Les principes de fonctionnement des antivirus modernes à l’aide de l’exemple de Kaspersky Endpoint Security Cloud Automatique traduire

La cybermenace moderne évolue à un rythme sans précédent, exigeant des systèmes de sécurité des approches radicalement nouvelles pour protéger les infrastructures des entreprises. Les technologies antivirus actuelles constituent un ensemble complexe de solutions intégrées combinant des méthodes de détection traditionnelles, des algorithmes avancés d’apprentissage automatique et des services cloud. Kaspersky Endpoint Security Cloud démontre comment les systèmes de sécurité modernes s’adaptent aux défis de l’ère numérique, en proposant une approche multicouche pour garantir la sécurité des terminaux.

Fondements architecturaux du système de sécurité cloud

Modèle d’infrastructure hybride

Kaspersky Endpoint Security Cloud repose sur le principe d’une architecture hybride, combinant l’infrastructure cloud du fournisseur avec l’environnement client de l’entreprise. Cette approche permet de centraliser la gestion de la sécurité tout en maintenant un contrôle local sur les opérations critiques.

L’infrastructure cloud de Kaspersky Security Center Cloud Console comprend une console d’administration web permettant la création et la maintenance d’un système de protection du réseau d’entreprise. Cette console fonctionne comme un nœud de gestion central permettant aux administrateurs d’accéder aux paramètres des politiques de sécurité, à la surveillance de l’état des appareils et à l’analyse des incidents de sécurité.

L’infrastructure client d’une organisation peut contenir divers composants : postes de travail Windows, serveurs, appareils mobiles iOS et Android, et ordinateurs macOS. Chaque type d’appareil est protégé par des agents spécialisés adaptés à son système d’exploitation.

Réseaux et protocoles

Le système utilise des plages de ports spécifiques pour garantir une communication fiable entre les composants. Les ports TCP 23100-23199 et 27200-27299 permettent de se connecter à Kaspersky Security Center Cloud Console, offrant ainsi une flexibilité de configuration réseau. Le port 13000 est responsable de la gestion des appareils clients et de la distribution des mises à jour, tandis que le port 443 est utilisé pour se connecter aux services cloud de Kaspersky et au service de détection de la console.

Cette architecture garantit un fonctionnement stable du système même en cas de panne temporaire de connexion réseau, puisque les agents sur les appareils peuvent continuer à travailler en mode hors ligne avec une synchronisation ultérieure des données lorsque la connexion est rétablie.

Composants technologiques du système de protection

Agents de sécurité multiplateformes

Kaspersky Endpoint Security Cloud inclut des composants spécialisés pour chaque plateforme prise en charge. Network Agent pour Microsoft Windows fonctionne avec Kaspersky Endpoint Security et offre une protection multicouche grâce à l’intégration de mécanismes de détection des menaces de base et avancés.

Le niveau de protection de base contrecarre efficacement les attaques de masse grâce à des technologies éprouvées d’analyse de signature et de détection heuristique. Le niveau avancé est conçu pour prévenir les attaques ciblées complexes grâce à des technologies d’analyse comportementale et d’apprentissage automatique.

Les composants de contrôle réduisent la surface d’attaque et garantissent l’application des politiques de sécurité de l’entreprise. L’agent d’administration agit comme intermédiaire entre le composant de protection local et la console cloud, transmettant les modifications de configuration et les informations sur les menaces détectées.

Sécurité des appareils mobiles

Le système prend en charge la gestion des appareils mobiles via différents mécanismes selon le système d’exploitation. Pour les appareils iOS, la technologie de gestion des appareils mobiles est utilisée via un fichier XML spécial contenant l’adresse du serveur et le certificat de sécurité. Après l’installation de ce profil, l’appareil est placé sous gestion centralisée.

Les appareils Android sont protégés par une application unique, Kaspersky Security for Mobile, qui combine des fonctions de protection et de communication avec le serveur cloud. Cette approche assure une sécurité complète de l’infrastructure mobile de l’entreprise avec un impact minimal sur l’expérience utilisateur.

Méthodes de détection et d’analyse des menaces

L’analyse de signature comme base de détection

L’analyse des signatures reste une méthode fondamentale pour détecter les menaces connues dans les systèmes antivirus modernes. Cette méthode repose sur la recherche de chaînes ou de modèles spécifiques dans les fichiers analysés, ainsi que sur l’analyse des sommes de hachage de fichiers entiers. Kaspersky Security Cloud utilise une base de données antivirus complète, régulièrement mise à jour, pour assurer une protection contre les menaces les plus récentes.

L’analyse des signatures présente de nombreux avantages, notamment une vitesse de détection élevée, un faible taux de faux positifs et une faible exigence en ressources informatiques pour l’appareil protégé. Cependant, cette méthode présente des limites lorsqu’elle est utilisée avec des logiciels malveillants polymorphes et de nouvelles variantes de menaces existantes.

Pour surmonter ces limitations, le système utilise des signatures heuristiques structurelles et la technologie SmartHash, capables de détecter les logiciels malveillants inconnus et polymorphes en analysant les caractéristiques structurelles des fichiers.

Analyse heuristique et émulation

L’analyse heuristique étend considérablement les capacités de détection en analysant le comportement des objets dans un environnement contrôlé. Le système crée un environnement artificiel sécurisé dans lequel il émule l’exécution de fichiers ou de scripts suspects. Si une activité suspecte est détectée pendant l’émulation, l’objet est classé comme potentiellement malveillant.

L’émulateur recrée un environnement d’exécution fonctionnel, incluant les fonctions système et divers sous-systèmes du système d’exploitation cible, sans impliquer de composants système réels. Cette approche permet d’analyser en toute sécurité le comportement d’objets suspects sans risque d’infection du système réel.

L’analyse heuristique est particulièrement efficace contre les menaces nouvelles et inconnues, car elle analyse les actions du programme plutôt que sa signature. Le système peut détecter un comportement malveillant même si la variante spécifique du malware n’a pas encore été enregistrée dans les bases de données de signatures.

Technologie SmartHash et hachage intelligent

SmartHash est un algorithme breveté permettant de construire des hachages intelligents prenant en compte la localisation des fichiers. Cette technologie permet de regrouper les fichiers par similarité fonctionnelle, même s’ils diffèrent au niveau du code binaire.

Différents fichiers peuvent avoir la même valeur SmartHash lorsqu’ils fonctionnent de manière similaire. Une valeur SmartHash spécifique identifie un groupe entier de fichiers similaires, ce qui permet une détection efficace des logiciels malveillants inconnus à partir de familles connues.

La technologie SmartHash utilise plusieurs niveaux de précision, garantissant la détection des malwares les plus polymorphes tout en minimisant les faux positifs. Le composant en ligne de SmartHash compare les valeurs calculées côté client avec des milliards de fichiers sains connus dans la base de données via le réseau mondial Kaspersky Security Network.

Application de l’apprentissage automatique aux systèmes de sécurité

Méthodes d’apprentissage supervisées et non supervisées

Kaspersky Endpoint Security Cloud applique activement des méthodes d’apprentissage automatique à toutes les étapes du processus de détection des menaces. Le système utilise des méthodes d’apprentissage supervisées et non supervisées pour diverses tâches d’analyse de sécurité.

L’apprentissage supervisé analyse un ensemble de propriétés d’objets et les étiquettes de classification correspondantes afin de créer un modèle capable de déterminer correctement l’état d’objets jusqu’alors inconnus. Les propriétés peuvent inclure des statistiques de fichiers, une liste des fonctions API utilisées et d’autres caractéristiques, tandis que les classifications vont d’une simple classification « inoffensive » ou « malveillante » à une catégorisation plus détaillée des types de menaces.

Les méthodes d’apprentissage non supervisé permettent de découvrir des schémas cachés dans les données, de détecter des groupes d’objets similaires et d’identifier des propriétés interdépendantes. Cette approche est particulièrement utile pour identifier de nouveaux types de menaces qui ne correspondent pas aux catégories de classification existantes.

Analyse statique et dynamique

Le système met en œuvre deux approches principales de l’analyse d’objets basées sur l’apprentissage automatique : l’analyse statique sans exécution de l’objet et l’analyse dynamique du comportement pendant l’exécution.

L’analyse statique traite les informations relatives à un objet sans l’exécuter, offrant ainsi une grande capacité de généralisation et une productivité élevée. Le détecteur fonctionne en deux étapes : un hachage flexible est d’abord calculé pour vérifier si l’objet appartient à une zone « sale », puis une analyse détaillée est appliquée si nécessaire.

L’analyse dynamique examine le comportement d’un objet pendant son exécution, notamment les appels système, l’activité réseau, les modifications du système de fichiers et du registre, ainsi que les données générées suite à l’exécution. Un vidage mémoire permet d’accéder au code d’origine et de détecter les données indiquant une intention malveillante.

Formation automatisée de modèles

Le système utilise un centre automatisé de veille sur les menaces qui traite en continu de vastes collections de fichiers malveillants et sains. Ce centre extrait les caractéristiques comportementales de base et entraîne des modèles qui sont ensuite convertis en scénarios comportementaux et transmis au détecteur via des mises à jour incrémentielles.

Les robots traitent les journaux du sandbox ligne par ligne, étudiant les enregistrements d’exécution de nouveaux échantillons malveillants grâce à l’apprentissage automatique pour trouver de nouveaux indicateurs de détection. Ces indicateurs enrichissent les modèles mathématiques des méthodes de détection et les enregistrements comportementaux heuristiques créés par les experts.

Analyse comportementale et suivi des activités

Surveillance à plusieurs niveaux des événements du système

L’analyse comportementale de Kaspersky Endpoint Security Cloud analyse l’activité de tous les composants de l’environnement de confiance de l’appareil protégé. Le système distingue plusieurs niveaux d’analyse, à commencer par la surveillance des événements système clés.

Le premier niveau comprend le suivi de la création des processus, des modifications des valeurs clés du registre, des modifications de fichiers et d’autres opérations système critiques. Tous les événements reçus sont normalisés et mis sous une forme commune pour traitement ultérieur par différents modules d’analyse.

L’étape suivante ajoute des informations supplémentaires à certains événements : le système détermine si le fichier modifié est exécutable, analyse les droits d’accès, vérifie les signatures numériques et effectue d’autres vérifications du contexte de l’événement.

Filtrage et agrégation des modèles comportementaux

Lors des étapes de filtrage, d’agrégation et d’extraction de scénarios, le système identifie les combinaisons et séquences d’événements significatives qui forment des scénarios comportementaux spécifiques. La bibliothèque de scénarios malveillants est générée par un centre automatisé et régulièrement mise à jour en fonction de l’analyse des nouvelles menaces.

L’analyse comportementale présente l’avantage d’observer réellement les actions des programmes, contrairement au schéma d’actions supposé analysé lors de la phase de prévention des intrusions. Le système peut détecter des attaques complexes à plusieurs étapes utilisant des outils système légitimes pour atteindre des objectifs malveillants.

Le détecteur prend une décision sur la malveillance des objets en identifiant des scénarios comportementaux malveillants, ce qui permet de bloquer les menaces complexes, notamment les exploits de vulnérabilité zero-day et les attaques sans fichier.

Technologies de renseignement sur les menaces basées sur le cloud

Kaspersky Cloud Sandbox et environnement d’analyse virtuel

Kaspersky Cloud Sandbox est un système avancé d’analyse automatisée des malwares, développé grâce à plus de deux décennies d’expérience en recherche sur les menaces. Ce système utilise une approche hybride combinant la recherche sur les menaces basée sur des pétaoctets de données statistiques et l’analyse comportementale.

Le bac à sable intègre de robustes technologies anti-contournement et de modélisation du comportement humain, telles que l’autoclicker, le défilement de documents et des processus factices. Ces technologies permettent d’activer des logiciels malveillants qui tentent de détecter l’environnement virtuel et d’échapper à l’analyse.

Le système offre un niveau de détection optimal, identifiant chaque jour des milliers de nouveaux fichiers malveillants. Cet avantage lui permet de détecter les menaces ciblées complexes et les attaques sophistiquées qui contournent les solutions antivirus traditionnelles.

Analyse détaillée du comportement des fichiers

Kaspersky Cloud Sandbox fournit des informations détaillées sur les actions et le comportement des fichiers exécutables. Le système surveille le chargement et le lancement des bibliothèques DLL, la création d’exclusions mutuelles, la modification et la création de sections de registre, ainsi que les connexions externes avec les noms de domaine et les adresses IP.

L’analyse comprend la surveillance des requêtes HTTP et DNS, la création de processus via des fichiers exécutables, ainsi que la création, la modification et la suppression de fichiers. Le système fournit des recommandations contextuelles pour chaque type d’activité détectée, aidant ainsi les analystes à comprendre la nature de la menace et à prendre les mesures appropriées.

L’interface conviviale facilite l’interprétation des résultats d’analyse, et la possibilité d’exporter aux formats JSON, STIX et CSV garantit l’intégration avec les systèmes d’analyse de sécurité existants. La prise en charge de l’API REST vous permet d’automatiser les processus d’analyse et d’intégrer le sandbox aux workflows de votre organisation.

Fonctions de détection et de réponse aux incidents

Intégration des technologies EDR

Kaspersky Security Center Cloud Console intègre des fonctionnalités de détection et de réponse aux menaces (EDR) pour vous protéger contre les cybermenaces avancées. La solution combine détection automatique des menaces et capacités de réponse pour vous protéger contre les attaques sophistiquées, notamment les nouveaux exploits, les ransomwares et les attaques sans fichier.

Lorsqu’une menace est détectée par l’application Endpoint Protection Platform, le système ajoute une alerte à la liste des notifications. Cette alerte contient des informations détaillées sur la menace détectée et permet d’analyser et d’analyser ses caractéristiques. Les administrateurs peuvent visualiser les menaces en créant un graphique de la chaîne de menaces décrivant les étapes de développement d’une attaque au fil du temps.

Le système propose un ensemble d’actions de réponse prédéfinies : isoler un objet non fiable, isoler un appareil compromis du réseau, créer des règles de prévention d’exécution pour les objets suspects et d’autres mesures de réponse.

Détection et réponse gérées

Kaspersky Endpoint Security Cloud prend en charge l’intégration avec les services de détection et de réponse managés (MDR). Après la détection d’une menace, le système crée un nouvel incident dans la liste des incidents, contenant des informations détaillées sur la menace.

Les analystes du centre des opérations de sécurité enquêtent sur les incidents et recommandent des mesures correctives. Les organisations peuvent accepter ou rejeter manuellement les actions suggérées, ou activer l’acceptation automatique de toutes les recommandations pour accélérer le processus de réponse.

Cette approche permet aux organisations d’accéder à l’expertise et à l’expérience des professionnels de la sécurité sans avoir besoin de créer leur propre centre d’opérations de sécurité.

Protection des environnements virtuels et cloud

Solutions spécialisées pour la virtualisation

Les organisations modernes utilisent activement les technologies virtuelles et cloud, qui nécessitent des approches de sécurité spécifiques. Kaspersky Security for Virtual and Cloud Environments protège les machines virtuelles, les clouds publics et les serveurs Windows et Linux.

Ce système offre une protection de nouvelle génération contre les cybermenaces modernes, renforçant la sécurité des serveurs d’entreprise et réduisant le risque d’attaques réussies. Ce système multiniveau comprend des fonctions visant à accroître la fiabilité, à protéger contre les exploits, à surveiller l’intégrité des fichiers et à bloquer les attaques réseau.

La solution s’intègre aux plateformes cloud populaires, notamment AWS, Microsoft Azure, Google Cloud et Yandex.Cloud, offrant une protection unifiée pour l’infrastructure hybride d’une organisation.

Technologie SharedCache et optimisation des ressources

Pour l’infrastructure de postes de travail virtuels (VDI), le système prend en charge le provisionnement rapide des machines grâce aux technologies de clonage complet et lié. La préinstallation d’un agent léger vous permet de créer de nouvelles machines virtuelles par simple clonage d’un modèle.

Une fois le clonage terminé, la nouvelle machine est automatiquement protégée par une appliance de sécurité virtuelle centralisée. Cette approche simplifie la gestion du VDI et élimine la nécessité de mettre à jour constamment les produits de sécurité de l’image du poste de travail virtuel.

La technologie SharedCache optimise l’utilisation des ressources dans un environnement virtuel, garantissant un fonctionnement efficace du système de protection sans affecter les performances des machines virtuelles.

Gestion et administration centralisées

Console de gestion du cloud

Kaspersky Endpoint Security Cloud offre aux administrateurs un accès permanent à une console cloud leur permettant d’appliquer et de modifier les fonctionnalités de sécurité depuis n’importe quel appareil connecté à Internet. Cette approche est particulièrement pratique pour les organisations sans administrateurs système sur site.

L’architecture cloud de la console élimine le besoin d’acheter et de maintenir du matériel supplémentaire, et la configuration initiale est réalisée dans les plus brefs délais. Toutes les fonctions de sécurité sont configurées et déployées depuis une console unique sur tous types d’appareils : postes de travail Windows, ordinateurs portables, serveurs de fichiers et appareils mobiles.

Une interface simple et intuitive vous permet de configurer rapidement les politiques et de les appliquer à tous les postes de travail de l’organisation. Des politiques de sécurité préinstallées, développées par des experts, simplifient la configuration initiale du système.

Profils et politiques de sécurité

Le système utilise le concept de profils de sécurité pour gérer les paramètres de protection de différents groupes d’appareils. Les administrateurs peuvent créer des profils de sécurité unifiés pour tous les types d’appareils et de systèmes d’exploitation, en utilisant les préréglages des experts du fabricant.

La section « Profils de sécurité » contient une liste de configurations configurées, chacune définissant les paramètres de détection de différents types d’objets. Le système permet de configurer la détection des virus, vers, chevaux de Troie et utilitaires malveillants, et d’étendre la liste au contrôle des programmes publicitaires et des applications légales susceptibles d’être utilisés par des intrus.

La flexibilité des paramètres de politique vous permet d’adapter le système de sécurité aux exigences spécifiques de l’organisation, en équilibrant le niveau de sécurité et la facilité d’utilisation des ressources de l’entreprise.