La « vaccination » contre les malwares organiques peut ressembler à un concept de science-fiction, mais c'est une réalité qui se rapproche progressivement à l'ère numérique. Le « malware organique » mentionné ici n’est pas un virus biologique. Il fait référence aux menaces persistantes avancées (APT) qui peuvent évoluer, s'adapter et se cacher dans les activités normales du système comme les organismes vivants. Les logiciels antivirus traditionnels le traitent comme un simple rhume. Pour lutter contre ces « organismes », nous avons besoin d’une idée nouvelle et dynamique de défense immunitaire.
Comment définir les caractéristiques des malwares organiques
Les principales caractéristiques des logiciels malveillants organiques sont qu’ils se comportent comme des organismes biologiques. Ils ont la capacité d’apprendre et d’analyser leur environnement pour éviter la détection statique basée sur les signatures. Ils sont également adaptables et peuvent passer à des méthodes de sauvegarde une fois qu'un chemin d'attaque est coupé, tout comme les virus développent une résistance.
Ce type de menace a souvent un objectif clair et une persistance. Contrairement aux ransomwares, ils n’en font pas une grande publicité. Au lieu de cela, ils se cachent tranquillement et volent des données ou surveillent les comportements pendant une longue période. De plus, sa structure de code est probablement modulaire, les composants principaux sont très rationalisés et les fonctions requises sont chargées dynamiquement depuis le serveur distant après l'intrusion. Cela rend le point d’intrusion initial extrêmement petit et difficile à détecter.
Pourquoi les logiciels antivirus traditionnels ont du mal à lutter contre les malwares organiques
Les logiciels antivirus traditionnels, qui s'appuient principalement sur des bases de données de signatures de virus à des fins de comparaison, mettent en œuvre une sorte de « défense post-mortem » et sont efficaces contre les menaces connues. Cependant, il a peu d’effet sur les malwares organiques qui ne sont jamais apparus et sont en constante mutation. En raison de son mode de défense statique et passif, il ne peut pas faire face aux comportements de pénétration dynamiques et actifs.
Les solutions traditionnelles se concentrent sur la protection des points finaux. Cependant, la cible des attaques de logiciels malveillants organiques est un système. Ils pénètrent en plusieurs points via des attaques sur la chaîne d’approvisionnement, du spear phishing et d’autres méthodes, puis se déplacent latéralement dans le réseau interne. Le simple fait de garder le portail de l'ordinateur personnel ne peut empêcher les espions qui se sont déguisés en civils et se sont infiltrés dans la ville, ainsi que les saboteurs qui se déplacent entre les différents bâtiments.
Comment construire un système immunitaire actif pour l'analyse comportementale
La clé de la défense est de changer la mentalité de « identifier les méchants » à « identifier les comportements anormaux » ; cela nécessite sans aucun doute la création d'une plate-forme qui surveille en permanence le comportement de toutes les entités du système, y compris le comportement des utilisateurs, celui des appareils, celui des applications et celui des processus ; en établissant une ligne de base de comportement normal, toute activité qui s'écarte de manière significative de la ligne de base déclenchera une alarme.
Par exemple, si un programme de traitement de texte tente soudainement de se connecter tard dans la nuit à une adresse IP étrangère inconnue, puis commence à envoyer une grande quantité de données, même si la signature est inconnue, cela doit être considéré comme très suspect. Cette analyse comportementale ne se concentre pas sur « ce que c'est » mais sur « ce qu'il fait ». Il peut détecter efficacement les attaques Zero Day et les menaces internes cachées.
Quel rôle joue l’intelligence artificielle dans la détection des malwares ?
Utilisant des journaux massifs et des données de trafic réseau pour la formation, l’apprentissage automatique en intelligence artificielle est un moyen technique clé utilisé pour faire face aux capacités évolutives des logiciels malveillants organiques. Grâce à une telle formation, le modèle construit par l'IA peut identifier des schémas d'attaque extrêmement cachés et extrêmement complexes, difficiles à résumer à l'œil nu ou avec des règles conventionnelles. Il permet de suivre et de capturer les menaces en temps réel.
L’IA n’est-elle pas définitivement une solution sans faille ? Ceux qui mènent des attaques utiliseront également l’IA pour créer des méthodes d’attaque plus raffinées ou concevoir des données pertinentes pour aveugler le modèle de défense. Cette situation a donné lieu à une compétition semblable à une course aux armements entre les camps offensifs et défensifs en termes de capacités d’IA. Par conséquent, le système d'IA du côté défensif doit continuellement apprendre, itérer et se mettre à jour en permanence, et doit être combiné avec les jugements portés par le cerveau humain sur la base de l'expérience pour former une intelligence hybride.
Comment les entreprises mettent en œuvre une architecture de sécurité Zero Trust
Ne jamais faire confiance, toujours vérifier, tel est le principe défendu par le Zero Trust. Il traite l'intérieur du réseau comme plein de menaces, niant ainsi l'hypothèse des réseaux traditionnels selon laquelle « les réseaux internes sont sûrs ». Pour mettre en œuvre le Zero Trust, vous devez d’abord procéder strictement à l’authentification de l’identité et à la gestion des autorisations afin de garantir que toute demande d’accès soit soumise à une vérification stricte et suive le principe du moindre privilège.
Il existe un besoin en matière de technologie de micro-isolation. Cette technologie divisera le réseau en zones les plus petites possibles et contrôlera tout le trafic entre les zones. Même si un malware organique envahit un certain point, son mouvement latéral sera rapidement bloqué. Cela équivaut à construire un grand nombre de barrières immunitaires à l’intérieur du corps pour contrôler l’infection à l’échelle locale, empêchant ainsi l’apparition d’une septicémie systémique.
Comment les utilisateurs individuels peuvent améliorer leurs niveaux de protection quotidiens
Pour les utilisateurs individuels, le premier principe est de maintenir tous les logiciels et systèmes d’exploitation à jour en temps opportun. De nombreuses attaques exploitent des vulnérabilités connues mais non corrigées, et les mises à jour constituent le « vaccin » le plus simple. Deuxièmement, activez des mots de passe forts et uniques et activez autant que possible l’authentification à deux facteurs, ce qui peut considérablement augmenter la difficulté pour les attaquants de voler des identités.
Maintenir la vigilance est la ligne de défense la moins chère. Méfiez-vous des e-mails, pièces jointes et liens suspects. N'installez pas de logiciels provenant de sources inconnues. Vérifiez régulièrement votre compte pour les connexions anormales. De telles bonnes habitudes « d’hygiène numérique » peuvent vous aider à résister à la plupart des attaques à caractéristiques automatisées. En conséquence, les « armes haut de gamme » telles que les logiciels malveillants organiques ne disposent pas du canal de départ pour vous attaquer.
Face à de telles menaces numériques qui peuvent « évoluer », pensez-vous que dans les futures confrontations offensives et défensives, laquelle sera la plus critique, le rythme du progrès technologique sera plus rapide ou l'amélioration générale de la conscience de la sécurité humaine ? Bienvenue pour partager vos idées dans la zone de commentaires. Si cet article vous a inspiré, aimez-le et partagez-le avec d'autres amis soucieux de la sécurité.
Laisser un commentaire