviter toute détection, tout en préservant les mêmes fonctionnalités et le même comportement.

Pour lutter contre les faiblesses de l'approche classique de la détection par signature, de nouvelles solutions sont apparues depuis 6 ans et utilisent désormais l’approche comportementale.

… puis l’émergence de l’analyse comportementale pour détecter les nouvelles menaces

Même si la détection comportementale semble être une tendance à la suite de l’apparition des EDR (Endpoint Detection & Response) au début des années 2010, ses principes ne sont pas vraiment nouveaux. En effet, en 1987, Fred Cohen (Cohen, 1987), informaticien américain, avait déjà établi une base pour la détection comportementale au sein d’un article intitulé « Behavioral detection of malware : from a survey towards an established taxonomy ». Il a expliqué que les virus, comme tout autre processus, utilise les services fournis par le système.  « Prédire la nature virale d’un programme par son comportement revient alors à définir ce qui est et ce qui n’est pas utilisation légitime des services du système ».

La détection de logiciels malveillants, basée sur le comportement, évalue un programme en fonction des actions prévues avant l’exécution de ce comportement. Le comportement du programme, ou dans certains cas son potentiel comportement, est analysé pour rechercher des activités suspectes. Toute tentative d’exécution d’une action manifestement anormale d’un programme indiquerait que le programme est malveillant ou du moins suspect.

Il existe une multitude de comportements qui indiquent un danger potentiel. On peut citer :  toute tentative de découverte d'un environnement sandbox, la désactivation des contrôles de sécurité, l'installation de rootkits, l'enregistrement pour le démarrage automatique, etc.

D’une manière générale, l’analyse comportementale s’effectue en deux étapes :

  • Analyse statique: recherche des capacités dangereuses dans le code et la structure du programme dans le but de déceler le comportement de l’entité surveillée
  • Analyse dynamique: évaluation du comportement malveillant lors de l’exécution du programme.

Cependant, cette technique atteint ses limites face à la difficulté de construction d’un modèle de comportement normal pour un programme complexe.

Un modèle inadéquat de comportement peut conduire à de faux positifs. Un autre problème est qu’il faut du temps pour analyser le comportement d’un programme. Bien que l’analyse statique puisse être effectuée en temps réel, l’analyse dynamique peut introduire une latence pendant l’exécution d’un programme.

En outre, de nombreuses solutions utilisant l’approche comportementale sont exclusivement basées sur le Cloud, ce qui peut poser un problème pour certaines organisations. De plus, la mise en place d’une solution utilisant l’approche comportementale (EDR) nécessite une expertise nouvelle dans le domaine de la sécurité. Toutefois, n’oublions pas que ces solutions sont relativement jeunes (6 années d’existence). Au fil des années, elles s’amélioreront et s’adapteront aux différents besoins et spécifications.

Association des outils de détection par bases de signatures avec ceux d’analyse comportementale, le pari gagnant ?

La détection classique basée sur la signature est la technologie la plus ancienne, qui remonte aux années 1990, et elle est très efficace pour identifier les menaces connues. En revanche, la détection basée sur le comportement peut détecter les logiciels malveillants polymorphes qui changent de signature, car l’analyse est basée sur l'exécution et le comportement du programme.

La détection des programmes malveillants par signature et par comportement sont importantes et chaque approche présente des avantages et des inconvénients. Mais en combinant les deux, les entreprises peuvent garantir la protection complète des serveurs, des postes de travail et des données. La meilleure sécurité proviendra donc de l’utilisation des deux technologies compte tenue de l’amélioration des taux de détection globaux, en particulier des programmes malveillants inconnus.  C’est d’ailleurs pour cette raison que nombre d’éditeurs proposent une solution combinant EPP (Endpoint Protection Platform) et EDR sur un seul et même agent.

Cependant, dans l’optique de rationaliser les coûts de déploiement des solutions de détection en entreprise mais également des ressources nécessaires pour assurer la sécurité opérationnelle sur un périmètre étendu, est-il nécessaire d’utiliser les deux méthodes de détection sur chaque périmètre défini du système d’information ? Ne serait-il pas envisageable de privilégier l’une des méthodes de détection sur un périmètre spécifique selon les avantages et inconvénients de chacun de ses fonctions de sécurité et appliquer les deux méthodes de détection sur un périmètre plus sensible ?

Sources :

Cohen, Fred. 1987. Computers & Security. Computer viruses: Theory and experiments. Indiana : Eugene H. Spafford ; Purdue University, CERIAS, 656 Oval Drive, West Lafayette, Indiana, IN 47907-2086, United States, 1987, pp. 22-35.

[1] https://www.infosecurity-magazine.com/opinions/malware-detection-signatures/

[2] https://bricata.com/blog/signature-detection-vs-network-behavior/

[3] https://itstillworks.com/behavioral-vs-heuristic-antivirus-3122.html

[4] https://www.computerworld.com/article/2581345/behavioral-rules-vs--signatures--which-should-you-use-.html

[5] http://ijarcet.org/wp-content/uploads/VOLUME-2-ISSUE-6-2037-2039.pdf

[6] https://searchsecurity.techtarget.com/tip/Why-signature-based-detection-isnt-enough-for-enterprises

[7] https://searchsecurity.techtarget.com/tip/How-antivirus-software-works-Virus-detection-techniques

[8] https://link.springer.com/article/10.1007/s11416-008-0086-0

[9] https://pdfs.semanticscholar.org/08ec/24106e9218c3a65bc3e16dd88dea2693e933.pdf

[10] http://www.cs.colostate.edu/~cs656/reading/ieee-se-13-2.pdf

Bitnami