De l’antivirus au MDR : l’évolution de la technologie de cybersécurité

Les antivirus (AV) existent depuis les débuts des ordinateurs en réseau dans les années 1980, devenant des produits plus commerciaux dans les années 1990. Les premiers antivirus fonctionnaient en recherchant les signatures de virus connues et en les bloquant. Lorsque de nouveaux virus et logiciels malveillants apparaissent, vous devez mettre à jour votre base de données AV, puis effectuer une analyse pour rechercher ces nouvelles mauvaises signatures. En 1994, la plupart des bases de données AV contenaient environ 30 000 échantillons de logiciels malveillants.

AV faisait son travail, les chercheurs découvraient de nouveaux logiciels malveillants et soumettaient des échantillons, les bases de données étaient mises à jour et nous analysions et bloquions les menaces. Cela a en fait fonctionné pendant un certain temps, mais à mesure que les ordinateurs et Internet se sont répandus, la communauté de la cybersécurité (attaquants et défenseurs) a commencé à réaliser quelque chose.

Les assaillants étaient persistants. Il écrit de nouveaux logiciels malveillants pour contourner les protections, chaque nouvelle instance de logiciel malveillant crée une nouvelle signature. Les défenseurs le découvriraient, appliqueraient le hachage à la base de données de signatures et le bloqueraient. Ce jeu du chat et de la souris a duré un certain temps, mais il était difficile de suivre, aucune des deux équipes n’avançant vraiment. De nouveaux logiciels malveillants seront créés, détectés et bloqués, et le cycle se poursuivra.

En 2005, il y avait environ 333 000 hachages de logiciels malveillants dans une base de données donnée. Comme vous pouvez le voir, ce nombre est légèrement supérieur à ce que nous avons vu au milieu des années 90, mais AV se portait toujours bien. En 2007, près de 5,5 millions d’instances uniques de logiciels malveillants avaient été signalées, et ce, seulement deux ans plus tard ! AV avait du mal à suivre et les choses devaient changer.

Les attaquants ont également commencé à utiliser leurs propres outils contre nous, tels que les scripts PowerShell et les macros de documents Office. Ce sont des choses que l’AV traditionnel avait plus de mal à détecter car le logiciel et la mise en œuvre elle-même devaient être sécurisés.

Les experts en cybersécurité ont commencé à se rendre compte que nous ne pouvions plus continuer à utiliser cette ancienne technologie, et nous devions apporter quelques améliorations. Les AV de nouvelle génération (NGAV) ont commencé à apparaître au début des années 2010. Au lieu de s’appuyer sur des hachages connus, nous avons réalisé que nous pouvions rechercher des modèles dans le logiciel malveillant et essayer de détecter de nouvelles souches en utilisant le comportement du logiciel malveillant lui-même. Au lieu de simplement rechercher des logiciels malveillants connus, nous pouvons utiliser NGAV pour examiner tout ce qui s’exécute sur un terminal et déterminer s’il est malveillant en fonction de son comportement.

Mais tout n’est pas à 100%, notamment en matière de sécurité. Nous commençons à voir constamment de nouvelles menaces, notamment des ransomwares, des malwares sans fichier et des attaques zero-day. Le NGAV était bon, mais nous devons également être en mesure de réagir et de réparer les choses qui n’ont pas été initialement arrêtées par le NGAV.

Peu de temps après NGAV, nous sommes passés à l’utilisation de plates-formes de détection et de réponse aux points finaux (EDR). Ces plates-formes ont pris les meilleurs éléments de l’AV et du NGAV et les ont combinés. Alors que les variantes de logiciels malveillants changent tout le temps, il existe un plus petit nombre de façons dont les logiciels malveillants peuvent se comporter. Cela a conduit au développement du cadre MITRE ATT&CK, que de nombreuses solutions EDR utilisent aujourd’hui. Si nous pouvons faire correspondre ces comportements aux 14 techniques originales, il sera beaucoup plus facile à détecter.

Même si un logiciel malveillant n’est pas détecté lors de l’infection initiale, il est susceptible de faire quelque chose que nous connaissons, et c’est là que la réponse entre en jeu. Comme NGAV, les solutions EDR suivent tout au point de terminaison. Finalement, ce logiciel malveillant sera détecté et nous pourrons annuler les processus, découvrir ce qui a été fait et corriger ces modifications en nettoyant vos terminaux.

Vous avez peut-être entendu parler d’une technologie plus récente, la détection et la réponse étendues (XDR), et c’est la prochaine évolution. EDR est excellent pour protéger vos terminaux, mais à mesure que l’Internet des objets (IoT) se développe, il y a plus d’appareils sur votre réseau que de simples terminaux. Il existe des imprimantes, des téléphones, des appareils photo, des réfrigérateurs, des cafetières et bien d’autres choses qui ne sont pas protégées par EDR, et la plupart de ces appareils IoT sont d’excellents moyens d’accéder au réseau. Mais comment protégeons-nous toutes ces autres choses ? Nous examinons le trafic réseau vers et depuis tous ces appareils, puis nous commençons à apprendre ce qui est normal et ce qui ne l’est pas. XDR pourrait être un article entier, nous allons donc le laisser ici pour le moment.

Comme vous pouvez l’imaginer, ces nouveaux outils s’accompagnent de nouveaux ensembles de compétences et des personnes nécessaires pour les gérer – c’est là que ConnectWise peut vous aider. Non seulement nous offrons certains des meilleurs outils EDR disponibles, mais nous avons la main-d’œuvre pour gérer et répondre à toutes ces nouvelles menaces que nous voyons. Le centre des opérations de sécurité (SOC) de ConnectWise fonctionne 24h/24, 7j/7 et 365j/an et, avec l’unité de recherche sur la cybersécurité (CRU) de ConnectWise, il est doté des experts en cybersécurité dont vous avez besoin.


L’auteur Dustin Parry est ingénieur commercial en cybersécurité chez ConnectWise. Ce blog invité est une gracieuseté de ConnectWise. Lire plus de blogs invités ConnectWise ici. Constamment contribué blogs invités fait partie de Programme de parrainage de ChannelE2E.

Leave a Reply

Your email address will not be published. Required fields are marked *