Comment d\u00e9tecter et emp\u00eacher les attaquants d’utiliser ces diff\u00e9rentes techniques<\/span><\/h2>\nL’obfuscation est une technique importante pour prot\u00e9ger les logiciels, mais elle comporte \u00e9galement des risques, notamment lorsqu’elle est utilis\u00e9e par des auteurs de logiciels malveillants. Dans cet article, nous examinons l’obfuscation, ses effets et les r\u00e9ponses \u00e0 y apporter.<\/p>\n
Qu’est-ce que l’obfuscation ?<\/h2>\n
L’obscurcissement est une technique qui consiste \u00e0 rendre intentionnellement les informations difficiles \u00e0 lire, notamment dans le codage informatique. Un cas d’utilisation important est l’obscurcissement des donn\u00e9es, dans lequel les donn\u00e9es sensibles sont rendues m\u00e9connaissables pour les prot\u00e9ger contre tout acc\u00e8s non autoris\u00e9. Diverses m\u00e9thodes sont utilis\u00e9es \u00e0 cet effet. <\/p>\n
Par exemple, seuls les quatre derniers chiffres d’un num\u00e9ro de carte de cr\u00e9dit sont souvent affich\u00e9s, tandis que les chiffres restants sont remplac\u00e9s par des X ou des ast\u00e9risques. En revanche, le cryptage consiste \u00e0 convertir les donn\u00e9es en un format illisible qui ne peut \u00eatre d\u00e9crypt\u00e9 qu’\u00e0 l’aide d’une cl\u00e9 sp\u00e9ciale.<\/p>\n
Obfuscation dans le code<\/h2>\n
Lorsque le code informatique est obscurci, un langage complexe et une logique redondante sont utilis\u00e9s pour rendre le code difficile \u00e0 comprendre. Le but ? Tromper \u00e0 la fois les lecteurs humains et les programmes tels que les d\u00e9compilateurs. Pour ce faire, des parties du code sont chiffr\u00e9es, les m\u00e9tadonn\u00e9es sont supprim\u00e9es ou des noms significatifs sont remplac\u00e9s par des noms d\u00e9nu\u00e9s de sens. L’insertion de code inutilis\u00e9 ou d\u00e9nu\u00e9 de sens est \u00e9galement une pratique courante pour dissimuler le code r\u00e9el. <\/p>\n
Un soi-disant obfuscateur peut automatiser ces processus et modifier le code source afin qu’il fonctionne toujours mais soit plus difficile \u00e0 comprendre. <\/p>\n
D\u2019autres m\u00e9thodes d\u2019obfuscation incluent la compression de l\u2019ensemble du programme, rendant le code illisible et modifiant le flux de contr\u00f4le pour cr\u00e9er une logique non structur\u00e9e et difficile \u00e0 maintenir. <\/p>\n
L\u2019insertion de code factice qui n\u2019affecte pas la logique ou le r\u00e9sultat du programme est \u00e9galement courante. <\/p>\n
Plusieurs techniques sont souvent combin\u00e9es pour obtenir un effet multicouche et augmenter la s\u00e9curit\u00e9.<\/p>\n
Le revers de la m\u00e9daille<\/h2>\n
Malheureusement, l\u2019obfuscation n\u2019est pas seulement une protection, c\u2019est aussi un d\u00e9fi. L\u2019obfuscation n\u2019est pas seulement utilis\u00e9e par les d\u00e9veloppeurs de logiciels l\u00e9gitimes, mais aussi par les auteurs de logiciels malveillants. L\u2019objectif de l\u2019obfuscation est d\u2019anonymiser les cyberattaquants, de r\u00e9duire le risque de d\u00e9tection et de masquer les logiciels malveillants en modifiant la signature globale et l\u2019empreinte digitale du code malveillant, m\u00eame si la charge utile est une menace connue. La signature est un hachage, une repr\u00e9sentation alphanum\u00e9rique unique d\u2019un \u00e9l\u00e9ment malveillant. Les signatures sont tr\u00e8s souvent hach\u00e9es, mais elles peuvent \u00e9galement \u00eatre une autre repr\u00e9sentation courte d\u2019un code unique au sein d\u2019un \u00e9l\u00e9ment malveillant. <\/p>\n
Plut\u00f4t que de tenter de cr\u00e9er une nouvelle signature en modifiant le malware lui-m\u00eame, l\u2019obfuscation se concentre sur les m\u00e9canismes de d\u00e9ploiement pour tromper les solutions antivirus qui s\u2019appuient sur les signatures. Comparez cela \u00e0 l\u2019utilisation de l\u2019apprentissage automatique, de l\u2019analyse pr\u00e9dictive et de l\u2019intelligence artificielle pour am\u00e9liorer les d\u00e9fenses.<\/p>\n
L’obfuscation, ou le d\u00e9guisement du code, peut \u00eatre \u00e0 la fois \u00ab bonne \u00bb et \u00ab mauvaise \u00bb. Dans le cas d’une \u00ab mauvaise \u00bb obfuscation, les pirates combinent diverses techniques pour masquer les logiciels malveillants et cr\u00e9er plusieurs couches de camouflage. L’une de ces techniques est celle des packers. Il s’agit de logiciels qui compressent les logiciels malveillants pour masquer leur pr\u00e9sence et rendre le code d’origine illisible. Il existe \u00e9galement des cryptographes qui chiffrent les logiciels malveillants ou des parties de logiciels pour restreindre l’acc\u00e8s au code qui pourrait alerter les programmes antivirus. <\/p>\n
Une autre m\u00e9thode consiste \u00e0 ins\u00e9rer du code mort. Cela consiste \u00e0 ins\u00e9rer du code inutile dans le programme malveillant pour masquer l’apparence du programme. Les attaquants peuvent \u00e9galement utiliser la modification de commande, qui consiste \u00e0 changer les codes de commande dans les programmes malveillants. Cela modifie l’apparence du code, mais pas son comportement.<\/p>\n
![\"Obscurcissement\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1722513120_899_Obfuscation-il-y-a-deux-cotes-a-toute-chose.png\" "\\"Obscurcissement\\"\/")
<\/a><\/div>\nL’obscurcissement du code n’est, comme nous l’avons vu, que la premi\u00e8re \u00e9tape, car quel que soit le travail que le pirate d\u00e9ploie pour obscurcir le code afin de contourner l’EDR, le malware doit communiquer au sein du r\u00e9seau et avec le monde ext\u00e9rieur pour r\u00e9ussir. Cela signifie que la communication doit \u00e9galement \u00eatre obscurcie. Contrairement au pass\u00e9, o\u00f9 les r\u00e9seaux \u00e9taient scann\u00e9s rapidement et o\u00f9 l’on tentait imm\u00e9diatement d’extraire des donn\u00e9es de l’ordre du t\u00e9raoctet, les attaquants communiquent aujourd’hui plus discr\u00e8tement afin que les capteurs et les commutateurs des outils de surveillance ne se d\u00e9clenchent pas. <\/p>\n
L’objectif consistant \u00e0 obtenir des adresses IP par scan, par exemple, est d\u00e9sormais poursuivi plus lentement pour rester sous le radar. La reconnaissance, par laquelle les acteurs malveillants tentent de collecter des donn\u00e9es sur leurs victimes cibl\u00e9es, par exemple via leur architecture r\u00e9seau, devient \u00e9galement plus lente et plus obscure.<\/p>\n
Une m\u00e9thode d’obscurcissement courante est la m\u00e9thode OU exclusif (XOR). Cette m\u00e9thode masque les donn\u00e9es de telle mani\u00e8re qu’elles ne peuvent \u00eatre lues que par les personnes qui lient le code avec 0x55 XOR. ROT13 est une autre astuce dans laquelle les lettres sont remplac\u00e9es par un code.<\/p>\n
Explosions du pass\u00e9 :<\/strong><\/h3>\n\n- Un exemple bien connu d\u2019obfuscation est l\u2019attaque SolarWinds en 2020. Les pirates ont utilis\u00e9 l\u2019obfuscation pour contourner les d\u00e9fenses et masquer leurs attaques. <\/li>\n
- PowerShell, un outil Microsoft Windows utilis\u00e9 \u00e0 mauvais escient par les pirates, est un autre exemple int\u00e9ressant. Les logiciels malveillants qui utilisent PowerShell masquent leurs activit\u00e9s gr\u00e2ce \u00e0 des techniques telles que le codage de cha\u00eenes, l’obscurcissement des commandes, l’ex\u00e9cution de code dynamique, etc. <\/li>\n
- L’attaque XLS.HTML est un autre exemple. Les pirates ont utilis\u00e9 des techniques d’obscurcissement \u00e9labor\u00e9es pour dissimuler leurs activit\u00e9s malveillantes. Ils ont modifi\u00e9 leurs m\u00e9thodes de chiffrement au moins dix fois en un an pour \u00e9viter d’\u00eatre d\u00e9tect\u00e9s. Leurs tactiques comprenaient le texte brut, le codage d’\u00e9chappement, le codage Base64 et m\u00eame le code Morse.<\/li>\n
- Dans une autre menace, les attaquants ont exploit\u00e9 des vuln\u00e9rabilit\u00e9s dans ThinkPHP pour ex\u00e9cuter du code \u00e0 distance sur des serveurs. Ils ont install\u00e9 un shell Web masqu\u00e9 appel\u00e9 \u00ab Dama \u00bb qui permettait un acc\u00e8s permanent et de nouvelles attaques.<\/li>\n<\/ul>\n
Pourquoi vous ne devriez pas vous fier uniquement aux signatures<\/h2>\n
La d\u00e9tection bas\u00e9e sur les signatures est comme un vieil ami : elle est fiable lorsqu’il s’agit de menaces connues. Mais lorsqu’il s’agit de menaces nouvelles et inconnues, elle peut parfois \u00eatre dans l’ignorance. Voici quelques raisons pour lesquelles vous ne devriez pas vous fier uniquement aux signatures : <\/p>\n
\n- Les auteurs de programmes malveillants sont de v\u00e9ritables ma\u00eetres dans l’art de cacher et de chercher. Ils utilisent diverses techniques pour dissimuler leurs programmes malveillants. M\u00eame de petites modifications du code peuvent entra\u00eener l’\u00e9chec de la d\u00e9tection des signatures. <\/li>\n
- Dans le cas des malwares polymorphes, les malwares se comportent comme des cam\u00e9l\u00e9ons. Ils modifient constamment leur structure pour \u00e9viter d’\u00eatre d\u00e9tect\u00e9s. Chaque fois qu’ils sont ex\u00e9cut\u00e9s, le code a une apparence diff\u00e9rente. <\/li>\n
- Des signatures statiques ? Pas de chance ! Les malwares m\u00e9tamorphiques sont encore plus d\u00e9licats. Ils s’adaptent pendant l’ex\u00e9cution et modifient leur code de mani\u00e8re dynamique, ce qui les rend presque impossibles \u00e0 d\u00e9tecter avec des signatures statiques. <\/li>\n
- De plus, les exploits zero-day se comportent comme les \u00ab nouveaux venus \u00bb : ils sont r\u00e9cents et inconnus, et les syst\u00e8mes bas\u00e9s sur les signatures n\u2019ont aucune chance de les reconna\u00eetre. <\/li>\n
- De plus, lorsqu’une solution bas\u00e9e sur les signatures renvoie trop de faux positifs, elle devient inefficace. Trop de fausses alertes dans les activit\u00e9s quotidiennes affectent votre \u00e9quipe de s\u00e9curit\u00e9 et gaspillent des ressources pr\u00e9cieuses.<\/li>\n<\/ol>\n
En bref, la d\u00e9tection de signature, par exemple dans un EDR, est un outil utile, mais elle ne suffit pas \u00e0 elle seule \u00e0 repousser toutes les menaces. Une strat\u00e9gie de s\u00e9curit\u00e9 plus compl\u00e8te qui inclut \u00e9galement l’analyse comportementale, l’apprentissage automatique et d’autres techniques modernes est essentielle. <\/p>\n
Pourquoi les outils NDR sont si importants<\/h2>\n
Les solutions IDS bas\u00e9es sur les anomalies sont comme des d\u00e9tectives qui surveillent le comportement normal d’un syst\u00e8me et d\u00e9clenchent l’alarme lorsqu’ils d\u00e9tectent une activit\u00e9 inhabituelle. Outils de d\u00e9tection et de r\u00e9ponse r\u00e9seau (NDR)<\/a> Ils vont m\u00eame plus loin : ils s’adaptent en permanence pour garder une longueur d’avance sur l’\u00e9volution du paysage des cybermenaces et offrent un niveau de s\u00e9curit\u00e9 nettement sup\u00e9rieur aux approches traditionnelles bas\u00e9es sur les signatures gr\u00e2ce \u00e0 leur analyse et leur int\u00e9gration avanc\u00e9es. Ils sont capables de d\u00e9tecter et de se d\u00e9fendre contre les menaces connues et inconnues.<\/p>\n![\"Obscurcissement\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1722513121_390_Obfuscation-il-y-a-deux-cotes-a-toute-chose.png\" "\\"Obscurcissement\\"\/")
<\/a><\/div>\nVoici comment ils le font\u00a0: <\/strong><\/h3>\n\n- Analyse comportementale :<\/b> Outils NDR<\/a> Ils surveillent le trafic r\u00e9seau et analysent les comportements. Ils d\u00e9tectent des sch\u00e9mas inhabituels qui pourraient indiquer une communication de commande et de contr\u00f4le (C&C), comme des transferts de donn\u00e9es irr\u00e9guliers.<\/li>\n
- Surveillance du protocole : <\/b>Ils examinent les requ\u00eates HTTP, le trafic DNS et d\u2019autres protocoles pour d\u00e9tecter tout comportement ou communication suspect pouvant \u00eatre associ\u00e9 \u00e0 des logiciels malveillants obscurcis.<\/li>\n
- Analyse des m\u00e9tadonn\u00e9es : <\/b>Les outils NDR analysent les m\u00e9tadonn\u00e9es pour d\u00e9tecter des mod\u00e8les inhabituels indiquant une activit\u00e9 suspecte. Les mod\u00e8les d’apprentissage automatique aident \u00e0 identifier les techniques d’obscurcissement typiques qui sont visibles \u00e0 travers un comportement suspect dans le trafic r\u00e9seau.<\/li>\n
- Suivi de la communication \u00e0 long terme : <\/b>L’obscurcissement des communications \u00e9tant d\u00e9sormais crucial pour les pirates informatiques, qui adoptent des techniques plus lentes et plus furtives pour \u00e9chapper \u00e0 la d\u00e9tection et collecter des donn\u00e9es \u00e0 l’int\u00e9rieur et \u00e0 l’ext\u00e9rieur des r\u00e9seaux, il est utile que NDR examine \u00e9galement des p\u00e9riodes de temps plus longues, par exemple 3 jours, en plus de sa capacit\u00e9 \u00e0 effectuer des ex\u00e9cutions par lots, par exemple en quelques minutes, afin d’avoir des valeurs comparatives et de surveiller et d\u00e9tecter les irr\u00e9gularit\u00e9s. De plus, les alertes en temps r\u00e9el entra\u00eeneraient un grand nombre d’alertes si une analyse avec un ping est d\u00e9tect\u00e9e toutes les minutes environ. Mais chaque ping est-il une attaque ? Certainement pas !<\/li>\n
- Mitre ATT&CK et ZEEK<\/b>:Ces protocoles fournissent des informations pr\u00e9cieuses sur les menaces qui utilisent l’obfuscation. Leur int\u00e9gration avec les outils NDR am\u00e9liore consid\u00e9rablement les capacit\u00e9s de d\u00e9tection des menaces.<\/li>\n
- Partage des donn\u00e9es sur les menaces :<\/b> Les outils NDR partagent les donn\u00e9es sur les menaces avec d’autres solutions de s\u00e9curit\u00e9. Cela permet une d\u00e9tection plus rapide des techniques d’obscurcissement connues et des comportements suspects. L’int\u00e9gration avec les outils EDR leur permet de corr\u00e9ler les activit\u00e9s suspectes sur les terminaux avec le trafic r\u00e9seau, ce qui am\u00e9liore consid\u00e9rablement l’analyse de s\u00e9curit\u00e9.<\/li>\n<\/ul>\n
![\"pourquoi](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1722513122_885_Obfuscation-il-y-a-deux-cotes-a-toute-chose.png\" "\\"pourquoi")
<\/a><\/div>\nPour en savoir plus sur pourquoi le NDR est un outil de s\u00e9curit\u00e9 crucial<\/strong> et comment il d\u00e9tecte m\u00eame les menaces les plus avanc\u00e9es et les formes complexes d’obfuscation, T\u00e9l\u00e9chargez notre livre blanc<\/a> sur la d\u00e9tection des menaces persistantes avanc\u00e9es (APT).<\/p>\nPour voir comment NDR agit dans votre r\u00e9seau d’entreprise et pr\u00e9cis\u00e9ment comment il d\u00e9tecte et r\u00e9pond aux APT, Regardez notre vid\u00e9o enregistr\u00e9e sur la d\u00e9tection d’APT<\/a>.<\/p>\n
![\"Obscurcissement\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Obfuscation-il-y-a-deux-cotes-a-toute-chose.png\" "\\"Obscurcissement\\"\/")
<\/a><\/div>\nL’obscurcissement du code n’est, comme nous l’avons vu, que la premi\u00e8re \u00e9tape, car quel que soit le travail que le pirate d\u00e9ploie pour obscurcir le code afin de contourner l’EDR, le malware doit communiquer au sein du r\u00e9seau et avec le monde ext\u00e9rieur pour r\u00e9ussir. Cela signifie que la communication doit \u00e9galement \u00eatre obscurcie. Contrairement au pass\u00e9, o\u00f9 les r\u00e9seaux \u00e9taient scann\u00e9s rapidement et o\u00f9 l’on tentait imm\u00e9diatement d’extraire des donn\u00e9es de l’ordre du t\u00e9raoctet, les attaquants communiquent aujourd’hui plus discr\u00e8tement afin que les capteurs et les commutateurs des outils de surveillance ne se d\u00e9clenchent pas. <\/p>\n
L’objectif consistant \u00e0 obtenir des adresses IP par scan, par exemple, est d\u00e9sormais poursuivi plus lentement pour rester sous le radar. La reconnaissance, par laquelle les acteurs malveillants tentent de collecter des donn\u00e9es sur leurs victimes cibl\u00e9es, par exemple via leur architecture r\u00e9seau, devient \u00e9galement plus lente et plus obscure.<\/p>\n
Une m\u00e9thode d’obscurcissement courante est la m\u00e9thode OU exclusif (XOR). Cette m\u00e9thode masque les donn\u00e9es de telle mani\u00e8re qu’elles ne peuvent \u00eatre lues que par les personnes qui lient le code avec 0x55 XOR. ROT13 est une autre astuce dans laquelle les lettres sont remplac\u00e9es par un code.<\/p>\n
Explosions du pass\u00e9 :<\/strong><\/h3>\n\n- Un exemple bien connu d\u2019obfuscation est l\u2019attaque SolarWinds en 2020. Les pirates ont utilis\u00e9 l\u2019obfuscation pour contourner les d\u00e9fenses et masquer leurs attaques. <\/li>\n
- PowerShell, un outil Microsoft Windows utilis\u00e9 \u00e0 mauvais escient par les pirates, est un autre exemple int\u00e9ressant. Les logiciels malveillants qui utilisent PowerShell masquent leurs activit\u00e9s gr\u00e2ce \u00e0 des techniques telles que le codage de cha\u00eenes, l’obscurcissement des commandes, l’ex\u00e9cution de code dynamique, etc. <\/li>\n
- L’attaque XLS.HTML est un autre exemple. Les pirates ont utilis\u00e9 des techniques d’obscurcissement \u00e9labor\u00e9es pour dissimuler leurs activit\u00e9s malveillantes. Ils ont modifi\u00e9 leurs m\u00e9thodes de chiffrement au moins dix fois en un an pour \u00e9viter d’\u00eatre d\u00e9tect\u00e9s. Leurs tactiques comprenaient le texte brut, le codage d’\u00e9chappement, le codage Base64 et m\u00eame le code Morse.<\/li>\n
- Dans une autre menace, les attaquants ont exploit\u00e9 des vuln\u00e9rabilit\u00e9s dans ThinkPHP pour ex\u00e9cuter du code \u00e0 distance sur des serveurs. Ils ont install\u00e9 un shell Web masqu\u00e9 appel\u00e9 \u00ab Dama \u00bb qui permettait un acc\u00e8s permanent et de nouvelles attaques.<\/li>\n<\/ul>\n
Pourquoi vous ne devriez pas vous fier uniquement aux signatures<\/h2>\n
La d\u00e9tection bas\u00e9e sur les signatures est comme un vieil ami : elle est fiable lorsqu’il s’agit de menaces connues. Mais lorsqu’il s’agit de menaces nouvelles et inconnues, elle peut parfois \u00eatre dans l’ignorance. Voici quelques raisons pour lesquelles vous ne devriez pas vous fier uniquement aux signatures : <\/p>\n
\n- Les auteurs de programmes malveillants sont de v\u00e9ritables ma\u00eetres dans l’art de cacher et de chercher. Ils utilisent diverses techniques pour dissimuler leurs programmes malveillants. M\u00eame de petites modifications du code peuvent entra\u00eener l’\u00e9chec de la d\u00e9tection des signatures. <\/li>\n
- Dans le cas des malwares polymorphes, les malwares se comportent comme des cam\u00e9l\u00e9ons. Ils modifient constamment leur structure pour \u00e9viter d’\u00eatre d\u00e9tect\u00e9s. Chaque fois qu’ils sont ex\u00e9cut\u00e9s, le code a une apparence diff\u00e9rente. <\/li>\n
- Des signatures statiques ? Pas de chance ! Les malwares m\u00e9tamorphiques sont encore plus d\u00e9licats. Ils s’adaptent pendant l’ex\u00e9cution et modifient leur code de mani\u00e8re dynamique, ce qui les rend presque impossibles \u00e0 d\u00e9tecter avec des signatures statiques. <\/li>\n
- De plus, les exploits zero-day se comportent comme les \u00ab nouveaux venus \u00bb : ils sont r\u00e9cents et inconnus, et les syst\u00e8mes bas\u00e9s sur les signatures n\u2019ont aucune chance de les reconna\u00eetre. <\/li>\n
- De plus, lorsqu’une solution bas\u00e9e sur les signatures renvoie trop de faux positifs, elle devient inefficace. Trop de fausses alertes dans les activit\u00e9s quotidiennes affectent votre \u00e9quipe de s\u00e9curit\u00e9 et gaspillent des ressources pr\u00e9cieuses.<\/li>\n<\/ol>\n
En bref, la d\u00e9tection de signature, par exemple dans un EDR, est un outil utile, mais elle ne suffit pas \u00e0 elle seule \u00e0 repousser toutes les menaces. Une strat\u00e9gie de s\u00e9curit\u00e9 plus compl\u00e8te qui inclut \u00e9galement l’analyse comportementale, l’apprentissage automatique et d’autres techniques modernes est essentielle. <\/p>\n
Pourquoi les outils NDR sont si importants<\/h2>\n
Les solutions IDS bas\u00e9es sur les anomalies sont comme des d\u00e9tectives qui surveillent le comportement normal d’un syst\u00e8me et d\u00e9clenchent l’alarme lorsqu’ils d\u00e9tectent une activit\u00e9 inhabituelle. Outils de d\u00e9tection et de r\u00e9ponse r\u00e9seau (NDR)<\/a> Ils vont m\u00eame plus loin : ils s’adaptent en permanence pour garder une longueur d’avance sur l’\u00e9volution du paysage des cybermenaces et offrent un niveau de s\u00e9curit\u00e9 nettement sup\u00e9rieur aux approches traditionnelles bas\u00e9es sur les signatures gr\u00e2ce \u00e0 leur analyse et leur int\u00e9gration avanc\u00e9es. Ils sont capables de d\u00e9tecter et de se d\u00e9fendre contre les menaces connues et inconnues.<\/p>\n<\/a><\/div>\nVoici comment ils le font\u00a0: <\/strong><\/h3>\n\n- Analyse comportementale :<\/b> Outils NDR<\/a> Ils surveillent le trafic r\u00e9seau et analysent les comportements. Ils d\u00e9tectent des sch\u00e9mas inhabituels qui pourraient indiquer une communication de commande et de contr\u00f4le (C&C), comme des transferts de donn\u00e9es irr\u00e9guliers.<\/li>\n
- Surveillance du protocole : <\/b>Ils examinent les requ\u00eates HTTP, le trafic DNS et d\u2019autres protocoles pour d\u00e9tecter tout comportement ou communication suspect pouvant \u00eatre associ\u00e9 \u00e0 des logiciels malveillants obscurcis.<\/li>\n
- Analyse des m\u00e9tadonn\u00e9es : <\/b>Les outils NDR analysent les m\u00e9tadonn\u00e9es pour d\u00e9tecter des mod\u00e8les inhabituels indiquant une activit\u00e9 suspecte. Les mod\u00e8les d’apprentissage automatique aident \u00e0 identifier les techniques d’obscurcissement typiques qui sont visibles \u00e0 travers un comportement suspect dans le trafic r\u00e9seau.<\/li>\n
- Suivi de la communication \u00e0 long terme : <\/b>L’obscurcissement des communications \u00e9tant d\u00e9sormais crucial pour les pirates informatiques, qui adoptent des techniques plus lentes et plus furtives pour \u00e9chapper \u00e0 la d\u00e9tection et collecter des donn\u00e9es \u00e0 l’int\u00e9rieur et \u00e0 l’ext\u00e9rieur des r\u00e9seaux, il est utile que NDR examine \u00e9galement des p\u00e9riodes de temps plus longues, par exemple 3 jours, en plus de sa capacit\u00e9 \u00e0 effectuer des ex\u00e9cutions par lots, par exemple en quelques minutes, afin d’avoir des valeurs comparatives et de surveiller et d\u00e9tecter les irr\u00e9gularit\u00e9s. De plus, les alertes en temps r\u00e9el entra\u00eeneraient un grand nombre d’alertes si une analyse avec un ping est d\u00e9tect\u00e9e toutes les minutes environ. Mais chaque ping est-il une attaque ? Certainement pas !<\/li>\n
- Mitre ATT&CK et ZEEK<\/b>:Ces protocoles fournissent des informations pr\u00e9cieuses sur les menaces qui utilisent l’obfuscation. Leur int\u00e9gration avec les outils NDR am\u00e9liore consid\u00e9rablement les capacit\u00e9s de d\u00e9tection des menaces.<\/li>\n
- Partage des donn\u00e9es sur les menaces :<\/b> Les outils NDR partagent les donn\u00e9es sur les menaces avec d’autres solutions de s\u00e9curit\u00e9. Cela permet une d\u00e9tection plus rapide des techniques d’obscurcissement connues et des comportements suspects. L’int\u00e9gration avec les outils EDR leur permet de corr\u00e9ler les activit\u00e9s suspectes sur les terminaux avec le trafic r\u00e9seau, ce qui am\u00e9liore consid\u00e9rablement l’analyse de s\u00e9curit\u00e9.<\/li>\n<\/ul>\n<\/a><\/div>\n
Pour en savoir plus sur pourquoi le NDR est un outil de s\u00e9curit\u00e9 crucial<\/strong> et comment il d\u00e9tecte m\u00eame les menaces les plus avanc\u00e9es et les formes complexes d’obfuscation, T\u00e9l\u00e9chargez notre livre blanc<\/a> sur la d\u00e9tection des menaces persistantes avanc\u00e9es (APT).<\/p>\nPour voir comment NDR agit dans votre r\u00e9seau d’entreprise et pr\u00e9cis\u00e9ment comment il d\u00e9tecte et r\u00e9pond aux APT, Regardez notre vid\u00e9o enregistr\u00e9e sur la d\u00e9tection d’APT<\/a>.<\/p>\n
Pourquoi vous ne devriez pas vous fier uniquement aux signatures<\/h2>\n
La d\u00e9tection bas\u00e9e sur les signatures est comme un vieil ami : elle est fiable lorsqu’il s’agit de menaces connues. Mais lorsqu’il s’agit de menaces nouvelles et inconnues, elle peut parfois \u00eatre dans l’ignorance. Voici quelques raisons pour lesquelles vous ne devriez pas vous fier uniquement aux signatures : <\/p>\n
- \n
- Les auteurs de programmes malveillants sont de v\u00e9ritables ma\u00eetres dans l’art de cacher et de chercher. Ils utilisent diverses techniques pour dissimuler leurs programmes malveillants. M\u00eame de petites modifications du code peuvent entra\u00eener l’\u00e9chec de la d\u00e9tection des signatures. <\/li>\n
- Dans le cas des malwares polymorphes, les malwares se comportent comme des cam\u00e9l\u00e9ons. Ils modifient constamment leur structure pour \u00e9viter d’\u00eatre d\u00e9tect\u00e9s. Chaque fois qu’ils sont ex\u00e9cut\u00e9s, le code a une apparence diff\u00e9rente. <\/li>\n
- Des signatures statiques ? Pas de chance ! Les malwares m\u00e9tamorphiques sont encore plus d\u00e9licats. Ils s’adaptent pendant l’ex\u00e9cution et modifient leur code de mani\u00e8re dynamique, ce qui les rend presque impossibles \u00e0 d\u00e9tecter avec des signatures statiques. <\/li>\n
- De plus, les exploits zero-day se comportent comme les \u00ab nouveaux venus \u00bb : ils sont r\u00e9cents et inconnus, et les syst\u00e8mes bas\u00e9s sur les signatures n\u2019ont aucune chance de les reconna\u00eetre. <\/li>\n
- De plus, lorsqu’une solution bas\u00e9e sur les signatures renvoie trop de faux positifs, elle devient inefficace. Trop de fausses alertes dans les activit\u00e9s quotidiennes affectent votre \u00e9quipe de s\u00e9curit\u00e9 et gaspillent des ressources pr\u00e9cieuses.<\/li>\n<\/ol>\n
En bref, la d\u00e9tection de signature, par exemple dans un EDR, est un outil utile, mais elle ne suffit pas \u00e0 elle seule \u00e0 repousser toutes les menaces. Une strat\u00e9gie de s\u00e9curit\u00e9 plus compl\u00e8te qui inclut \u00e9galement l’analyse comportementale, l’apprentissage automatique et d’autres techniques modernes est essentielle. <\/p>\n
Pourquoi les outils NDR sont si importants<\/h2>\n
Les solutions IDS bas\u00e9es sur les anomalies sont comme des d\u00e9tectives qui surveillent le comportement normal d’un syst\u00e8me et d\u00e9clenchent l’alarme lorsqu’ils d\u00e9tectent une activit\u00e9 inhabituelle. Outils de d\u00e9tection et de r\u00e9ponse r\u00e9seau (NDR)<\/a> Ils vont m\u00eame plus loin : ils s’adaptent en permanence pour garder une longueur d’avance sur l’\u00e9volution du paysage des cybermenaces et offrent un niveau de s\u00e9curit\u00e9 nettement sup\u00e9rieur aux approches traditionnelles bas\u00e9es sur les signatures gr\u00e2ce \u00e0 leur analyse et leur int\u00e9gration avanc\u00e9es. Ils sont capables de d\u00e9tecter et de se d\u00e9fendre contre les menaces connues et inconnues.<\/p>\n
<\/a><\/div>\nVoici comment ils le font\u00a0: <\/strong><\/h3>\n
- \n
- Analyse comportementale :<\/b> Outils NDR<\/a> Ils surveillent le trafic r\u00e9seau et analysent les comportements. Ils d\u00e9tectent des sch\u00e9mas inhabituels qui pourraient indiquer une communication de commande et de contr\u00f4le (C&C), comme des transferts de donn\u00e9es irr\u00e9guliers.<\/li>\n
- Surveillance du protocole : <\/b>Ils examinent les requ\u00eates HTTP, le trafic DNS et d\u2019autres protocoles pour d\u00e9tecter tout comportement ou communication suspect pouvant \u00eatre associ\u00e9 \u00e0 des logiciels malveillants obscurcis.<\/li>\n
- Analyse des m\u00e9tadonn\u00e9es : <\/b>Les outils NDR analysent les m\u00e9tadonn\u00e9es pour d\u00e9tecter des mod\u00e8les inhabituels indiquant une activit\u00e9 suspecte. Les mod\u00e8les d’apprentissage automatique aident \u00e0 identifier les techniques d’obscurcissement typiques qui sont visibles \u00e0 travers un comportement suspect dans le trafic r\u00e9seau.<\/li>\n
- Suivi de la communication \u00e0 long terme : <\/b>L’obscurcissement des communications \u00e9tant d\u00e9sormais crucial pour les pirates informatiques, qui adoptent des techniques plus lentes et plus furtives pour \u00e9chapper \u00e0 la d\u00e9tection et collecter des donn\u00e9es \u00e0 l’int\u00e9rieur et \u00e0 l’ext\u00e9rieur des r\u00e9seaux, il est utile que NDR examine \u00e9galement des p\u00e9riodes de temps plus longues, par exemple 3 jours, en plus de sa capacit\u00e9 \u00e0 effectuer des ex\u00e9cutions par lots, par exemple en quelques minutes, afin d’avoir des valeurs comparatives et de surveiller et d\u00e9tecter les irr\u00e9gularit\u00e9s. De plus, les alertes en temps r\u00e9el entra\u00eeneraient un grand nombre d’alertes si une analyse avec un ping est d\u00e9tect\u00e9e toutes les minutes environ. Mais chaque ping est-il une attaque ? Certainement pas !<\/li>\n
- Mitre ATT&CK et ZEEK<\/b>:Ces protocoles fournissent des informations pr\u00e9cieuses sur les menaces qui utilisent l’obfuscation. Leur int\u00e9gration avec les outils NDR am\u00e9liore consid\u00e9rablement les capacit\u00e9s de d\u00e9tection des menaces.<\/li>\n
- Partage des donn\u00e9es sur les menaces :<\/b> Les outils NDR partagent les donn\u00e9es sur les menaces avec d’autres solutions de s\u00e9curit\u00e9. Cela permet une d\u00e9tection plus rapide des techniques d’obscurcissement connues et des comportements suspects. L’int\u00e9gration avec les outils EDR leur permet de corr\u00e9ler les activit\u00e9s suspectes sur les terminaux avec le trafic r\u00e9seau, ce qui am\u00e9liore consid\u00e9rablement l’analyse de s\u00e9curit\u00e9.<\/li>\n<\/ul>\n
<\/a><\/div>\nPour en savoir plus sur pourquoi le NDR est un outil de s\u00e9curit\u00e9 crucial<\/strong> et comment il d\u00e9tecte m\u00eame les menaces les plus avanc\u00e9es et les formes complexes d’obfuscation, T\u00e9l\u00e9chargez notre livre blanc<\/a> sur la d\u00e9tection des menaces persistantes avanc\u00e9es (APT).<\/p>\n
Pour voir comment NDR agit dans votre r\u00e9seau d’entreprise et pr\u00e9cis\u00e9ment comment il d\u00e9tecte et r\u00e9pond aux APT, Regardez notre vid\u00e9o enregistr\u00e9e sur la d\u00e9tection d’APT<\/a>.<\/p>\n
- Surveillance du protocole : <\/b>Ils examinent les requ\u00eates HTTP, le trafic DNS et d\u2019autres protocoles pour d\u00e9tecter tout comportement ou communication suspect pouvant \u00eatre associ\u00e9 \u00e0 des logiciels malveillants obscurcis.<\/li>\n
- Analyse comportementale :<\/b> Outils NDR<\/a> Ils surveillent le trafic r\u00e9seau et analysent les comportements. Ils d\u00e9tectent des sch\u00e9mas inhabituels qui pourraient indiquer une communication de commande et de contr\u00f4le (C&C), comme des transferts de donn\u00e9es irr\u00e9guliers.<\/li>\n