Qu'est-ce que la protection avancée des terminaux ?
La protection avancée des terminaux s'appuie sur l'apprentissage automatique (machine learning) ou l'analyse comportementale pour protéger les systèmes contre un large éventail de menaces, telles que les attaques avec ou sans fichier, basées sur un script et zero-day. Les outils de sécurité des terminaux traditionnels et réactifs, tels que les pare-feux et les logiciels antivirus, dépendent généralement des informations sur les menaces connues pour détecter les attaques. Les solutions de protection avancée vont bien plus loin, car elles utilisent des technologies plus proactives, notamment l'apprentissage automatique et l'analyse comportementale, pour identifier les menaces potentielles complexes et inconnues.
Ces plates-formes utilisent des techniques qui identifient et bloquent les menaces avancées en fonction de divers facteurs, par exemple leur comportement et leur interaction avec d'autres logiciels suspects, et bloquent ou confinent les menaces zero-day qui ne possèdent pas encore de signatures connues ou identifiables. Elles peuvent également s'intégrer à d'autres outils de sécurité afin de consolider la gestion des événements et d'offrir aux équipes SecOps une visibilité sur les comportements suspects à l'échelle de toute l'entreprise.
Avantages de la protection avancée des terminaux
Aujourd'hui, les entreprises ont besoin d'une protection avancée pour lutter contre un environnement de menaces de plus en plus sophistiqué. La cybercriminalité est une entreprise très lucrative et avec tant d'argent en jeu, les cybercriminels sont passés maîtres dans l'élaboration de nouvelles méthodes pour infiltrer les systèmes informatiques. Les attaques mixtes, par exemple, sont très prisées par les acteurs malveillants. Elles utilisent plusieurs tactiques coordonnées, dont aucune ne semble suspecte aux systèmes de sécurité traditionnels. Les menaces zero-day représentent une autre forme courante d'attaque qui échappe souvent aux analyses standard basées sur les signatures. L'équipe Trellix Advanced Threat Research signale chaque jour près de 400 000 nouveaux types d'attaques. Nombre d'entre elles impliquent des modifications mineures de malwares existants, tout en étant suffisamment différentes pour échapper aux analyses de signatures.
Comment fonctionne la protection avancée des terminaux ?
Une solution de protection avancée des terminaux associe plusieurs technologies complémentaires qui identifient une menace à un stade précoce et empêchent celle-ci d'infiltrer le réseau ou la base de données. En outre, les outils avancés collectent des informations pour fournir des informations pertinentes sur le mode opératoire de la menace et les mesures à appliquer pour rendre le terminal moins vulnérable à l'avenir. Certaines solutions de protection des terminaux s'appuient sur des agents logiciels légers, installés sur chacun des terminaux du réseau, pour enregistrer les données, envoyer des alertes et exécuter des commandes. Cependant, certains fournisseurs ont commencé à proposer une protection avancée des terminaux sous la forme d'une architecture à agent unique. Cette approche gagne rapidement en popularité en raison de son empreinte réduite, de sa facilité de déploiement et de gestion, et de la réduction sensible des tâches de gestion redondantes.
Une solution de protection avancée des terminaux peut inclure certaines ou l'ensemble des technologies ou fonctionnalités suivantes.
Apprentissage automatique. L'apprentissage automatique (machine learning), un sous-domaine de l'intelligence artificielle, analyse de grandes quantités de données pour déterminer les comportements normaux des utilisateurs et des terminaux. Les systèmes d'apprentissage automatique peuvent alors identifier un comportement anormal et alerter l'équipe IT ou déclencher un processus de sécurité automatique, tel que le confinement de la menace, la mise en quarantaine du terminal ou l'émission d'une alerte. L'apprentissage automatique offre un moyen essentiel d'identifier les menaces avancées ciblant les terminaux, ainsi que les menaces zero-day ou encore inconnues.
Analyse de la sécurité. Les outils d'analyse de sécurité enregistrent et analysent les données transmises par les terminaux et d'autres sources afin de détecter les menaces. L'analyse de sécurité peut aider les équipes informatiques à mener des investigations sur les compromissions ou les activités anormales, et à déterminer les dommages potentiels. Les équipes IT peuvent utiliser l'analyse de sécurité pour identifier les vulnérabilités qui ont pu conduire à une compromission et les mesures qu'ils peuvent prendre pour prévenir la récurrence de telles attaques à l'avenir.
Threat Intelligence en temps réel. Une solution de protection avancée peut exploiter diverses sources de Threat Intelligence en temps réel, provenant de fournisseurs et d'agences de sécurité externes. Les mises à jour en temps réel sur les derniers types de malwares, les menaces zero-day et d'autres attaques populaires réduisent le délai entre la première détection et le confinement de la menace. Voici deux exemples de flux de Threat Intelligence :
- La Cyber Threat Alliance est une organisation indépendante dont les membres (dont quelques-unes des plus grandes entreprises de cybersécurité) partagent des informations sur les cybermenaces en temps quasi réel.
- VirusTotal est un site de sécurité irlandais qui agrège les données d'un grand nombre de moteurs d'analyse en ligne et de produits antivirus.
Sécurité de l'Internet des objets (IoT). Les équipements intelligents connectés, tels que les contrôleurs industriels, les systèmes d'imagerie médicale, les imprimantes de bureau et les routeurs réseau, sont omniprésents. Le nombre d'équipements connectés à l'Internet des objets (IoT) dans le monde devrait atteindre quelque 125 milliards en 2030, selon les prévisions de la société de services d'information IHS Markit. Bon nombre de ces équipements connectés ne sont pas suffisamment sécurisés et sont vulnérables aux cyberattaques. Un seul équipement non protégé peut potentiellement fournir à un cybercriminel un point d'entrée à l'ensemble du réseau. Dans le cas des contrôleurs industriels, un équipement vulnérable peut permettre à un attaquant de paralyser des systèmes critiques, tels que des réseaux électriques. Les solutions de sécurité pour ces terminaux émergents peuvent inclure un système de listes blanche/noire pour bloquer les logiciels ou adresses IP non autorisés, et la surveillance de l'intégrité des fichiers pour rechercher les modifications non autorisées apportées aux configurations ou aux logiciels.
EDR (Endpoint Detection and Response). L'EDR n'est pas une technologie particulièrement récente, mais elle prend davantage d'importance aujourd'hui face à la sophistication croissante des menaces. Une solution EDR surveille en permanence les comportements suspects des terminaux ou des utilisateurs finaux, et collecte les données des terminaux à des fins d'analyse des menaces. Elle peut fournir des fonctionnalités de réponse automatisée, telles que la déconnexion d'un terminal infecté du réseau, l'arrêt des processus suspects, le verrouillage de comptes ou la suppression de fichiers malveillants.
La montée de la cybercriminalité et la sophistication croissante des cyberattaques exposent toutes les entreprises à un risque d'attaque. Une attaque qui entraîne un temps d'arrêt prolongé, ou la perte ou le vol de données, peut avoir un impact considérable sur une entreprise : sa réputation auprès des clients et des actionnaires peut en pâtir ou elle peut être condamnée à payer des dommages de plusieurs millions de dollars, en plus du coût direct de la compromission elle-même.
Les entreprises peuvent réduire le risque de cyberattaques en mettant en œuvre des solutions et des pratiques de sécurité efficaces. La protection avancée des terminaux est un élément essentiel de la sécurité informatique car tout terminal, qu'il s'agisse d'un PC de bureau, d'une imprimante ou d'un contrôleur industriel, constitue une porte d'entrée potentielle vers un réseau.
Les anciennes solutions de sécurité réactives et statiques ne suffisent plus pour tenir en échec des cybercriminels toujours plus entreprenants, en particulier les groupes criminels professionnels et les États qui financent un grand nombre des attaques. Les technologies avancées et dynamiques de sécurité des terminaux, telles que l'apprentissage automatique, l'analyse et les informations en temps réel sur les menaces, revêtent une importance croissante dans la sécurité des systèmes et des données informatiques, car elles permettent d'identifier un plus grand nombre de menaces en moins de temps.