James Thew - Fotolia

Pourquoi la détection basée sur les signatures ne suffit plus

Les bases de signatures et les algorithmes basés sur l’apprentissage automatique permettent d’identifier codes malicieux et menaces. Ces deux techniques permettent de protéger réseaux et terminaux.

La détection de codes et de comportements malicieux sert de première ligne de défense contre les pirates et autres cybercriminels. Pour l’essentiel, deux techniques sont là mises à profit : la détection à partir de signatures et celle basée sur la recherche d’anomalies. La première est plutôt ancienne, remontant aux années 1990, et s’avère très efficace pour trouver des menaces connues. Chaque signature consiste en un élément de code ou un modèle d’actions correspondant à un code malicieux ou un type d’attaque connu. Le trafic réseau et les fichiers peuvent être inspectés et confrontés à une base de données contenant de telles signatures. En cas de détection d’une menace connue, une alerte est émise et le processus de remédiation est enclenché. Mais cette technique ne permet pas de détecter des menaces pour lesquelles aucune signature n’a été établie. Et l’évolution rapide du paysage de la menace rend difficile l’actualisation continue des bases de signatures. Selon Symantec, près d’un million de nouvelles menaces apparaissent chaque jour.

Le programme Einstein, développé par la division cybersécurité du ministère américain de l’intérieur, a récemment été critiqué pour son recours trop exclusif aux signatures pour détecter et bloquer le trafic malicieux. Les développeurs de logiciels malveillants peuvent modifier leur code constamment, ou la manière dont il est encapsulé, afin qu’il ne produise pas de signature identique aux version précédentes. Les logiciels malveillants polymorphiques sont encore plus sophistiqués : ils sont capables de se modifier à chaque infection. Chaque mutation produit une signature différente.

L’apprentissage automatique à la rescousse

Pour dépasser ces limites, les logiciels de protection les plus avancés complètent l’approche basée sur des signatures avec d’autres techniques, dont l’analyse heuristique et la détection d’anomalies. Cela permet d’améliorer les taux de détection, notamment en ce qui concerne les logiciels malveillants et les comportements inédits. Les techniques comportementales observent la manière dont s’exécute le logiciel suspect pour déterminer s’il est dangereux ou non. Les approches heuristiques utilisent principalement des algorithmes d’apprentissage automatique – ou machine learning – et des méthodes de data mining pour identifier des indicateurs de malveillance au sein de logiciels en cours d’exécution.

Les algorithmes d’apprentissage automatique peuvent apprendre et s’adapter aux données qui leurs sont soumises. En analysant l’activité de logiciels malveillants connus, un programme peut développer la capacité à trouver et détecter de nouveaux modèles de menaces et déterminer la probabilité de malveillance d’un logiciel inédit. Contrairement à la détection par signature, celle basée sur l’apprentissage automatique peut identifier des logiciels malveillants ayant muté, à partir de de leur comportement, et non pas d’une analyse statique de leur code. L’utilisation de l’apprentissage machine en mode Cloud, adossé à des techniques avancées de mise en grappe et de data mining, améliore la rapidité et l’efficacité de l’analyse de logiciels malveillants. Toutefois, des experts doivent intervenir pour vérifier les nouvelles données fournies aux algorithmes, ainsi que leurs interprétations et les classifications. Sans cela, une boucle de retour instable peut conduire à la génération de faux positifs ou à la réduction des taux de détection.

L’apprentissage automatique permet d’établir un type de signature plus efficace et plus sophistiqué, capable de détecter et de classifier un éventail plus large de menaces. Les hash continuent d’être utilisés pour détecter les contenus malicieux, mais les signatures de type ADN – comme ESET les appelle – fournissent des définitions de détection plus complexes, couvrant comportements et caractéristiques. Le comportement d’un logiciel malveillant est bien plus difficile à modifier que son code et, en s’appuyant sur l’analyse du code en profondeur, des indicateurs de compromission responsables de son comportement peuvent être utilisés pour construire ces nouvelles signatures. De quoi identifier de nouvelles variantes d’une même famille, ou encore des logiciels inédits mais contenant des indicateurs déjà observés.

Conclusion

Aucun système de protection ne devrait se contenter d’une unique méthode de détection des codes et des activités malicieux. La sécurité est d’abord une question de défense en profondeur et de diversité. C’est l’efficacité globale des contrôles et des techniques de sécurité mis en œuvre conjointement qui compte. Combiner les méthodes de détection permet de produire la solution de protection contre les logiciels malveillants la plus efficace. Et malgré ses limites, la détection par signatures continue de jouer un rôle important dans la sécurisation des réseaux et des terminaux, ne serait-ce que pour identifier rapidement les menaces connues.

Adapté de l’anglais.

Pour approfondir sur Protection du terminal et EDR