{"id":96005,"date":"2019-01-03T01:00:14","date_gmt":"2019-01-03T09:00:14","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=96005"},"modified":"2018-12-17T06:04:21","modified_gmt":"2018-12-17T14:04:21","slug":"defense-par-couche-les-raisons-pour-lesquelles-vous-avez-besoin-dune-analyse-statique-dune-analyse-dynamique-et-du-machine-learning","status":"publish","type":"post","link":"https:\/\/www2.paloaltonetworks.com\/blog\/2019\/01\/defense-par-couche-les-raisons-pour-lesquelles-vous-avez-besoin-dune-analyse-statique-dune-analyse-dynamique-et-du-machine-learning\/?lang=fr","title":{"rendered":"D\u00c9FENSE PAR COUCHE : Les raisons pour lesquelles vous avez besoin d'une analyse statique, d'une analyse dynamique et du machine learning"},"content":{"rendered":"

En mati\u00e8re de s\u00e9curit\u00e9, les solutions ponctuelles portent bien leur nom\u00a0: elles se concentrent sur un seul point pour intervenir d'un bout \u00e0 l'autre du\u00a0cycle de vie de l'attaque<\/a>. M\u00eame si cette solution de s\u00e9curit\u00e9 offre un taux de r\u00e9ussite de 90\u00a0%, il reste cependant 1\u00a0chance sur\u00a010 qu'elle ne parvienne pas \u00e0 arr\u00eater la progression de l'attaque au-del\u00e0 de ce point. Afin d'am\u00e9liorer les probabilit\u00e9s d'arr\u00eat r\u00e9ussi des cyberattaques, les entreprises ne peuvent pas compter sur des solutions ponctuelles. Elles doivent mettre en place des couches de d\u00e9fense couvrant plusieurs points d'interception. Cumuler des techniques efficaces augmente en effet l'efficacit\u00e9 globale des solutions de s\u00e9curit\u00e9, ce qui permet de briser le cycle de vie de l'attaque au niveau de plusieurs points.<\/p>\n

Ci-dessous sont expliqu\u00e9es les trois m\u00e9thodes d'identification des menaces qui, combin\u00e9es, peuvent emp\u00eacher la r\u00e9ussite des cyberattaques\u00a0:<\/p>\n

 <\/p>\n

Analyse dynamique<\/h3>\n

Le seul outil pouvant d\u00e9tecter une menace de type \u00ab\u00a0zero-day\u00a0\u00bb<\/strong><\/p>\n

Dans le cadre d'une analyse dynamique, un fichier suspect est \u00ab\u00a0d\u00e9tonn\u00e9\u00a0\u00bb dans une machine virtuelle, comme par exemple dans un environnement d'analyse des malwares, et analys\u00e9 afin de comprendre ses actions. Le fichier est class\u00e9 selon ce qu'il effectue lors de son ex\u00e9cution, plut\u00f4t que selon les signatures d'identification des menaces. Cela permet \u00e0 l'analyse dynamique d'identifier des menaces qui ne ressemblent \u00e0 rien de connu jusqu'\u00e0 pr\u00e9sent.<\/p>\n

Pour obtenir les r\u00e9sultats les plus pr\u00e9cis possibles, l'\u00e9chantillon doit disposer d'un acc\u00e8s total \u00e0 Internet, comme le ferait un terminal normal au sein d\u2019un r\u00e9seau d'entreprise, car les menaces requi\u00e8rent souvent une commande et un contr\u00f4le pour \u00e9clore totalement. \u00c0 titre de m\u00e9canisme de pr\u00e9vention, l'analyse du malware peut emp\u00eacher ce dernier d'acc\u00e9der \u00e0 Internet et va simuler des r\u00e9ponses pour tenter de tromper la menace et la pousser \u00e0 se r\u00e9v\u00e9ler au grand jour. Toutefois, cela peut ne pas \u00eatre fiable et ne constitue pas une v\u00e9ritable substitution \u00e0 l'acc\u00e8s \u00e0 Internet.<\/p>\n

Les environnements d'analyse des programmes malveillants sont reconnaissables et le processus est chronophage.<\/strong><\/p>\n

Pour \u00e9chapper \u00e0 la d\u00e9tection, les pirates vont tenter de d\u00e9terminer si l'attaque est ex\u00e9cut\u00e9e dans un environnement d'analyse des malwares en \u00e9tablissant le profil du r\u00e9seau. Ils recherchent des indicateurs r\u00e9v\u00e9lant que le malware se trouve en fait dans un environnement virtuel, comme une d\u00e9tonation \u00e0 des horaires similaires ou par les m\u00eames adresses\u00a0IP, l'absence d'activit\u00e9 valide de l'utilisateur, comme des frappes sur le clavier ou des mouvements de la souris, ou une technologie de virtualisation, comme des volumes importants d'espace disque. S'il est \u00e9tabli que le programme est ex\u00e9cut\u00e9 dans un environnement d'analyse des malwares, le pirate mettra alors fin \u00e0 son attaque. Cela signifie que les r\u00e9sultats sont susceptibles d'\u00eatre erron\u00e9s dans l'analyse. Par exemple, si l'\u00e9chantillon t\u00e9l\u00e9phone au domicile pendant le processus de d\u00e9tonation, mais que l'op\u00e9ration \u00e9choue parce que le pirate a identifi\u00e9 l'analyse du malware, l'\u00e9chantillon n'effectue aucune action malveillante et l'analyse n'identifie aucune menace. De la m\u00eame mani\u00e8re, si la menace n\u00e9cessite qu'un \u00e9l\u00e9ment logiciel particulier soit ex\u00e9cut\u00e9 dans une version sp\u00e9cifique, elle n'effectue aucune action identifiable comme \u00e9tant malveillante dans l'environnement d'analyse des malwares.<\/p>\n

Plusieurs minutes peuvent \u00eatre n\u00e9cessaires pour g\u00e9n\u00e9rer une machine virtuelle, y ins\u00e9rer le fichier, observer ses actions, d\u00e9truire la machine et analyser les r\u00e9sultats. Bien que l'analyse dynamique soit la m\u00e9thode la plus ch\u00e8re et la plus chronophage, elle est \u00e9galement la seule capable de d\u00e9tecter efficacement les menaces inconnues et de type \u00ab\u00a0zero-day\u00a0\u00bb.<\/p>\n

 <\/p>\n

Analyse statique<\/h3>\n

R\u00e9sultats rapides et aucun besoin d'analyse<\/strong><\/p>\n

Contrairement \u00e0 l'analyse dynamique, l'analyse statique v\u00e9rifie le contenu d'un fichier sp\u00e9cifique tel qu'il existe sur un disque, et non tel qu'il est d\u00e9ton\u00e9. Elle analyse les donn\u00e9es, extrait des sch\u00e9mas, attributs et art\u00e9facts et signale les anomalies.<\/p>\n

L'analyse statique est r\u00e9sistante aux probl\u00e8mes que l'analyse dynamique pr\u00e9sente. Elle est extr\u00eamement efficace (dure seulement une fraction de seconde) et bien plus rentable. L'analyse statique peut \u00e9galement fonctionner avec n'importe quel fichier, car aucun environnement ou exigence sp\u00e9cifique ne n\u00e9cessite d'\u00eatre adapt\u00e9 et aucune communication n'est n\u00e9cessaire \u00e0 partir du fichier pour r\u00e9aliser l'analyse.<\/p>\n

Perte de visibilit\u00e9 avec les fichiers compress\u00e9s<\/strong><\/p>\n

Toutefois, un malware peut \u00e9chapper relativement facilement \u00e0 l'analyse statique si le fichier est compress\u00e9. Alors que les fichiers compress\u00e9s fonctionnent parfaitement avec l'analyse dynamique, la visibilit\u00e9 du fichier en cours est perdue pendant l'analyse statique, car la recompression de l'\u00e9chantillon parasite l'int\u00e9gralit\u00e9 du fichier. Ce qui peut \u00eatre extrait de mani\u00e8re statique est alors proche de z\u00e9ro.<\/p>\n

 <\/p>\n

Machine learning<\/h3>\n

Regroupement de nouvelles versions de menaces avec des menaces connues, selon leur comportement<\/strong><\/p>\n

Au lieu d'appliquer une correspondance avec un sch\u00e9ma sp\u00e9cifique ou de d\u00e9toner un fichier, le machine learning analyse le fichier et extrait des milliers de caract\u00e9ristiques. Celles-ci sont ex\u00e9cut\u00e9es dans un classifieur, \u00e9galement appel\u00e9 vecteur de caract\u00e9ristiques, afin de d\u00e9terminer si le fichier est malveillant ou non, en se basant sur les identifiants connus. Cette m\u00e9thode ne recherche pas un \u00e9l\u00e9ment sp\u00e9cifique. Si une caract\u00e9ristique du fichier se comporte comme un groupe de fichiers pr\u00e9c\u00e9demment \u00e9valu\u00e9, la machine marque ce fichier comme faisant partie du groupe. Pour que le machine learning soit efficace, des ensembles de verdicts positifs ou n\u00e9gatifs, con\u00e7us \u00e0 des fins de formation, sont n\u00e9cessaires et l'ajout de nouvelles donn\u00e9es ou caract\u00e9ristiques permet d'am\u00e9liorer le processus et de r\u00e9duire le taux de faux positifs.<\/p>\n

Le machine learning compense pour les carences des analyses dynamiques et statiques. Un \u00e9chantillon inerte, qui ne peut \u00eatre d\u00e9ton\u00e9, qui est bloqu\u00e9 par une compression, qui ne poss\u00e8de pas de commande et de contr\u00f4le ou qui n'est pas fiable peut toujours \u00eatre identifi\u00e9 comme malveillant gr\u00e2ce au machine learning. Si de nombreuses versions d'une menace donn\u00e9e ont \u00e9t\u00e9 examin\u00e9es et regroup\u00e9es, et qu'un \u00e9chantillon pr\u00e9sente des caract\u00e9ristiques semblables \u00e0 celles du groupe, la machine suppose que l'\u00e9chantillon appartient au groupe et le marque comme \u00e9tant malveillant en quelques secondes.<\/p>\n

Uniquement capable de d\u00e9tecter davantage de menaces d\u00e9j\u00e0 connues<\/strong><\/p>\n

Comme les deux autres m\u00e9thodes, le machine doit \u00eatre consid\u00e9r\u00e9 comme un outil pr\u00e9sentant de nombreux avantages, mais \u00e9galement quelques inconv\u00e9nients. En effet, son mod\u00e8le se base uniquement sur des identifiants connus. Contrairement \u00e0 l'analyse dynamique, le machine learning ne d\u00e9couvre jamais d'\u00e9l\u00e9ments v\u00e9ritablement inconnus ou originaux. Si elle d\u00e9couvre une menace qui ne ressemble \u00e0 rien de ce qu'elle a observ\u00e9 jusqu'\u00e0 pr\u00e9sent, la machine ne la signale pas, car elle est uniquement form\u00e9e \u00e0 d\u00e9tecter davantage d'\u00e9l\u00e9ments d\u00e9j\u00e0 connus.<\/p>\n

Techniques multicouches dans une plateforme<\/strong><\/p>\n

Pour d\u00e9jouer n'importe quelle attaque qu'un pirate ing\u00e9nieux peut vous lancer, vous devez avoir en main plus qu'une pi\u00e8ce du puzzle. Vous avez besoin de techniques multicouches, un concept qui \u00e9tait auparavant une solution multifournisseurs. Bien que la d\u00e9fense en profondeur soit toujours appropri\u00e9e et pertinente, elle doit \u00e9voluer au-del\u00e0 des solutions ponctuelles multifournisseurs et devenir une plateforme int\u00e9grant l'analyse statique, l'analyse dynamique et le machine learning. Ces trois m\u00e9thodes combin\u00e9es peuvent r\u00e9aliser la d\u00e9fense en profondeur par le biais de couches de solutions int\u00e9gr\u00e9es.<\/p>\n

 <\/p>\n

Palo Alto Networks Security Operating Platform<\/a>\u00a0est int\u00e9gr\u00e9 \u00e0 WildFire, le service d'analyse des menaces bas\u00e9 sur le cloud, pour fournir des renseignements relatifs aux menaces qui soient concrets et qui correspondent au contexte des composants, afin d'assurer une activation s\u00fbre sur le r\u00e9seau, le terminal et le cloud. WildFire combine un moteur d'analyse dynamique con\u00e7u sur mesure, l'analyse statique, le machine learning et une analyse sans syst\u00e8me d'exploitation pour des techniques avanc\u00e9es de pr\u00e9vention des menaces. Tandis que de nombreux environnements d'analyse des malwares utilisent la technologie libre, WildFire a supprim\u00e9 toute virtualisation libre dans le moteur d'analyse dynamique et l'a remplac\u00e9e par un environnement virtuel int\u00e9gralement con\u00e7u. Les pirates doivent ainsi cr\u00e9er des menaces totalement uniques pour \u00e9chapper \u00e0 la d\u00e9tection dans WildFire, diff\u00e9rentes des techniques utilis\u00e9es contre d'autres fournisseurs de cybers\u00e9curit\u00e9. Pour le faible pourcentage d'attaques r\u00e9ussissant \u00e0 \u00e9chapper aux trois premi\u00e8res couches de d\u00e9fense de WildFire, \u00e0 savoir l'analyse dynamique, l'analyse statique et le machine learning, des fichiers affichant le comportement d'\u00e9vasion sont dirig\u00e9s de mani\u00e8re dynamique vers un environnement sans syst\u00e8me d'exploitation pour une ex\u00e9cution mat\u00e9rielle compl\u00e8te.<\/p>\n

Au sein de la plateforme, ces techniques fonctionnent ensemble de mani\u00e8re non lin\u00e9aire. Cela signifie que si une technique identifie un fichier comme \u00e9tant malveillant, il est marqu\u00e9 en tant que tel dans toute la plateforme afin d'adopter une approche multicouche qui am\u00e9liore la s\u00e9curit\u00e9 de toutes les autres fonctions.<\/p>\n","protected":false},"excerpt":{"rendered":"

En mati\u00e8re de s\u00e9curit\u00e9, les solutions ponctuelles portent bien leur nom\u00a0: elles se concentrent sur un seul point pour intervenir d'un bout \u00e0 l'autre du\u00a0cycle de vie de l'attaque. M\u00eame si cette …<\/p>\n","protected":false},"author":40,"featured_media":28548,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[3546],"tags":[],"coauthors":[716],"class_list":["post-96005","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-classifiee"],"jetpack_featured_media_url":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-content\/uploads\/2017\/04\/Cyberpedia-social-ad-linkedin-520x320.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/96005","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/comments?post=96005"}],"version-history":[{"count":1,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/96005\/revisions"}],"predecessor-version":[{"id":96006,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/96005\/revisions\/96006"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media\/28548"}],"wp:attachment":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media?parent=96005"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/categories?post=96005"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/tags?post=96005"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/coauthors?post=96005"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}