Les virus sont devenus de plus en plus présents ces dernières années avec des vecteurs et modèles d’attaques toujours plus évolués.

Avoir une protection adaptée à ces nouveaux modèles d’attaques est aujourd’hui indispensable.

L’histoire (accélérée) des antivirus

Depuis les débuts de l’informatique, nous avons toujours des personnes malveillantes tentant d’exploiter des faiblesses de systèmes ou programmes.

Les objectifs de ces virus étaient divers :

  • créer un poste zombie pour un botnet ;
  • immobiliser un ordinateur ou un SI ;
  • extraire les informations;
  • par défi.

Pour contrer ces menaces, des éditeurs ont mis à disposition d’autres programmes : les antivirus.

Le but des antivirus est de détecter la signature d’un virus afin de l’empêcher d’agir. Très efficaces il y a quelques années, les antivirus classiques, basés presque exclusivement sur de la détection de signature virale, tendent à montrer leurs limites.

Un changement de modèle…

Pourquoi ? Tout simplement parce que les modèles d’attaque ont évolué. En effet, un virus était avant un binaire identifié et donc identifiable facilement, c’était justement le principe des signatures. Aujourd’hui, de plus en plus de virus sont polymorphes, évoluant à chaque itération.

Bien que l’on parvienne à identifier des bribes de codes pour isoler la souche virale d’origine, le virus lui-même n’étant pas le même, il est de plus en plus compliqué de le catégoriser.

À titre d’exemple, certains virus sont même vendus en tant que bibliothèques standards à intégrer dans un code plus large !

… mais aussi de cible

De même, il y a quelques années, les PC Windows étaient la cible principale des virus. Non pas que ce système d'exploitation soit moins sécurisé que Linux ou Unix, mais simplement parce qu’il représente une énorme part de la flotte des PC des particuliers.

Ainsi, si j’avais développé un virus, j’aurais essayé de cibler le plus grand nombre, donc Windows.

Aujourd’hui, les cibles ont changé pour une raison très simple : les objectifs mêmes des virus ont évolué.

Là où on se contentait principalement d’immobiliser simplement un SI, on va préférer aujourd’hui :

  • priver le propriétaire de l'accès à son système (données, authentification, etc.) pour lui demander une rançon ;
  • récupérer des données à forte valeur ajoutée sans laisser de trace ;
  • exploiter la puissance de calcul de la machine pour l'utiliser à ses propres fins en retardant au maximum la découverte (par exemple en exploitant une infime partie des ressources).

De par ces nouveaux modèles, Linux et Unix sont aussi des cibles de choix. En effet, d’autant plus avec le cloud et ses milliers de machines mal sécurisées, Linux représente une part non négligeable des systèmes d'exploitation utilisés en entreprise sur les serveurs. C’est pourquoi les entreprises sont devenues aussi des cibles prépondérantes, offrant bien plus de portes d’entrées.

De plus, la puissance des machines étant conséquente de nos jours, le chiffrement d’un serveur complet peut prendre de quelques minutes à quelques heures, réagir vite est donc primordial.

Le défi des antivirus modernes

Les antivirus modernes ont donc de nouveaux défis à relever :

  • détecter des virus qui évoluent perpétuellement ;
  • protéger toujours plus vite ;
  • identifier rapidement les vecteurs d’infection ;
  • fonctionner de manière identique sur tous les systèmes d'exploitation.

Comment identifier un virus qui change très souvent ? C’est très simple, on ne l’identifie pas directement.

Nous allons plutôt chercher à identifier un comportement plutôt qu’un binaire en particulier.

Ainsi, un programme qui va se mettre à chiffrer beaucoup de fichiers d’un coup va être identifié comme un virus avec cette méthode. C’est ce que l’on appelle plus couramment une analyse heuristique.

Les EDR à la rescousse

Le terme EDR apparaît pour la première fois en 2013, par la société Gartner.

EDR signifie Endpoint Detection and Response, que l’on appelle aussi couramment "antivirus nouvelle génération".

Derrière ce simple terme se cache en réalité une autre approche de la protection antivirale.

Endpoint plutôt qu’appareil unique

Le premier paradigme qui change avec les EDR est l’approche. En effet, plutôt que considérer le poste de travail ou le serveur en tant que tel, on va préférer considérer qu’il n’est qu’un élément parmi un maillage plus global.

Ainsi, contrairement à un modèle classique, avec un antivirus qui communique avec son serveur central pour les mises à jour et l’envoi des statistiques, on obtient un maillage réseau connecté quasiment en permanence entre eux pour échanger des informations.

Cela permet d’avoir donc une vision globale de la protection, plutôt que considérer un poste en mode autonome, de cette manière on peut rapidement identifier une attaque qui touche toute une entreprise par exemple.

Les rôles d’un EDR

Un EDR va adresser 3 points précis :

  • détecter les attaques ;
  • investiguer les vecteurs d’attaque ;
  • remédier le plus rapidement possible.

Détecter les attaques

Comme nous l’avons décrit plus haut, détecter les nouveaux modèles d’attaque est de plus en plus compliqué. L’analyse heuristique permet de résoudre en partie ce problème.

En effet, on va essayer de détecter les attaques le plus rapidement possible, que ce soit sur des modèles connus (par exemple Wannacry) ou sur des comportements jugés anormaux ou dangereux (téléchargement de payload en base64 par exemple).

L’heuristique c’est aussi détecter un comportement qui s’écarte de l’usage classique, ainsi du chiffrement sur un serveur dont c’est le rôle, comme un serveur d’archivage sécurisé, ne sera pas forcément considéré comme anormal.

C’est lors de ces attaques que l’on doit agir vite, certains vers informatiques peuvent en effet se déployer en quelques minutes.

Investiguer

L’une des principales forces des EDR est ici : plutôt que simplement identifier un binaire infecté par exemple, on va pouvoir remonter à la source de l’attaque, ce qui permet non plus de bloquer le virus, mais son vecteur d’infection.

Cela permet en complément du blocage de l’attaque de faire le nécessaire pour bloquer l’attaque en amont autant que possible.

Source : Documentation officielle de SentinelOne

Dans cette image, nous pouvons voir à droite l’attaque effectuée, puis en remontant vers la gauche, nous remontons vers la source de l’attaque, en l’occurrence dans cette attaque, un shell obfusqué.

Remédier

Identifier une attaque, c’est bien, corriger ce qu’elle a pu faire, c’est mieux. Voici le dernier volet des EDR.

En complément de bloquer une attaque, on va essayer de remédier automatiquement aux dommages qu’elle a pu faire :

  • mise en quarantaine (classique) ;
  • suppression de tout fichier téléchargé ;
  • restauration des binaires ou librairies altérés ;
  • déchiffrement des données ;
  • coupure des connexions réseaux dangereuses.

L’intelligence artificielle à la rescousse

L’autre intérêt des EDR est son fonctionnement de base, de par l’interconnexion entre les agents, il est possible d’exploiter la puissance des réseaux neuronaux afin d’avoir un fonctionnement basé sur le machine learning.

Cela va permettre que la protection antivirale évolue en fonction du comportement normal dans une entreprise.

L’intérêt principal est donc d’identifier encore plus précisément un comportement anormal sans devoir mettre en liste "autorisée" des dizaines de programmes pour fonctionner correctement.

Toutefois, il faut garder en tête qu’un modèle d’apprentissage nécessite un entraînement, cela signifie donc que pendant plusieurs semaines, il est probable que l’EDR remonte des faux positifs, c’est aux administrateurs d’affiner le fonctionnement.

C’est ce modèle qui va permettre d’être très réactif lors d’attaques.

En conclusion

Pour terminer ce billet, je vais donc enfoncer quelques portes ouvertes.

Investir dans un EDR ne dispense pas pour autant d’avoir une bonne hygiène de sécurité dans son entreprise.

Ainsi l’EDR est un outil très puissant, mais nécessitant toujours un regard humain critique, ainsi un EDR :

  • ne dispense pas d’avoir un SOC (Security Operation Center), interne ou externe, dans son entreprise ;
  • ne dispense pas de faire de la sensibilisation à la sécurité ;
  • nécessite toujours d’autres briques de sécurités (firewall, hardening, etc.) ;
  • nécessite toujours de sécuriser l’accès aux données sensibles.

Il faut aussi garder en tête qu’aujourd’hui, plus personne n’est à l’abri d’une attaque, d’autant plus avec la démocratisation du télétravail qui augmente les risques de compromission (par exemple par un PC personnel vérolé dans le même réseau).

Avoir une réponse adaptée aux nouveaux modèles d’attaques est plus que jamais indispensable, et les EDR sont un des éléments à disposition pour ce point.