Les solutions antivirus nouvelle génération préviennent tous les types d’attaques, connues et inconnues, en surveillant les tactiques, techniques et procédures des cybercriminels et en y répondant.

Définition d’un antivirus nouvelle génération

Un antivirus nouvelle génération fait passer les logiciels antivirus traditionnels à un niveau évolué de protection de la sécurité des terminaux. Cette solution va plus loin que la recherche de signatures et heuristique de logiciels malveillants connus, car elle repose sur une approche centrée sur le système basée dans le Cloud. Elle fait appel à une analyse prédictive fondée sur l’autoapprentissage et l’intelligence artificielle, et s’associe aux informations sur les menaces pour :

• Détecter et prévenir les logiciels malveillants et les attaques non-malveillantes sans fichier
• Identifier les comportements malveillants et les tactiques, techniques et procédures de sources inconnues
• Collecter et analyser des données complètes sur les terminaux pour déterminer les causes profondes des problèmes
• Répondre aux menaces nouvelles et émergentes qui n’étaient pas détectées auparavant.
  

Les cybercriminels d’aujourd’hui savent exactement où trouver les failles et les faiblesses de la sécurité du périmètre réseau d’une entreprise, et les pénètrent de manière à contourner facilement les logiciels antivirus traditionnels. Ces cybercriminels utilisent des outils hautement développés pour cibler les vulnérabilités en exploitant :

• Les attaques basées sur la mémoire
• Le langage de script PowerShell
• Les connexions à distance
• Les attaques reposant sur des macros

Comme les antivirus traditionnels se concentrent uniquement sur les menaces basées sur les fichiers de signature ou les définitions, ils ne peuvent pas détecter ces environnements de menace modernes qui n’introduisent pas de nouveaux fichiers dans le système.

En revanche, les antivirus nouvelle génération (NGAV) se concentrent sur les événements (fichiers, processus, applications et connexions réseau) pour déterminer comment les actions, ou flux d’événements, de chacun de ces domaines sont liés. L’analyse des flux d’événements permet d’identifier les intentions, les activités et les comportements malveillants. Une fois identifiés, les cybercriminels peuvent être bloqués.

Aujourd’hui, ce type d’approche est de plus en plus important, car des entreprises telles que la Major League de Base-ball, la National Hockey League et d’autres grandes organisations sportives constatent de plus en plus que les cybercriminels ciblent spécifiquement leurs réseaux individuels. Les attaques se déroulent en plusieurs étapes, sont personnalisées et présentent un risque considérablement plus élevé. Les solutions antivirus n’ont aucune chance de les arrêter.

D’après son rapport 2017 Market Guide for Endpoint Detection and Response Solutions, Gartner considère que la détection et réponse des terminaux (EDR) est une fonctionnalité de sécurité essentielle. Lorsqu’elle est combinée avec un antivirus nouvelle génération (NGAV), les entreprises peuvent identifier plus précisément les activités suspectes et non autorisées, arrêter immédiatement un grand nombre de ces comportements et mettre en œuvre des fonctionnalités de réponse et de correction des menaces malveillantes avancées plus rapidement et mieux que jamais.

Pour aider les solutions antivirus nouvelle génération (NGAV) à identifier les menaces qui échappent aux antivirus traditionnels, l’EDR permet une approche globale de la collecte de données, laquelle optimise l’apprentissage automatique, l’analyse prédictive et la surveillance du comportement à partir d’une image complète de l’environnement. Ensemble, ces technologies aident les entreprises à surveiller les événements et à identifier les modèles qui peuvent être suspects, en les transformant en visualisations d’attaque facilement exploitables par les administrateurs et les intervenants.

L’EDR permet de détecter les modifications les plus infimes apportées aux fichiers, aux registres et aux réseaux, et aide les équipes responsables de la sécurité à découvrir les activités malveillantes cachées au vu de tous. À partir de là, l’EDR aide les intervenants à enrayer les menaces identifiées et à bloquer les attaques émergentes inédites, qui n’auraient autrement pas été détectées par la plupart des antivirus nouvelle génération.
Taux d’augmentation de 328 % des cyberattaques par mois signalé en 2017

Selon le rapport State of Endpoint Security du Ponemon Institute :

Les éditeurs de logiciels antivirus ne sont pas seulement en concurrence directe avec les fournisseurs de produits similaires, mais également avec les cybercriminels. Dans cette course à un contre un, les assaillants ont une longueur d’avance.

Le rapport indique également que parmi les entreprises qui ont subi une attaque au niveau des terminaux qui a compromis leur société, 77 % ont déclaré qu’il s’agissait d’une attaque sans fichier ou de type exploit.

De toute évidence, les logiciels antivirus sont en train de perdre cette course.