Pourquoi les terminaux ne doivent-ils pas se reposer entièrement sur l'analyse ?

L'antivirus est sans aucun doute la solution par défaut pour protéger les terminaux depuis des décennies. La plupart des solutions antivirus analysent le terminal et comparent les fichiers à une base de données de signatures de menaces connues. Bien qu'elle permette d'identifier les menaces connues, la technologie d'analyse ne peut pas suivre le rythme des menaces avancées qui ciblent les terminaux aujourd'hui. Vous trouverez ci-dessous les quatre principales raisons pour lesquelles l'analyse ne doit pas être votre première ligne de défense lors de la sécurisation des terminaux.

 

1. Recours à la base de données des signatures

Dans le paysage actuel des menaces, les logiciels malveillants peuvent évoluer à une vitesse vertigineuse, ce qui signifie que les bases de données de signatures doivent être constamment mises à jour avec les signatures les plus récentes pour éviter de devenir obsolètes. Tout comme l'analyse, ces mises à jour peuvent réduire les performances du système. Les solutions antivirus permettent souvent aux utilisateurs de programmer les mises à jour à des moments plus opportuns, mais les bases de données peuvent ainsi rester obsolètes pendant de longues périodes, au cours desquelles les menaces peuvent facilement contourner les scanners et échapper à leur détection.

Obtenez le guide XDR pour les nuls

 

2. N'identifie que les menaces connues

Les scanners sont limités à ce que l'on sait déjà sur un échantillon. Tout ce qui est inconnu - comme les menaces de type "zero-day" ou les logiciels malveillants polymorphes - n'est pas détecté. Les attaquants apportent souvent de légères modifications aux menaces existantes, ce qui leur permet de contourner la détection des moteurs d'analyse et de créer des logiciels malveillants polymorphes, ou variantes. Ces variantes nécessitent des signatures entièrement nouvelles pour être détectées, ce qui rend les scanners inutiles. La création de nouvelles signatures demande beaucoup de travail et ne peut pas suivre le rythme auquel les attaquants modifient les menaces.

 

3. Impact sur les performances

Les solutions antivirus recherchent périodiquement des fichiers malveillants ou des menaces, quelle que soit l'activité du système à ce moment-là. Cela consomme des ressources importantes, de l'espace disque et ralentit les appareils. Pour minimiser l'impact, les utilisateurs contournent souvent les analyses ou les replanifient, modifient la fréquence d'analyse ou désactivent complètement l'antivirus. Si l'une ou l'autre de ces mesures permet d'éviter temporairement une dégradation des performances, elle laisse les systèmes vulnérables aux logiciels malveillants que les analyses précédentes n'ont peut-être pas détectés. En outre, l'analyse périodique augmente le risque de manquer des logiciels malveillants introduits dans le système entre les analyses.

 

4. Les fichiers au repos ne sont pas considérés comme des menaces

Les fichiers malveillants ne constituent pas une menace réelle pour un système tant qu'ils ne sont pas exécutés. Les solutions antivirus recherchent les fichiers potentiellement malveillants, ce qui nuit considérablement aux performances en recherchant des éléments qui ne menacent pas le système.

Les meilleures solutions de sécurité des terminaux utilisent une approche multi-méthodes pour la prévention des logiciels malveillants, protégeant contre l'évolution du paysage des menaces et répondant aux préoccupations des scanners antivirus, le tout sans s'appuyer sur les signatures. Ils peuvent s'intégrer à un service d'analyse des menaces basé sur le cloud pour prévenir les menaces connues, inconnues et de type "zero-day", en se concentrant sur les logiciels malveillants dès qu'ils deviennent actifs, plutôt que de consommer les ressources du système pour une activité dormante.

Lorsqu'un logiciel malveillant est identifié, le service basé sur le cloud crée et partage automatiquement des mesures préventives à tous les terminaux protégés. Ainsi, les terminaux peuvent prévenir les logiciels malveillants connus ou nouvellement identifiés sans nécessiter de mises à jour périodiques. Toutefois, les équipes de sécurité peuvent toujours analyser les fichiers de logiciels malveillants de manière facultative, si nécessaire, à des fins de conformité ou d'assurance de la sécurité.

XDR, ou détection et réponse étendues, est une approche innovante de la sécurité des terminaux. XDR peut collecter pratiquement toutes les données, telles que celles du réseau, du cloud et des terminaux, reconnaissant qu'il n'est pas efficace d'enquêter sur les menaces dans des silos isolés. Les systèmes XDR utilisent l'apprentissage automatique, l'analytique et l'automatisation pour assembler ces sources et en tirer des informations, augmentant ainsi la visibilité et la productivité de la sécurité par rapport aux outils de sécurité cloisonnés. Il en résulte des enquêtes rationalisées et accélérées, réduisant le temps nécessaire pour trouver, chasser, enquêter et répondre à toute forme de menace.

Pour en savoir plus sur Cortex XDR, la première plateforme XDR du secteur qui intègre des données provenant de n'importe quelle source pour stopper les attaques modernes, consultez la page produit.