Ransomware : Check Point annonce une protection renforcée, que faut-il en attendre ?
Check Point met à profit une technologie propre à la plateforme vPro d’Intel pour renforcer la protection des serveurs et postes de travail contre les rançongiciels. Mais attention à ne pas développer un sentiment d’immunité.
Ce 29 décembre, Check Point a annoncé l’exploitation de la technologie de détection de menaces (TDT, Threat Detection Technology) de la plateforme vPro d’Intel dans sa solution Harmony Edpoint de protection des hôtes du système d’information, serveurs et postes de travail.
Dans son communiqué de presse, Check Point vante l’apport d’une protection contre les ransomwares « aux deux niveaux du logiciel et du matériel sans coût additionnel » pour les entreprises.
Check Point précise qu’Harmony Endpoint va en fait « employer l’intelligence artificielle (IA) et l’apprentissage automatique pour analyser la télémétrie du processeur et reconnaître les commandes de chiffrement des ransomwares au début du flux d’attaque ». Et de voir là de quoi « renforcer les mesures de prévention et de sécurité » pour ses clients. Renforcer, certes, mais sans immunité.
Car le déclenchement du chiffrement n’est que la phase finale d’une cyberattaque avec rançongiciel. Il est désormais bien établi – et depuis plusieurs années – qu’avec les ransomwares déployés manuellement, détecter et bloquer la détonation, c’est souvent trop tard : le système d’information est compromis en profondeur ; des données ont été potentiellement volées ; et la reconstruction sera longue.
Andrew Thompson, chez FireEye/Mandiant, l’expliquait il y a bientôt trois ans : il faut notamment se concentrer sur les signaux faibles, car après « les téléchargeurs, ou étapes initiales, [qui] sont des choses personnalisées comme Dridex, Trickbot, Emotet, Terraloader/Squid », la suite passe « par des outils de sécurité offensive [OST, Offensive Security Tool] ». Et de relever ainsi que les « utilisateurs/clients » des outils téléchargeurs initiaux « déploient Empire, Metasploit, Cobalt Strike, PoshC2, etc. ».
Déjà à l’automne 2019, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) soulignait ainsi l’importance de la détection sur les étapes antérieures au déclenchement du chiffrement.
C’est d’autant plus vrai avec les groupes se contentant de voler des données pour faire chanter leurs victimes, à l’instar de Karakurt, ou de tous ceux qui pratiquent la double extorsion – à savoir qui volent des données avant de lancer le chiffrement de l’environnement compromis.
Durant l’automne, des établissements de l’enseignement supérieur ont réussi à couper l’herbe sous le pied d’attaquants. À ce stade, aucune information publique ne permet d’affirmer que leurs noms ne seront pas épinglés prochainement sur l’une des vitrines des cybercriminels. LDLC en avait fait la malheureuse expérience.