Qu'est-ce qu'une signature basée sur la charge utile ?
Les signatures basées sur la charge utile détectent des modèles dans le contenu du fichier plutôt que des attributs, tels qu'un hachage, ce qui leur permet d'identifier et de bloquer les logiciels malveillants modifiés.
Les outils de sécurité utilisent souvent des signatures basées sur des variables facilement modifiables telles que le hachage, le nom du fichier ou l'URL pour identifier et empêcher les logiciels malveillants connus malware d'infecter les systèmes. Avec ce type de signature, l'identification des menaces exige essentiellement une correspondance univoque avec les variables spécifiques recherchées par la signature.
Les auteurs de logiciels malveillants peuvent désormais facilement créer des milliers de variantes de logiciels malveillants existants, ne contenant que de légères modifications, afin de contourner la correspondance des signatures. Comme les anciennes signatures exigent une correspondance statique univoque pour chaque fichier unique, ces légères modifications permettent aux logiciels malveillants de passer inaperçus.
Les organisations devraient envisager d'utiliser des protections de sécurité qui s'appuient sur des signatures basées sur la charge utile, qui détectent des modèles dans le contenu réel du fichier plutôt qu'un simple attribut comme le hachage. Si un logiciel malveillant connu a été modifié de quelque manière que ce soit, avec un hachage entièrement nouveau ou une autre modification mineure, les signatures basées sur la charge utile seraient toujours en mesure d'identifier et de bloquer ce qui aurait autrement été traité comme une nouvelle menace inconnue.
Bien que les signatures basées sur les charges utiles nécessitent plus de preuves et des ensembles de données plus importants pour être produites, les équipes de sécurité ont en fin de compte moins de signatures à créer et à déployer, car chaque signature est plus efficace pour bloquer les variantes et les logiciels malveillants polymorphes et fournit un filet de protection plus large. Avec les signatures basées sur les charges utiles, une signature peut bloquer des dizaines de milliers de variantes d'une même famille de logiciels malveillants. Il en résulte une détection des logiciels malveillants d'un à plusieurs, avec une prévention nettement plus rapide et plus efficace.
La Palo Alto Networks Next-Generation Security Platform exploite le Threat Intelligence Cloud, notamment la détection des menaces inconnues via WildFire, ainsi que l'application de l'abonnement Threat Prevention , afin de distribuer automatiquement des signatures basées sur les charges utiles dans l'ensemble de l'organisation. La plateforme peut empêcher de manière unique de multiples variantes de logiciels malveillants, ainsi que le trafic de commande et de contrôle, grâce à la grande fidélité de son format propriétaire basé sur des signatures.
