On nous dit constamment que la vague de logiciels malveillants est en augmentation. On nous dit cela pour la très bonne raison que c’est vrai. Mais le problème avec le blocage des logiciels malveillants potentiels à la source est qu’il s’agit d’un problème à deux facteurs. Vous devez être en mesure d’analyser les fichiers potentiellement infectés assez rapidement, non seulement pour éviter qu’ils n’activent des commandes automatiques qui détruisent ou rançonnent vos données. Et vous devez être en mesure de les analyser suffisamment en profondeur pour vous assurer qu’ils valent la peine d’être analysés en premier lieu. La chose qui relie ces deux facteurs est la nécessité de ne pas empiéter sur l’expérience utilisateur à un degré inacceptable.
Cheville carrée, trou rond, horloge à tic-tac. Jusqu’à présent, les résultats ont été faussés de deux manières. Un balayage peu profond vous donne un résultat rapide, mais beaucoup moins de certitude quant au danger. L’analyse approfondie vous procure une sagesse incisive sur une menace particulière, mais probablement pas assez rapidement pour agir sur l’information. Dans tous les cas, vous vous retrouvez avec des informations effectivement inutiles.
Piquets carrés et trous ronds
Nous avons rencontré Hallgrímur Björnsson, Directeur de la R&D chez Cyren – une entreprise avec un produit OEM (le superbement nommé Hybrid Analyzer) qui, selon Björnsson, peut quadriller le cercle et offrir une analyse automatique approfondie des menaces à une vitesse très exploitable.
Les escroqueries par e-mail ont évolué. Suivez une liste de contrôle de cybersécurité pour garder une longueur d’avance
THQ :
Nous entendons beaucoup parler de l’idée que la menace des logiciels malveillants est en augmentation. Et de nombreuses entreprises s’arment avec tous les outils d’atténuation disponibles sur lesquels elles peuvent mettre la main. À notre connaissance, dans quelle mesure dépensent-ils en conséquence en matière de cybersécurité ?
HB :
Il s’agit d’un domaine très vaste, plein d’outils et de services très, très différents, ainsi que de renseignements et d’informations que vous pouvez acheter pour vous protéger contre diverses menaces. Mais les logiciels malveillants dans les fichiers augmentent, comme vous le dites, de façon exponentielle. Il y a donc un écart grandissant entre ce que la technologie ou la solution actuelle peut faire et cette marée montante. La marée monte plus vite que nous ne pouvons répondre à cette croissance.
Puis, dans certains cas, il y a l’approche du fusil de chasse. C’est là que survient la situation où vous choisissez d’aller trop loin dans trop de fichiers, ce qui ne vous permet d’obtenir les informations que trop tard pour qu’elles soient utiles (comme dans le cas d’un bac à sable), ou vous analysez simplement tout, mais vous manquez beaucoup de logiciels malveillants inconnus.
Une vue pour tuer
Vous n’avez pas besoin d’un fusil de chasse pour ce travail. Vous avez besoin d’un fusil de sniper. Donc, si vous dépensez pour quelque chose qui ne fait pas le travail d’un fusil de sniper – ciblage précis et élimination des menaces – vous pourriez dire que vous dépensez trop pour votre cybersécurité.
Paradoxalement, même si vous dépensez probablement trop dans certains domaines, vous êtes probablement sous-dépensédans d’autres. Pensez-y : la plupart des logiciels malveillants pénètrent dans votre système enfouis dans des fichiers. Et, à juste titre dans une certaine mesure, parce que c’est toujours un moyen très populaire d’introduire des fichiers dans les systèmes, les entreprises se concentrent sur la protection de leur messagerie contre les logiciels malveillants. Bien. Génial.
Protection contre les logiciels malveillants : l’apprentissage en profondeur mène la charge de la cybersécurité
Quelle entreprise connaissez-vous qui communique uniquement par e-mail ces jours-ci ? Il y a Slack, il y a Teams, il y a LinkedIn, il y a Messenger, il y a Dropbox, WeTransfer, Google< /a> Drive – vous l’appelez, nous vivons dans une jungle de transfert de fichiers multiples. Mais une grande partie de l’attention – et donc une grande partie de l’argent – est consacrée à la protection, si vous voulez, de la porte d’entrée, du système de messagerie. Nous devons considérablement élargir notre compréhension de la manière dont les fichiers nous parviennent nous. Et nous devons le faire pour que le CIO puisse justifier de dépenser de l’argent pour fermer toutes les portes disponibles aux logiciels malveillants, sans trop interrompre l’expérience utilisateur.
THQ :
Cela va être délicat, car comme vous le dites, le courrier électronique est la « menace connue ». Il n’y a donc aucune difficulté à persuader un conseil d’administration de dépenser de l’argent pour le sécuriser. Mais il n’y a pas encore eu « suffisamment » de cas très médiatisés pour justifier une protection contre les logiciels malveillants qui passent par ces autres canaux, n’est-ce pas ?
Fermer toutes les fenêtres
HB :
C’est tout à fait exact, mais je dirais les choses différemment. La menace est dans le dossier. Donc, là où il y a un fichier, il y a une menace qu’il soit malveillant. Ainsi, si vous vous concentrez uniquement sur les e-mails, vous ignorez toutes les autres portes et fenêtres par lesquelles un fichier potentiellement malveillant peut pénétrer dans vos systèmes.
THQ :
Nous nous attendons donc à ce qu’il y ait de plus en plus de cas très médiatisés avec des logiciels malveillants passant par ces autres canaux au cours de l’année prochaine ?
HB :
Absolument. Là où il y a des fichiers, il y a un danger de malware – et il y a maintenant des fichiers qui arrivent dans nos systèmes via de nombreux portails, pas seulement par e-mail.
THQ :
Et bien sûr, du point de vue d’un cyberattaquant, cela a du sens : pendant que tout le monde se concentre sur la porte d’entrée, vous passez par l’arrière et ouvrez une fenêtre.
HB :
Absolument. Les e-mails sont toujours une menace, bien sûr, et nous pouvons faire un meilleur travail, mais en fin de compte, tout tourne autour des fichiers.
Rechercher des logiciels malveillants aux bons endroits – Partie 2
THQ :
Parmi les deux facteurs : profondeur de balayage et vitesse de balayage, quelle est l’importance de l’élément de vitesse ?
HB :
Extrêmement important. Vous n’arrêtez pas une cyberattaque dans la fenêtre de temps appropriée, tout ce que vous avez est un cas médico-légal à améliorer à l’avenir, mais vos données en ce moment ont disparu.
Et bien sûr, la plupart de ce qui existe actuellement ne sert qu’à bloquer le type de malware qui existe actuellement. Et c’est très bien – mais ce n’est pas le problème.
Le problème est de savoir comment vous gérez les logiciels malveillants dont vous ignorez qu’ils n’ont pas connaissance.
Entrez dans l’analyseur…
THQ :
Alors parlez-nous de l’analyseur. Vous dites qu’il peut offrir à la fois rapidité et précision ?
HB :
Nous venons de le lancer le 30 septembreth. De nombreuses entreprises ne nous connaissent peut-être pas, nous sommes une sorte d’entreprise « en coulisses », mais nous avons un grand nombre de clients bien connus, comme Checkpoint, Google, Microsoft et d’autres. Nous intervenons généralement dans le back-end, analysant des fichiers pour Google et des fournisseurs de messagerie, par exemple.
L’analyseur produit une analyse détaillée des fichiers à grande vitesse et à grande échelle pour les fournisseurs de services, les entreprises technologiques et les très grandes entreprises. L’accent est donc mis sur la très grande échelle.
THQ :
Quels types de vitesses et d’échelles ?
HB :
Nous parlons de pouvoir fournir un résultat en une seconde, et très souvent en une demi-seconde ou même moins. Microsecondes, vous savez ? Et puis pouvoir le faire à l’échelle de Google. Avec Gmail, vous pouvez scanner ou analyser chaque pièce jointe à un e-mail, quelle que soit son échelle.
C’est là que cette vitesse brille vraiment. Et c’est pourquoi c’est un différenciateur pour nous. Cela vous donne des capacités que vous pouvez appliquer de différentes manières, mais la mise en œuvre de politiques plus intelligentes en est une. Vous pouvez faire des choix beaucoup plus intelligents sur la façon dont vous écrivez vos politiques de messagerie pour protéger vos clients avec ce genre de vitesse et d’échelle à votre dos.
Et puis, d’un point de vue financier, vous pouvez dépenser moins pour l’analyse du bac à sable, ce qui signifie que vous n’avez pas besoin de tout jeter dans le bac à sable, vous pouvez être un peu plus intelligent à ce sujet, car cela vous donne les données que vous besoin dans 99 % des cas, vous devez donc vous référer au bac à sable plus rarement.
Le fait est que la grande majorité des logiciels malveillants sont déjà détectés. Mais tous les problèmes viennent du petit pourcentage qui ne l’est pas. Donc, l’écart que nous abordons ici est essentiellement le compromis entre la vitesse et la profondeur de l’analyse. L’analyseur vous offre une analyse de type bac à sable, mais avec une vitesse et des débits utiles.
Il déploie plutôt qu’exécute. Vous obtenez des données de comportement, vous obtenez des données structurelles, vous utilisez les identifiants des appels système et le fichier tente d’accéder, mais cela ne vous oblige pas à exécuter le fichier dans la réalité, ou à proximité de la réalité, ce qui serait un bac à sable.
C’est beaucoup plus léger qu’un bac à sable traditionnel, et nous imitons le système d’exploitation ou l’environnement d’exploitation, comme Office. Mais ce n’est pas la réalité, ce qui signifie qu’il peut faire les choses très rapidement et obtenir une grande partie des données que vous obtiendriez d’un bac à sable… sans être un bac à sable.
Le bac à sable non bac à sable< /h2>
L’analyseur vous donne un score de menace global et une analyse, avec quelques statistiques globales ici. Et vous obtenez un aperçu des indicateurs qui peuvent vous montrer pourquoi l’analyseur a signalé un fichier comme potentiellement malveillant – qu’il s’agisse de commandes d’évasion, d’exécution automatique, d’activité de téléchargement ou autre. Et il note chacun d’entre eux sur 100, pour vous montrer à quel point l’analyseur est certain que c’est malveillant.
Et il peut le faire pour chaque fichier, en l’espace d’environ 60 millisecondes.
De nos jours, nous avons des millions d’applications. Vous pouvez appliquer l’analyseur pour prendre des décisions en temps réel sur les politiques que vous pouvez appliquer pour vos clients. Supposons que vous soyez un fournisseur de services de messagerie gérant des milliers d’entreprises, que vous leur fournissiez un service de messagerie, sortant et entrant, et que vous souhaitiez aller au-delà du simple blocage des logiciels malveillants, vous souhaitez prendre une décision plus judicieuse.
À quoi ressemble une décision plus intelligente ? Eh bien, disons que vous avez une chaîne de restaurants comme client. Et il y a un service comptable. Vous pouvez dire « Je vais être beaucoup plus prudent avec le restaurant lorsqu’il reçoit un fichier ou un fichier Excel contenant une macro, que je ne le suis avec le service comptable, car vous savez qu’un restaurant aura rarement besoin de fichiers Excel avec macros, alors que le service comptable pourrait bien. Vous pouvez ainsi prendre des décisions fondées sur des causes et des probabilités concernant ce que vous autorisez, ce qui améliore l’expérience client globale.
Pour le moment, Cyren garde l’analyseur « dans les coulisses » en tant que produit OEM, donc si vous en faites l’expérience, vous ne le saurez peut-être jamais à moins que, par exemple, votre fournisseur de messagerie ne vous le dise – ce dont il s’agit bien sûr peu probable de le faire. Il peut y avoir une version d’entreprise en développement sur toute la ligne, mais pour l’instant, ce n’est qu’un exemple de développement de haute technologie utilisé pour résoudre les problèmes insolubles d’arrêt des logiciels malveillants qui vous parviennent, rapidement et avec une profondeur analytique suffisante pour permettre l’action de être prises pour vaincre les cyberattaquants potentiels avant qu’ils n’atteignent vos systèmes.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
