Quels comportements indiquent une activité malveillante ?

Une planification inhabituelle des événements, des suites d’actions anormales ou un mouvement accru des données ne sont que quelques-uns des signes d’une activité malveillante dans un environnement. Voici quelques exemples spécifiques de comportements moins normaux pouvant mener à l’identification d’une attaque en cours.

• Un lien dans un fichier d’apparence légitime se charge en mémoire, puis charge à distance un script pour récupérer les données confidentielles qui sont renvoyées au cybercriminel.
  
  
• Du code malveillant est injecté dans des applications déjà installées, telles que Microsoft Word, Flash, Adobe PDF Reader, un navigateur Web ou JavaScript, pour cibler les vulnérabilités, puis exécuter le code malveillant.
  
  
• Les outils natifs du système, tels que Microsoft Windows Management Instrumentation (WMI) et les langages de script Microsoft PowerShell qui sont généralement considérés comme hautement fiables, sont conçus pour exécuter les scripts à distance.

Industry Pulse : l’analyse comportementale est désormais indispensable.

Au début de l’année 2016, le SANS Institute a reconnu l’importance de l’analyse comportementale dans un livre blanc intitulé Using Analytics to Predict Future Attacks and Breaches. L’auteur note dans sa conclusion : « L’exploitation de plates-formes d’analyse de données plus avancées pour intégrer des types de données plus nombreux et différents, en se concentrant sur une visibilité accrue sur les menaces réseau, et en automatisant les actions de détection et de réponse, peut aider les équipes de sécurité aujourd’hui et à l’avenir à évoluer pour relever ces défis. »

L’avenir est désormais là, et en 2018, l’analyse comportementale est essentiellement une exigence de base pour la sécurité avancée des terminaux. En fait, dans son rapport Magic Quadrant sur la plate-forme Endpoint Protection Platform, Gartner considère l’autoapprentissage et la surveillance du comportement comme les atouts des visionnaires et des leaders. Le rapport note également que « les fournisseurs les plus visionnaires et leaders en 2018 et 2019 seront ceux qui utiliseront les données recueillies auprès de leurs systèmes de [détection et réponse des terminaux] pour fournir des conseils et des conseils exploitables et adaptés à leurs clients. »

17 % des violations en 2017 ont été causées par une erreur humaine (par opposition à une intention malveillante délibérée).

La réponse : pensez au Cloud

Pour libérer entièrement l’analyse comportementale, les sociétés doivent tirer parti du Cloud et de son immense puissance de calcul, de sa scalabilité illimitée et de sa facilité de gestion. Le Cloud offre une approche proactive qui combine le Big Data avec des analyses puissantes pour déjouer les attaques émergentes les plus récentes et les plus menaçantes.

Par exemple, le Cloud permet d’effectuer des analyses en continu, dans lesquelles l’activité normale et anormale des terminaux peut être surveillée et comparée à toute donnée historique non filtrée. En analysant ces flux d’événements et en les comparant à ceux qui semblent normaux, le Cloud crée un système mondial de surveillance des menaces qui non seulement détecte les attaques, mais prédit celles qui n’ont jamais été vues auparavant.

Cette puissante approche n’est tout simplement pas possible avec les solutions antivirus traditionnelles, qui sont basées sur les signatures, mais avec des antivirus nouvelle génération (NGAV).

L’antivirus nouvelle génération (NGAV) dans le Cloud offre une communication bidirectionnelle avec les terminaux, de sorte que toutes les données non filtrées peuvent être surveillées et transformées en analyses prédictives qui protègent les entreprises de manière proactive contre les attaques sophistiquées.

De plus, le Cloud offre les avantages d’infrastructure dont la plupart des entreprises bénéficient déjà avec d’autres logiciels d’entreprise : simplification, opérations moins coûteuses, déploiement plus rapide et technologie la plus récente et la plus innovante.