Quel avenir pour les antivirus

de nouvelle génération ?
À l’heure où les effectifs des entreprises sont de plus en plus distribués,
il est temps pour les équipes SecOps d’évoluer vers une nouvelle approche
de la sécurité capable de protéger les terminaux hors du périmètre des
réseaux d’entreprise. En effet, l’explosion du télétravail, conjuguée à
des attaques de plus en plus sophistiquées sur les terminaux, sonne
l’heure du changement et la fin d’une approche classique et silotée. La
réponse aux menaces requiert désormais des données télémétriques
détaillées, garantes d’une visibilité complète. Dès lors, pour résister à la
recrudescence d’attaques toujours plus évoluées, les solutions antivirus
d’entreprise doivent se durcir pour éviter de se faire déborder.

Cortex par Palo Alto Networks | Quel avenir pour les antivirus de nouvelle génération ? | Livre blanc 1
Les entreprises veulent disposer d’outils capables de détecter les attaques avancées et de retracer
le fil des évènements, d’identifier les causes racines et de corriger les terminaux touchés. Les
acteurs de la cybersécurité se sont donc penchés sur la question et ont répondu de trois manières :
« antivirus nouvelle génération » (NGAV), « plateformes de protection des terminaux » (EPP)
ou « détection et réponse sur les terminaux » (EDR), soit trois outils dont les fonctionnalités se
recoupent souvent à plusieurs niveaux. Dans ces conditions, difficile de faire le bon choix, d’autant
qu’aucune de ces approches n’a prouvé sa capacité à répondre aux besoins de sécurité réels des
entreprises. Entre des plateformes EPP incapables de prévenir les attaques et des solutions EDR qui
ne les détectent pas, ni l’une ni l’autre n’apporte une véritable solution.
Ce livre blanc revient sur les fonctionnalités spécifiques dont les entreprises ont besoin pour
protéger leurs terminaux contre les menaces actuelles. Nous examinerons également diverses
stratégies de déploiement pour optimiser les workflows SecOps et renforcer la sécurité, aujourd’hui
comme demain.

La prévention reste la règle d’or de la sécurité

Les cybercriminels sont de plus en plus habiles, tandis que le volume et la variété des terminaux
potentiellement vulnérables continuent de croître. Il est donc difficile, voire impossible, de stopper
100 % des menaces, du moins pas sans bloquer également les activités bénignes ni perturber
considérablement les opérations métiers.
Ceci dit, il est important de comprendre qu’une détection et une réponse efficaces passent d’abord
par une prévention cohérente et coordonnée. Le problème des produits EDR, même les plus
performants, c’est qu’ils ne détectent les attaques que lorsque le mal est déjà fait. Or, détecter une
attaque à ce stade place le SecOps sur la défensive et l’oblige dans un premier temps à prendre
connaissance de la situation, puis à investir les ressources opérationnelles nécessaires pour évaluer
l’ampleur des dommages, avant d’essayer de limiter les dégâts tant bien que mal. Un produit EDR
fonctionne un peu comme l’airbag d’un véhicule. Certes les airbags sauvent des vies, mais l’idéal
est d’éviter les accidents en premier lieu. Adopter une approche préventive de la sécurité, c’est un
peu comme équiper sa voiture d’un système anticollision. Et la première étape vers une prévention
efficace consiste à se pencher sur la manière dont les organisations gèrent les menaces.

Protection des terminaux : trois exigences majeures

Vol de données ou installation d’un ransomware : quel que soit l’objectif visé, les attaquants doivent
procéder en plusieurs étapes qui forment le « cycle d’attaque ». Dans presque tous les cas, ce cycle
passe par la compromission d’un terminal. Or, bien que la plupart des entreprises aient déployé des
solutions de protection de leurs terminaux, les infections sont toujours monnaie courante.
Aujourd’hui, beaucoup d’attaquants combinent deux grandes méthodes : l’une consiste à cibler
les vulnérabilités des applications et l’autre à déployer des fichiers malveillants. Si ces méthodes
peuvent être utilisées séparément ou dans des combinaisons diverses, elles sont complètement
différentes par nature :
• Un exploit se sert de différentes techniques pour s’infiltrer dans les failles et accéder à un système
d’exploitation ou à un code applicatif.
• Un malware est un fichier ou un code permettant à un cybercriminel d’atteindre un but précis au
sein d’un système (infecter, explorer, voler, etc.).
• Un ransomware est un type de malware permettant à un cybercriminel de chiffrer des données ou
fichiers importants, qu’il ne déchiffrera qu’en échange d’une rançon.

Au vu des différences intrinsèques entre exploits et malwares, il est impératif d’opter pour une
prévention qui vous protège contre les deux et intègre les fonctionnalités ci-après.

1. Analyse des malwares

Face au volume, à la diversité et à la complexité des menaces qui planent sur les environnements
d’entreprise, la mise en place d’une prévention réellement efficace tient souvent de la gageure.
S’ajoute à cela la difficulté à détecter les malwares et exploits inconnus, en plus de ceux déjà connus.
Pour lutter efficacement contre ces menaces sophistiquées, ciblées et furtives, la protection
des terminaux doit être associée à une Cyber Threat Intelligence (CTI) mutualisée qui permet
d’actualiser les défenses en permanence. En ce sens, l’intégration d’une CTI en mode cloud
aux systèmes de protection des terminaux permet d’approfondir les analyses pour détecter
rapidement les menaces potentiellement inconnues. Dans le cas de malwares encore plus furtifs,
des fonctionnalités de machine learning installées sur le terminal doivent permettre d’évaluer
rapidement un fichier. Objectif : identifier les signes suspects, effectuer des analyses dynamiques
plus approfondies et, si besoin, placer le fichier dans une sandbox.

Cortex par Palo Alto Networks | Quel avenir pour les antivirus de nouvelle génération ? | Livre blanc 2
2. Prévention contre les ransomwares
Bien que les ransomwares ne datent pas d’hier, des attaques majeures comme celle menée par REvil
contre Kaseya VSA (cf. figure 1) ou celle de DarkSide sur Colonial Pipeline ont démontré l’incapacité
des méthodes de prévention traditionnelles. Incapacité d’autant plus criante que les attaquants
utilisent désormais des malwares encore plus sophistiqués, automatisés, ciblés et hautement furtifs.

Derrière
REvil/ Surveillé par l’attaque à
Ransomware-
GandCrab/ Unit 42 grande échelle
as-a-Service
Sodinokibi depuis 2018 visant
(RaaS)
Kaseya

Modus operandi historique de REvil

Mode opératoire Biais d’exécution Secteurs Double extorsion

Services professionnels rapportée
et juridiques, industrie,
Ciblé Accès RDP volés, médias, vente en gros et Oui
Phishing au détail, ingénierie et
construction, énergie

En cours d’évolution ?

+ vulnérabilités
+ opportuniste + tous secteurs Peut-être
logicielles

Figure 1 : Analyse par Unit 42 de l’attaque par ransomware de REvil contre Kaseya VSA

Prévenir les ransomwares exige la présence de fonctionnalités de « défense en profondeur » (DiD)

sur le terminal pour détecter et stopper ces menaces à différentes étapes du cycle d’attaque. La
prévention contre les exploits consiste d’abord à détecter toute tentative d’élévation des privilèges
d’accès au noyau côté utilisateur, puis à bloquer l’attaque. En cas d’échec, le système de protection
contre les processus enfants doit détecter le processus parent et l’empêcher d’engendrer un
processus enfant. Si ces mesures ne suffisent pas pour détecter les menaces, l’agent installé sur
le terminal doit pouvoir se servir d’analyses locales et du machine learning pour identifier les
caractéristiques connues du malware.

3. Prévention contre les exploits

Des milliers d’exploits et de failles logicielles sont découverts chaque année, ce qui oblige les
éditeurs à distribuer continuellement de nouveaux correctifs, en complément de ceux déjà gérés par
les administrateurs système et sécurité de chaque organisation. Les correctifs ont donc pour mission
d’empêcher l’exploitation des vulnérabilités.

Comprendre les techniques d’exploit

Beaucoup de menaces avancées reposent sur l’infiltration de code malveillant dans des fichiers
data a priori inoffensifs. Lorsque l’un de ces fichiers est ouvert, le code malveillant exploite des
vulnérabilités non corrigées de l’application en question, puis s’exécute en toute liberté. Étant
donné qu’il s’agit d’une application autorisée par les politiques de sécurité, ce type d’attaque n’a
aucun mal à contourner les contrôles d’autorisation d’applications.
Malgré l’existence de milliers d’exploits, les cybercriminels s’appuient généralement sur un noyau
dur de techniques qui évoluent rarement. Indépendamment de l’exploit et de sa complexité, le
succès d’une attaque passe par la capacité de son auteur à exécuter ces techniques dans un certain
ordre, comme pour trouver la sortie d’un labyrinthe.

Cortex par Palo Alto Networks | Quel avenir pour les antivirus de nouvelle génération ? | Livre blanc 3
 ROP

X
Heap Heap
spray Utilisation des
spray
EXE fonctions de l’OS

L’utilisateur ouvre Le terminal est

un document protégé de l’exploit
malveillant
L’attaquant essaie d’exploiter une La tentative d’exploit est
vulnérabilité dans le système bloquée avant que
d’exploitation/l’application l’attaque ne se produise

Figure 2 : Ciblez les techniques employées plutôt que les exploits

en eux-mêmes

La prévention des exploits consiste donc à neutraliser ces techniques de base, de manière à rendre
totalement inexploitables les vulnérabilités des applications, qu’elles soient corrigées ou non.
Cette approche est particulièrement importante lorsqu’il s’agit de protéger des environnements
hétérogènes (ceux comportant des workloads cloud, par exemple) où les contrôles physiques des
terminaux peuvent engendrer des complications imprévues dans les environnements virtuels.

Protection Prévention de la Prévention de Protection

anti-repérage corruption de l’exécution de du noyau
mémoire code malveillant

L’utilisateur reçoit une L’attaque est bloquée

publicité malveillante et le terminal protégé

Figure 3 : Multiples méthodes de prévention des exploits

Stratégie pérenne de sécurité des terminaux

Si toute sécurité qui se respecte commence par une bonne prévention, cela ne suffit pas à assurer
une protection efficace contre les attaques avancées. En effet, même si votre solution de protection
des terminaux parvient à bloquer 98 % des tentatives de compromission, 2 % d’entre elles restent
encore à découvrir et à neutraliser. Or, cela demande des fonctionnalités de détection et de réponse.
Ces fonctionnalités doivent s’étendre au-delà du terminal concerné. Après tout, les attaquants
ne s’arrêtent pas à vos terminaux, alors pourquoi vos outils de sécurité le devraient-ils ? Et c’est
précisément là que l’EDR atteint ses limites, car il conduit souvent des équipes de sécurité déjà
surchargées à remonter la piste d’une activité malveillante pendant des heures, avec le peu d’indices
dont elles disposent, pour finalement constater qu’elle a été bloquée par un pare-feu ou un autre
point de contrôle.

Cortex par Palo Alto Networks | Quel avenir pour les antivirus de nouvelle génération ? | Livre blanc 4
Découvrez les fonctionnalités étendues de détection et de réponse (XDR)
L’idéal ici est d’intégrer des fonctionnalités de protection et de détection à une plateforme étendue
de détection et de réponse (XDR) qui applique le machine learning à un flux de données centralisé.
Objectif : offrir une visibilité complète des attaques sur l’ensemble des sources de données et
coordonner la prévention sur tous les points de contrôle. Le XDR pousse les capacités de prévention
plus loin que n’importe quel NGAV ou EDR. Il offre la visibilité totale et les analyses puissantes dont
les équipes de sécurité ont besoin pour lutter contre les attaques sophistiquées actuelles et futures.
Selon une étude Forrester Consulting menée en 2020, seulement 49 % des organisations estiment
que leurs outils de sécurité sont bien intégrés1. Les entreprises passent trop de temps à rechercher
les bonnes données et à les convertir dans des formats adaptés aux analyses. Par ailleurs, ces
données doivent parfois être collectées sur de multiples sources pour déterminer quels utilisateurs,
appareils, processus ou applications sont associés à des évènements spécifiques. Le XDR automatise
ces opérations en corrélant les alertes issues de différentes sources aux incidents de sécurité
détectés, ce qui réduit considérablement le volume d’alertes disparates que les analystes doivent
gérer au quotidien.
Pour les équipes de sécurité, qui dit moins d’alertes, dit possibilité d’agir plus rapidement. Les
solutions XDR de pointe éliminent les angles morts de la sécurité grâce à une intégration parfaite
des fonctionnalités de protection, de détection et de réponse sur les terminaux. Outre leur empreinte
minime, elles ne dépendent pas de signatures pour la prévention, proposent une interface de gestion
en mode cloud et effectuent une collecte étendue des données pour la journalisation des évènements
et des alertes. Les équipes de sécurité disposent ainsi de toute la visibilité nécessaire pour adopter
une approche opérationnelle préventive sans impacter l’administration des terminaux.

Pour votre prochain investissement NGAV, misez sur le XDR

Les outils cloisonnés et les processus manuels n’ont pas leur place dans les opérations de sécurité de
demain. La neutralisation des menaces sophistiquées et de l’arsenal croissant des outils d’attaque
nécessitera une utilisation beaucoup plus intelligente et robuste de l’automatisation, du Big Data
et du machine learning. Elle passera également par l’intégration plus étroite d’une palette d’outils
permettant un déploiement plus rapide et plus complet de nouvelles fonctionnalités. Le choix
d’une solution de sécurité des terminaux ne doit plus se baser essentiellement sur la puissance de
la protection anti-malware et sur l’empreinte de l’agent installé sur le terminal. Il doit également
tenir compte de la capacité de la solution à faciliter les workflows opérationnels indispensables à la
sécurité globale d’une organisation.
Tout investissement en sécurité doit prendre en compte un certain nombre de fonctionnalités :
• Contrôles intégrés de protection, de détection et de réponse pilotés par IA et machine learning
pour combler automatiquement les failles
• Contrôles unifiés permettant de fluidifier les communications entre le SecOps, les administrateurs
des terminaux et du réseau, et les équipes IR
• Génération d’alertes fiables et réduction des éléments d’interférence
• Visibilité complète sur toute l’infrastructure (terminaux, réseau et cloud) pour accélérer la
détection et la réponse, et ainsi réduire la durée d’implantation
• Recours à des preuves validées par des tiers en appui de la traque active des menaces, à savoir des
intégrations pour la collecte de données télémétriques et l’exécution de réponses correspondantes
• Collecte et intégration avancées de données granulaires issues d’une multitude de sources, et non
pas d’une seule
• Exécution d’analyses avancées et application du machine learning sur des données intégrées pour
détecter des activités malveillantes
• Réduction du temps d’investigation et de réponse grâce à des interfaces visuelles qui présentent
automatiquement une vue globale et transparente des incidents
Le XDR est la seule solution de sécurité des terminaux capable de répondre à tous ces critères. Pour
accélérer les processus de tri des alertes et de réponse aux incidents, le XDR analyse des données
multisources (réseau, terminaux et cloud), puis dresse automatiquement un tableau complet
de chaque menace et de son origine. Le temps et l’expérience requis à chaque étape SecOps sont
ainsi réduits, du tri des alertes jusqu’à la traque de la menace. Une intégration efficace aux points
de contrôle permet aux équipes SecOps de répondre rapidement aux menaces et d’utiliser les
connaissances acquises pour adapter les défenses, prévenir les futures menaces et ainsi réagir
encore plus vite à l’avenir. Enfin, le XDR réduit les niveaux de connaissances et compétences
nécessaires aux analystes pour répondre aux attaques, ce qui baisse le coût des opérations de
sécurité.

1. État des lieux 2020 de la sécurité opérationnelle, étude réalisée par Forrester Consulting pour Palo Alto Networks.
https://start.paloaltonetworks.com/forrester-2020-state-of-secops.html.

Cortex par Palo Alto Networks | Quel avenir pour les antivirus de nouvelle génération ? | Livre blanc 5
Conclusion
En adoptant une approche préventive de la sécurité autour d’une protection, d’une détection et
d’une réponse intégrées, et en tournant l’attention du SecOps du « quoi » vers le « comment »,
les organisations parviennent à résoudre quatre problèmes qui minent leur efficacité : sécurité
insuffisante, surabondance d’alertes, cloisonnement des opérations, et hausse de la durée
d’implantation.
Pour votre prochain investissement dans la sécurité des terminaux, gardez ces objectifs en tête :
• Intégration à toutes les données de sécurité clés
• Élimination à la source des alertes peu fiables
• Fonctionnalités de détection et de réponse dans un agent léger
• Chaînes de causalité avancées permettant de coordonner les actions du SecOps, de l’administra-
tion des terminaux et de la réponse à incident
• Visibilité complète sur toute l’infrastructure (terminaux, réseau et cloud) pour booster la détec-
tion et la réponse, et au final réduire la durée d’implantation
Le déploiement de ces fonctionnalités vous garantira une protection optimale de vos terminaux
contre les menaces d’un genre nouveau, à court comme à long terme.
Pour en savoir plus sur le XDR (détection et réponse étendues), rendez-vous sur notre site.
Prêt à vous lancer dans la modernisation de votre centre opérationnel de sécurité ? Retrouvez tous
les éclairages nécessaires dans notre livre blanc intitulé Le SOC de demain se réinvente aujourd’hui.

Oval Tower, De Entrée 99 – 197 © 2021 Palo Alto Networks, Inc. Palo Alto Networks est une marque déposée
1101HE Amsterdam de Palo Alto Networks. Pour une liste de nos marques commerciales, rendez-
vous sur https://www.paloaltonetworks.com/company/trademarks.html.
Pays-Bas
Toutes les autres marques mentionnées dans le présent document
+31 20 888 1883 appartiennent à leurs propriétaires respectifs.
cortex_wp_next-step-next-gen-antivirus_102721-fr
www.paloaltonetworks.fr