Pourquoi avez-vous besoin de l'analyse statique, de l'analyse dynamique et de l'apprentissage automatique ?
Les solutions ponctuelles en matière de sécurité sont justement cela : elles se concentrent sur un seul point pour intervenir tout au long du cycle de vie de l'attaque. Même si la solution de sécurité a un taux de réussite de 90 %, il reste une chance sur dix qu'elle ne parvienne pas à empêcher une attaque de progresser au-delà de ce point. Pour améliorer les chances d'arrêter des cyberattaques réussies, les organisations ne peuvent pas s'appuyer sur des solutions ponctuelles. Il doit y avoir des couches de défenses, couvrant plusieurs points d'interception. La superposition de techniques efficaces accroît l'efficacité globale des solutions de sécurité, en offrant la possibilité d'interrompre le cycle de vie de l'attaque en plusieurs points.
Vidéo connexe
Pourquoi l'apprentissage automatique est crucial pour découvrir et sécuriser les dispositifs IoT.
Vous trouverez ci-dessous les trois méthodes d'identification des menaces qui, en travaillant conjointement, peuvent empêcher des cyberattaques réussies :
Analyse dynamique
Le seul outil capable de détecter une menace de type Zero-Day
Avec l'analyse dynamique, un fichier suspect est déclenché dans une machine virtuelle, telle qu'un environnement d'analyse de logiciels malveillants, et analysé pour voir ce qu'il fait. Le fichier est évalué en fonction de ce qu'il fait lors de son exécution, plutôt que de s'appuyer sur des signatures pour identifier les menaces. L'analyse dynamique permet d'identifier des menaces qui ne ressemblent à rien de connu.
Pour obtenir les résultats les plus précis, l'échantillon doit disposer d'un accès complet à l'internet, comme le ferait un terminal moyen sur un réseau d'entreprise, car les exigences ont souvent besoin d'une commande et d'un contrôle pour se déployer complètement. En tant que mécanisme de prévention, l'analyse des logiciels malveillants peut interdire l'accès à l'internet et simuler des appels de réponse pour tenter de tromper la menace afin qu'elle se révèle, mais cette méthode peut être peu fiable et ne remplace pas véritablement l'accès à l'internet.
Les environnements d'analyse des logiciels malveillants sont reconnaissables et le processus prend du temps
Pour échapper à la détection, les attaquants tenteront d'identifier si l'attaque est exécutée dans un environnement d'analyse de logiciels malveillants en établissant le profil du réseau. Ils rechercheront des indicateurs montrant que le logiciel malveillant se trouve dans un environnement virtuel, comme le fait qu'il soit déclenché à des heures similaires ou par les mêmes adresses IP, l'absence d'activité valide de l'utilisateur, comme des frappes de clavier ou des mouvements de souris, ou des technologies de virtualisation comme des quantités inhabituellement importantes d'espace disque. S'il s'avère que l'attaque est exécutée dans un environnement d'analyse de logiciels malveillants, le pirate cessera d'exécuter l'attaque. Cela signifie que les résultats sont sensibles à toute défaillance dans l'analyse. Par exemple, si l'échantillon téléphone à la maison pendant le processus de détonation, mais que l'opération est interrompue parce que l'attaquant a identifié l'analyse du logiciel malveillant, l'échantillon ne fera rien de malveillant et l'analyse n'identifiera aucune menace. De même, si la menace exige une version spécifique d'un logiciel particulier pour fonctionner, elle ne fera rien d'identifiable comme malveillant dans l'environnement d'analyse des logiciels malveillants.
Il faut parfois plusieurs minutes pour lancer une machine virtuelle, y déposer le fichier, voir ce qu'il fait, démonter la machine et analyser les résultats. Si l'analyse dynamique est la méthode la plus coûteuse et la plus longue, c'est aussi le seul outil capable de détecter efficacement les menaces inconnues ou de type "zero-day".
Analyse statique
Résultats rapides et absence d'exigences en matière d'analyse
Contrairement à l'analyse dynamique, l'analyse statique examine le contenu d'un fichier spécifique tel qu'il existe sur un disque, et non pas tel qu'il est détoné. Il analyse les données, en extrait les modèles, les attributs et les artefacts, et signale les anomalies.
L'analyse statique résiste aux problèmes que pose l'analyse dynamique. Il est extrêmement efficace - il ne prend qu'une fraction de seconde - et beaucoup plus rentable. L'analyse statique peut également fonctionner pour n'importe quel fichier car il n'y a pas d'exigences spécifiques, d'environnements qui doivent être adaptés ou de communications sortantes nécessaires de la part du fichier pour que l'analyse puisse avoir lieu.
Des fichiers trop volumineux entraînent une perte de visibilité
Cependant, l'analyse statique peut être contournée relativement facilement si le fichier est emballé. Si les fichiers emballés conviennent parfaitement à l'analyse dynamique, la visibilité du fichier réel est perdue lors de l'analyse statique, car le reconditionnement de l'échantillon transforme l'ensemble du fichier en bruit. Ce qui peut être extrait de manière statique est pratiquement nul.
Apprentissage automatique
Nouvelles versions de menaces regroupées avec des menaces connues en fonction de leur comportement
Plutôt que de procéder à un filtrage spécifique ou de détoner un fichier, l'apprentissage automatique analyse le fichier et en extrait des milliers de caractéristiques. Ces caractéristiques sont analysées par un classificateur, également appelé vecteur de caractéristiques, afin de déterminer si le fichier est bon ou mauvais sur la base d'identifiants connus. Plutôt que de rechercher quelque chose de spécifique, si une caractéristique du fichier se comporte comme n'importe quel groupe de fichiers évalué précédemment, la machine marquera ce fichier comme faisant partie du groupe. Pour un bon apprentissage automatique, il est nécessaire de disposer d'ensembles d'entraînement composés de bons et de mauvais verdicts, et l'ajout de nouvelles données ou caractéristiques permettra d'améliorer le processus et de réduire les taux de faux positifs.
L'apprentissage automatique compense les lacunes de l'analyse dynamique et statique. Un échantillon inerte, qui n'explose pas, qui est paralysé par un empaqueteur, dont le système de commande et de contrôle est hors service ou qui n'est pas fiable, peut néanmoins être identifié comme malveillant grâce à l'apprentissage automatique. Si de nombreuses versions d'une menace donnée ont été vues et regroupées, et qu'un échantillon présente des caractéristiques similaires à celles du groupe, la machine supposera que l'échantillon appartient au groupe et le marquera comme malveillant en quelques secondes.
Seulement capable de trouver plus de ce qui est déjà connu
Comme les deux autres méthodes, l'apprentissage automatique doit être considéré comme un outil présentant de nombreux avantages, mais aussi quelques inconvénients. L'apprentissage automatique permet de former le modèle en se basant uniquement sur des identifiants connus. Contrairement à l'analyse dynamique, l'apprentissage automatique ne trouvera jamais rien de vraiment original ou inconnu. Si elle rencontre une menace qui ne ressemble à rien de ce qu'elle a vu auparavant, la machine ne la signalera pas, car elle est entraînée à trouver davantage de choses déjà connues.
Des techniques superposées dans une plate-forme
Pour contrecarrer les attaques de vos adversaires, il vous faut plus d'une pièce du puzzle. Vous avez besoin de techniques en couches - un concept qui relevait autrefois d'une solution multifournisseur. Si la défense en profondeur est toujours appropriée et pertinente, elle doit progresser au-delà des solutions ponctuelles multifournisseurs vers une plateforme qui intègre l'analyse statique, l'analyse dynamique et l'apprentissage automatique. La combinaison de ces trois éléments permet d'actualiser la défense intégrée grâce à des couches de solutions intégrées.
Palo Alto Networks Next-Generation Security Platform s'intègre au service d'analyse des menaces WildFire® basé sur le cloud pour alimenter les composants en renseignements sur les menaces contextuels et exploitables, offrant ainsi une activation sécurisée sur le réseau, les terminaux et le cloud. WildFire combine un moteur d'analyse dynamique sur mesure, l'analyse statique, l'apprentissage automatique et l'analyse du métal nu pour des techniques avancées de prévention des menaces. Alors que de nombreux environnements d'analyse de logiciels malveillants s'appuient sur des technologies open source, WildFire a supprimé toute virtualisation open source au sein du moteur d'analyse dynamique et l'a remplacée par un environnement virtuel conçu à partir de zéro. Les attaquants doivent créer des menaces entièrement uniques pour échapper à la détection dans WildFire, distinctes des techniques utilisées contre d'autres fournisseurs de cybersécurité. Pour le faible pourcentage d'attaques qui pourraient échapper aux trois premières couches de défenses de WildFire - analyse dynamique, analyse statique et apprentissage automatique - les fichiers affichant un comportement évasif sont dirigés dynamiquement vers un environnement bare metal pour une exécution matérielle complète.
Au sein de la plateforme, ces techniques fonctionnent ensemble de manière non linéaire. Si une technique identifie un fichier comme étant malveillant, il est noté comme tel sur l'ensemble de la plateforme, ce qui permet une approche multicouche qui améliore la sécurité de toutes les autres fonctions.
