deepagopi2011 - Fotolia
Protection du poste de travail : Symantec se met au machine learning
L’éditeur vient de lancer la version 14 de sa suite de protection du poste de travail. Cette nouvelle mouture met à profit les technologies d’apprentissage machine pour l’analyse statique des contenus suspects.
La nouvelle version de la suite de protection du poste de travail de Symantec, Endpoint Protection 14, (SEP) se distingue par un usage étendu du Cloud pour l’analyse des contenus suspects ainsi que la mise à profit des technologies d’apprentissage automatique.
Les agents SEP standard et embarqué/VDI ne n’embarquent ainsi par défaut qu’un sous-ensemble de signatures de codes malveillants : à l’occasion d’analyses planifiées ou à la demande, les ressources Cloud sont sollicitées. La fonctionnalité Auto-Protect peut également communiquer avec des ressources Cloud. A noter que celle-ci ne s’exécute plus dans l’environnement du noyau. Symantec le précise, mais évoque des gains de performances et de consommation de mémoire, voire de « santé système », omettant ces failles critiques révélées plus tôt cette année par les chercheurs de Google.
SEP profite par ailleurs de l’ajout d’un module de prévention d’exploitation des vulnérabilités applicatives les plus courantes, dans une approche de système hôte de prévention des intrusions (HIPS). Sont notamment couvertes les attaques visant Java.
Un nouvel émulateur est sollicité pour l’analyse de fichiers compressés, mais c’est un algorithme de machine learning qui est mis en œuvre pour l’analyse statique des contenus suspects sans passer par les classiques signatures virales. Il met également à profit les renseignements sur les menaces de Symantec pour réduire au maximum les faux positifs.
SEP peut renvoyer des informations anonymisées à Symantec sur les menaces détectées sur les postes de travail et serveurs protégés. C’est d’ailleurs le cas par défaut. L’éditeur détaille précisément quelles informations sont susceptibles d’être remontées à ses services.
La console d’administration SEP fonctionne sous Windows Server 2016. Les agents sont disponibles pour Windows RHEL 7.x, Oracle Linux 6U5, et encore MacOS 10.12. Nombre de fonctionnalités avancées (Auto-Protect, recours au Cloud ou à l’apprentissage automatique et la protection contre les exploits) ne sont toutefois disponibles que sous Windows.