Quel est l'historique de Endpoint Protection ?

Le premier virus informatique, tel que nous les connaissons aujourd'hui, est considéré comme Creeper datant de 1971. Creeper a ciblé les ordinateurs centraux et a découvert le premier logiciel antivirus (AV) créé, appelé Reaper. Fait intéressant, Reaper était en fait un ver informatique destiné à supprimer Creeper.

‍
Revenons rapidement à 1994, lorsqu'AV-Test a indiqué qu'il y en avait 28 613 uniques malware échantillons dans leur base de données, confirmant que les virus informatiques allaient constituer un problème permanent. Les malwares devenant une menace, de nombreux produits antivirus commerciaux que nous connaissons aujourd'hui ont été mis sur le marché dans les années 1990.

‍

Comment fonctionne un antivirus ?

Dans sa forme la plus élémentaire, l'antivirus traditionnel utilisait ce que l'on appelle la « détection basée sur les signatures » pour détecter et empêcher les virus et les malwares de s'exécuter sur les terminaux.

‍
Bien que la sécurité moderne des terminaux basée sur le NGAV et l'EDR soit très efficace pour stopper les menaces, aucun fournisseur ni aucune technique ne sont efficaces à 100 %.
Lorsqu'un nouveau logiciel malveillant ou un virus est détecté, les fournisseurs de solutions de sécurité des terminaux développent une signature qui est ajoutée à la base de données de signatures du fournisseur, installée sur tous les ordinateurs exécutant leurs logiciels. Les signatures permettent au logiciel antivirus d'analyser les fichiers afin de reconnaître (espérons-le) tous les malware/virus et d'empêcher leur exécution.

‍
Les attaquants ont pris connaissance du processus de mise à jour des signatures. Afin d'éviter les scans antivirus qui bloqueraient les malwares, les attaquants à l'origine du malware ont légèrement ajusté les fichiers malveillants afin qu'ils ne correspondent pas à la signature exacte de la base de données antivirus, provoquant ainsi des infections.
Le secteur de la sécurité des terminaux a cherché à y remédier par des détections heuristiques ou génériques. Un logiciel malveillant légèrement mis à jour partagerait des portions de code avec des variantes plus anciennes, ce qui permettrait de détecter le chevauchement du code entre les malwares à l'aide de méthodes heuristiques.
‍

Quelle était l'efficacité de la protection antivirus ?

Malgré l'heuristique, la protection antivirus sur laquelle nous nous sommes appuyés pendant des années perdait en efficacité pour stopper les malwares. En 2014, confirmant simplement ce que la plupart des professionnels de la sécurité savaient déjà, une enquête a mesuré l'efficacité des logiciels antivirus. Il a finalement conclu qu' « aucun fournisseur de logiciels antivirus ne peut détecter la plupart des malwares la plupart du temps », ajoutant que « le jour 0, seuls 51 % des scanners antivirus ont détecté de nouveaux échantillons de logiciels malveillants ».

‍

Que sont les plateformes de protection des terminaux ?

Compte tenu de la nécessité d'une protection accrue, sécurité des terminaux les fournisseurs ont complété leurs offres pour inclure des fonctionnalités supplémentaires telles que des pare-feux personnels, la prévention des intrusions sur l'hôte, la prévention des pertes de données (DLP) ou le cryptage de l'hôte. Grâce à ces nouvelles fonctionnalités ajoutées à l'antivirus, les suites de sécurité des terminaux sont désormais connues sous le nom de plateformes de protection des terminaux (EPP). Bien qu'utile, cette fonctionnalité supplémentaire n'a pas sensiblement amélioré les taux de détection des malwares, qui constituent toujours la principale fonction de sécurité des terminaux.

‍

Comment a évolué la sécurité des terminaux ?

Heureusement, nous avons assisté à un développement rapide dans le domaine de la sécurité des terminaux au cours des cinq dernières années avec l'essor des antivirus de nouvelle génération (NGAV), de la détection et de la réponse des terminaux (EDR) et des outils de segmentation des terminaux. Cela est bienvenu, étant donné que les attaques sans fichier et les rançongiciels à propagation automatique sont courants et nécessitent des outils plus sophistiqués pour les combattre.

‍
Ces outils font appel à des fonctionnalités, souvent fournies dans le cloud, qui constituent désormais un enjeu majeur en matière de sécurité des terminaux. L'une des techniques clés est l'analyse des malwares en sandbox pour exécuter les malwares potentiels dans un environnement virtuel, afin de déterminer si un fichier est malveillant ou non.
Plus généralement, CrowdStrike définit le NGAV comme suit :

‍
... une combinaison d'intelligence artificielle, de détection comportementale, d'algorithmes d'apprentissage automatique et d'atténuation des exploits permet d'anticiper les menaces connues et inconnues et de les prévenir immédiatement.

‍
L'apprentissage automatique utilisé pour détecter les menaces consiste en des algorithmes qui identifient les malwares avant leur exécution avec une évaluation en temps réel de millions de caractéristiques de fichiers afin de déterminer si un fichier est malveillant. L'atténuation des exploits permet de prévenir les attaques sans malwares ciblant les vulnérabilités.
Les indicateurs d'attaques ou de compromissions sont une autre technique souvent utilisée aujourd'hui pour la sécurité des terminaux. Ils examinent les comportements liés à l'activité légitime du système et aux activités suspectes afin de détecter une série d'événements indiquant des tentatives d'infection par un logiciel malveillant ou une activité malveillante.

 
Des outils tels que EDR complètent le NGAV pour offrir une visibilité approfondie des terminaux afin de détecter tout fichier ou processus malveillant et de le contenir immédiatement. L'EDR surveille non seulement les fichiers pour savoir où ils vont et ce qu'ils font, mais il examine également l'activité des terminaux pour signaler tout élément compatible avec des malwares ou des rançongiciels, comme les modifications apportées aux processus, aux DLL, aux paramètres de registre et à l'activité réseau.

‍
Les fonctionnalités de réponse incluent la suppression rétrospective de fichiers ou l'isolation des terminaux pour empêcher les menaces d'infliger de nouveaux dommages. La visibilité approfondie des terminaux d'EDR permet également de traquer les menaces afin de rechercher de manière proactive des indicateurs d'attaque ou de compromission et de mener des analyses approfondies.

‍
Quels sont les outils les plus utilisés aujourd'hui ? Des recherches récentes indiquent que l'EDR est la solution la plus courante (73 %), mais les personnes interrogées reconnaissent également qu'elles disposent de capacités antivirus permettant de bloquer tous les fichiers malveillants connus. Le fait que la majorité des personnes interrogées disposent de fonctionnalités EDR est probablement dû au fait que les fournisseurs de solutions de sécurité des terminaux auxquels ils font confiance pour les antivirus ont ajouté certaines fonctionnalités EDR.

‍

Quel est l'avenir de la sécurité des terminaux ?

La segmentation des terminaux est un autre outil de sécurité des terminaux utilisé pour empêcher la propagation des rançongiciels et des malwares.
Bien que la sécurité moderne des terminaux basée sur le NGAV et l'EDR soit très efficace pour stopper les menaces, aucun fournisseur ni aucune technique ne sont efficaces à 100 %. Une étude récente montre que 56 % des personnes interrogées estiment que leurs outils de sécurité des terminaux ne détectent pas entre 1 et 10 % des malwares.

‍
C'est pourquoi la segmentation des terminaux est déployée parallèlement à NGAV et EDR pour ajouter Zero Trust aux terminaux. Il bloque toutes les communications de point à terminal qui ne sont pas expressément autorisées, réduisant considérablement la surface d'attaque dont profitent les menaces telles que les rançongiciels pour réduire le risque d'attaques par rançongiciels et malwares à l'échelle de l'entreprise.

‍

En savoir plus

• Étendez rapidement Zero Trust au terminal avec Illumio Endpoint — en savoir plus ici.
• Regardez la démo pour découvrir comment Illumio Endpoint élimine le risque que les appareils des utilisateurs finaux présentent pour votre réseau.
• Lisez le brief pour en savoir plus sur les raisons pour lesquelles vous devez associer EDR et Zero Trust Segmentation pour être le plus efficace possible contre les rançongiciels et autres cyberattaques.