L'antivirus qui trompe les pirates

08 février 2018 // Par A Delapalisse
La Détection, c'est fini! Nouvelles techniques contre les hackers
"La détection est morte!" s'est exclamé dans l'une des master-classes du FIC ( à Lille), Yul Bahat, co-fondateur du cabinet de conseil en cybersécurité Securitude Cyber Solutions. "Les antivirus ne sont plus une réponse adéquate", a déclaré Bahat, observant que les attaques ne sont plus frontales mais diffuses et évasives et que le mécanisme de protection de base offert par les antivirus a échoué, trafiqué par des signatures inconnues, des comportements inconnus, des retards et ainsi de suite. Les derniers exemples connus étant les vers WannaCry et Petya l'année dernière.

Selon Bahat, les études comparatives d'antivirus montrant une efficacité de 100% sont tous des mensonges, les tests sont effectués dans un environnement de laboratoire, avec toutes les fonctionnalités activées. Mais les faux positifs sont trop élevés lorsque toutes les fonctionnalités sont activées etpersonne ne les utilise toutes.
"J'ai un problème de base avec l'idée de détection; je regarde un code et je décide si c'est bon ou pas, peu importe la qualité de la détection, c'est une tâche impossible. Avec les techniques qu'ils utilisent, les pirates sont devenus des experts en cache-cache.  Nous nous mentons à nous-mêmes en prétendant que si nous ne pouvons pas voir les attaquants, ils ne sont pas là ".

Bahat a repris le ver WannaCry comme exemple d'attaques sensibles à l'environnement, notant que le ver avait d'abord été isolé avec précaution dans un bac à sable par la plupart des antivirus, mais qu'il avait été libéré après quelques jours car il restait inactif de part sons système à retardement. En réponse aux pirates informatiques, Bahat propose des scénarios de défense innovants, basés principalement sur l'isolation renforcée des réseaux et la tromperie des pirates informatiques.

"Nous voulons garder les choses malveillantes aussi contenues et aussi loin que possible, nous devons supposer que tout est mauvais.Vous devez fermer tout accès direct à vos actifs", a déclaré Bahat, en proposant ce qu'il appelle " désarmement  de contenu & reconstruction" comme solution. "Vous enlevez tout ce qui est important, démontez-le et reconstruisez-le entièrement avec un code dont la sécurité est connue".

Pour l'isolation de navigation Web, Bahat suggère que toutes les informations soient traitées via le proxy qui envoie seulement un flux vidéo HTML5 interactif en temps réel au lieu des vraies pages. Les utilisateurs ne connaissent même pas la différence, mais cela garde les points d'extrémité isolés. Ensuite, une fois la session terminée, tout le contenu ainsi que le navigateur virtuel sont détruits.

La déception est le favori de tous les temps de Bahat. "D'abord nous mettons de la confusion sur l'attaquant, nous créont un faux de l'environnement avec la simulation, tout commence par un point de terminaison. Comme les logiciels malveillants évasifs utilisent la conscience de l'environnement pour détecter quels antivirus sont là, s'ils sont en sandbox ou pas, quels sont les outils d'analyse? pourquoi ne pas mettre des débogueurs, des bacs à sable, des machines virtuelles sur tous les points d'extrémité? Pourquoi ne pas simuler un millier de chiens de garde?


s

Vous êtes certain ?

Si vous désactivez les cookies, vous ne pouvez plus naviguer sur le site.

Vous allez être rediriger vers Google.