Intercept X détecte les menaces plus rapidement grâce au Deep Learning avancé

0

Sophos vient d’annoncer la disponibilité d’une nouvelle version de la solution Intercept X, qui intègre la détection des malwares grâce à des techniques de Deep Learning à base de réseaux neuronaux. Combinée à de nouvelles fonctionnalités de protection active contre les attaques, à un verrouillage avancé des applications et à une défense améliorée contre les ransomwares, cette dernière version de protection Next-Gen Endpoint offre des niveaux de détection et de prévention inédits.

Le Deep Learning est l’évolution la plus avancée en matière d’apprentissage automatique. Il fournit un modèle de détection extrêmement évolutif, capable d’intégrer l’ensemble des menaces observables dans son apprentissage. Grâce à sa capacité à analyser des centaines de millions d’échantillons, le Deep Learning peut faire des prédictions plus précises, plus rapides et générant beaucoup moins de faux-positifs que le Machine Learning traditionnel.

« Pour entraîner leurs modèles, les techniques traditionnelles de Machine Learning se basent sur des séries de caractéristiques sélectionnées par des experts en analyse des menaces, ajoutant ainsi un paramètre humain subjectif. Elles deviennent également plus complexes à mesure que de nouvelles données sont ajoutées et ces modèles, qui se mesurent en giga-octets, sont de plus en plus lents et difficiles à gérer. Ces derniers peuvent également avoir des taux de faux-positifs significatifs, réduisant ainsi l’efficacité des services informatiques qui doivent passer du temps à faire le tri entre les malwares et les logiciels inoffensifs », explique Tony Palmer, Senior Validation Analyst chez Enterprise Strategy Group (ESG).

« A l’inverse, le Deep Learning à base de réseaux neuronaux d’Intercept X apprend par l’expérience, en créant des corrélations entre les comportements observés et les malwares. Ces corrélations résultent en un niveau de précision élevé pour les malwares connus et zero-day, ainsi qu’un taux de faux-positifs plus faible. Les analyses menées par ESG Labs révèlent que ce modèle d’apprentissage par réseau neuronal évolue facilement : plus il engrange de données, plus le modèle devient intelligent. Cette capacité permet une détection plus agressive, sans pénaliser les performances du système ni prendre du temps aux administrateurs ».

Cette nouvelle version de Sophos Intercept X comprend également des innovations dans le domaine de la prévention contre les exploits et les ransomwares, ainsi que des mesures de protection actives contre les attaques, telles que la protection contre le vol d’informations d’identification. Avec l’amélioration des protections anti-malwares, les attaques se sont de plus en plus concentrées sur le vol des informations d’identification, afin de pénétrer systèmes et réseaux en tant qu’utilisateur autorisé. Intercept X détecte et empêche spécifiquement ce type d’attaque.

Déployé via Sophos Central, la plateforme de gestion basée dans le Cloud, Intercept X peut être installé en parallèle des logiciels de sécurité des systèmes endpoint existants, quel que soit le fournisseur, améliorant ainsi immédiatement la protection des systèmes Endpoint. Combiné à Sophos XG Firewall, Intercept X permet d’ajouter des capacités de sécurité synchronisée pour optimiser la protection. « La protection prédictive est sans nul doute l’avenir de la sécurité informatique.

Sophos a réalisé une avancée significative en intégrant le Deep Learning à base de réseaux neuronaux dans Intercept X, la solution de protection contre les exploits et les ransomwares leader dans son secteur », déclare Dan Schiappa, Senior Vice-President et General Manager des produits chez Sophos. « Etre capable de se protéger contre la prochaine attaque, encore inconnue, au lieu d’attendre qu’elle survienne, va changer la manière dont les services informatiques protègent leurs utilisateurs et leurs données dans chaque organisation.

Intercept X peut apporter la protection Next-Gen la plus avancée à n’importe quelle entreprise, quelle que soit la stratégie déjà adoptée ». Selon un rapport d’ESG Lab Validation, chaque entreprise devrait partir du principe qu’elle peut être constamment la cible d’attaques lancées par diverses cybermenaces. Lors de recherches récentes menées par ESG cherchant à identifier pourquoi les analyses et les actions en matière de cybersécurité sont plus difficiles aujourd’hui, plus d’un quart des personnes interrogées ont déclaré qu’il était tout simplement plus difficile aujourd’hui de suivre l’évolution rapide du paysage des menaces. (Cybersecurity Analytics and Operations in Transition, July 2017.)

Sophos continue à innover en matière de sécurité informatique « 

James Miller, Managing Director de Chess Cybersecurity, un partenaire Sophos assure qu’ils croyent « en la vision de la sécurité synchronisée et bon nombre de nos clients ont apprécié la possibilité de détecter et de répondre automatiquement aux incidents de sécurité, et ce sans l’intervention de l’administrateur informatique. Intercept X porte cette approche à un niveau supérieur, et permet à Sophos d’accéder à un nouveau public qui utilise peut-être un système Endpoint d’un autre éditeur, mais qui a néanmoins besoin d’une protection immédiate contre les menaces Zero-Day. »

« Les faux-positifs prennent presque autant de temps que les menaces réelles », a déclaré Denney Fifield, Director of Technology Services de Strong & Hanni PC, un client Sophos. « Lorsque vous disposez de ressources informatiques limitées, vous vous concentrez sur l’essentiel, en vous assurant que le fonctionnement de l’entreprise reste efficace, que les équipes informatiques adhèrent à votre stratégie et surtout ne travaillent pas dans le vide. Nous n’avons pas trouvé un autre produit qui puisse revendiquer les niveaux de détection élevés et de faux-positifs faibles de cette nouvelle version d’Intercept X intégrant le Deep Learning. Nous sommes impatients de déployer cette solution au sein de notre environnement ».

Nouvelles fonctionnalités d’Intercept X

La détection de malwares par Deep Learning
  • Le modèle de Deap Learning détecte les malwares connus et inconnus, ainsi que les applications potentiellement indésirables (PUAs), avant qu’ils ne s’exécutent, sans s’appuyer sur des signatures. Le modèle a une taille inférieure à 20 Mo et nécessite très peu de mises à jour.
Mécanismes de défense active contre les attaques
  • Protection contre les vols d’informations d’identification – Prévention contre les vols de mots de passe d’authentification et les informations de hash à partir de la mémoire, de la base de registre et des espaces de stockage persistants – tels que ceux mis en œuvre par Mimikatz.
  • Protection contre les attaques par « Code Cave » : Détecte la présence de code déployé dans une autre application, souvent utilisé pour la persistance et le contournement des antivirus.
  • Protection APC : Détecte les abus d’Asynchronous Procedure Calls (APC), souvent utilisés dans le cadre de la technique d’injection de code AtomBombing, et plus récemment comme méthode de propagation du ver WannaCry et de NotPetya via EternalBlue et DoublePulsar (certains pirates utilisent ces appels d’une manière abusive pour déclencher un autre processus afin d’exécuter leur code malveillant).
Nouvelles Techniques de prévention contre les exploits
  • Prévention de la migration malveillante entre processus : détecte une injection DLL à distance utilisée par des pirates pour se déplacer latéralement entre les processus s’exécutant au sein d’un système.
  • Prévention de l’élévation de privilège : empêche un processus à faible privilège de bénéficier d’un privilège plus élevé, une tactique souvent utilisée par les pirates actifs pour obtenir des droits d’accès supérieurs au système.
Verrouillage d’application renforcé
  • Verrouillage du comportement du navigateur : Intercept X empêche l’utilisation malveillante de PowerShell à partir des navigateurs, en agissant en tant que verrou pour les comportements de base.
  • Verrouillage des applications HTA: Les applications HTML chargées par le navigateur se voient appliquer le verrouillage comme si elles étaient des navigateurs.

About Author

Globb Security France

Leave A Reply