unlimit3d - stock.adobe.com
Check Point place dans le réseau un nouveau moteur de protection contre les maliciels
L’équipementier dote sa technologie Sandblast Network d’un moteur de classification de fichiers suivant des modèles de maliciels établis par apprentissage automatique sur la base de connaissance de son ThreatCloud.
Check Point vient de lever le voile sur Malware DNA, un nouveau moteur d’analyse pour la technologie Sandblast Network de ses équipements. Dans un communiqué de presse, il explique que ce moteur « analyse chaque variante de logiciel malveillant qui passe par le bac à sable pour rechercher des similitudes au niveau du code et des comportements avec des familles de logiciels malveillants connus ». Le moteur s’appuie pour cela sur des modèles, établis par des algorithmes d’apprentissage automatique entraînés sur les échantillons précédemment détectés par le ThreatCloud de Check Point.
Cette approche ne va pas sans rappeler celle d’un Cylance, racheté à l’automne dernier par Blackberry et auquel s’était d’ailleurs associé un concurrent de Check Point, Watchguard. Mais donc, au lieu de procéder au niveau du poste de travail, l’équipementier mise sur ses bacs à sable réseau.
Pour mémoire, c’est en septembre 2015 que Check Point a présenté SandBlast, une technologie initialement basée sur deux modules de protection contre les menaces avancées : Threat Extraction et Threat Emulation. Le premier identifie les contenus à risque pour en supprimer les composants malicieux et essayer de reconstituer autant que possible de le contenu inoffensif. Le second se charge des exécutables en les plaçant en bac à sable, en s’appuyant pour cela sur la technologie d’Hyperwise, racheté par Check Point en février 2015.
L’équipementier a commencé à déployer Malware DNA mi-janvier dernier, avec la version 58.990000298 du moteur Threat Emulation. Selon les notes de révision de celle-ci, Check Point revendique notamment la capacité de ses modèles à résister aux permutations de code, aux optimisations de compilation, « et autres changements du code qui n’affectent pas la sémantique du code ». Il s’agit en fait, selon lui, d’extraire « la représentation binaire du code malicieux de logiciels malveillants connus pour la représenter de manière généralisée ». Et cela ne s’arrête pas à cela : des éléments tels que les canaux de communication vers des serveurs de commande et de contrôle sont également utilisés, entre autres.
Mais c’est véritablement avec la version R80.30 du logiciel embarqué de ses équipements, lancée en mai, que Check Point a commencé à faire la promotion de Malware DNA.