La Surveillance du système devient plus sophistiquée

21 Sep 2016

Les solutions de sécurité doivent être capables d’accomplir deux fonctions essentielles : la prévention, et si nécessaire, la réparation. Le tout dernier brevet de Kaspersky Lab est une technologie qui rend ces deux fonctions encore plus efficaces.

L’approche la plus commune de prévention est de suivre ce qui se passe sur votre ordinateur, et de neutraliser de dangereux objets. Si le programme de sécurité détecte un cheval de Troie, un e-mail d’hameçonnage, un spam ou un site web malveillant, il fait de son mieux pour protéger l’utilisateur.

under-the-hood-featured

Lorsque la prévention échoue, la solution de sécurité doit traiter un ordinateur infecté. Nettoyer un système infecté n’est pas seulement une question de supprimer un mauvais fichier. Pour nettoyer un ordinateur infecté, l’antivirus doit supprimer le code malveillant et restaurer les fonctions normales du PC piraté. Ce n’est pas suffisant pour éliminer la maladie, il faut aussi retrouver la santé, et il s’agit d’une perspective compliquée.

C’est exactement pourquoi des tests de sécurité indépendants montrent que même si plusieurs éditeurs d’antivirus fonctionnent relativement bien en ce qui concerne la prévention, lorsqu’il s’agit en revanche de désinfecter un système déjà infecté, il en est tout autrement.

Meilleure détection…

Les listes des signatures de virus et autres méthodes traditionnelles de détection occupent une place importante dans les solutions de sécurité. Cependant, les méthodes heuristiques jouent aussi un rôle vital. L’heuristique, ou se servir de l’expérience pour apprendre et évoluer, permet aux logiciels antivirus de ne pas seulement détecter des objets dangereux, mais aussi une activité suspicieuse.

La détection d’une activité suspicieuse est au cœur d’une technologie développée et récemment brevetée par des experts de Kaspersky Lab, Mikhail Pavlyuschik, Alexey Monastyrsky, et Denis Nazarov. Cette technologie est capable de tracer les interactions entre un programme et d’autres composants du système d’exploitation et du software. Dans ce cas, les interactions signifient qu’un programme travaillant avec la mémoire est utilisé par d’autres processus.

 

Il n’est pas nécessaire de traquer toutes les activités, ce qui est une bonne chose en soi étant donné que tout surveiller engloutirait toutes les ressources informatiques. La technologie qui suit les interactions offre une meilleure précision de surveillance du fonctionnement, et bloque de nombreux programmes malveillants jusqu’alors méconnus.

Et prévention…

Imaginons qu’un ordinateur soit attaqué par un malware qui collecte des enregistreurs de frappe.

Si l’enregistreur arrivait à infecter l’ordinateur, cela voudrait dire qu’il aurait contourné la protection ou réussi à s’infiltrer en exploitant une configuration de sécurité défectueuse, ce qui est un scénario commun. Il pourrait être stoppé avant qu’il n’envoie des données (le mot de passe d’une boîte mail, un identifiant de compte en banque, une capture d’écran d’une webcam, et beaucoup plus) de la personne victime de l’attaque.

C’est à ce moment-là que l’analyse du fonctionnement entre en jeu. Cette technologie est intégrée dans notre module de Surveillance du système, et qui à l’aide d’autres composants de sécurité, détecte les interactions malveillantes connues, que le software non sécurisé provoque avant que les dommages soient irréversibles. De plus, il peut revenir en arrière et corriger les modifications effectuées par le malware étant donné qu’il traque le fonctionnement du malware.

Une solution de sécurité efficace telle que Kaspersky Internet Security permet rarement à un malware de s’introduire aussi loin dans le système qui requière un retour en arrière (rollback). Nous ajoutons de nouvelles menaces à notre base de données antivirus très rapidement, de même que ; Kaspersky Security Network nous aide à en apprendre davantage sur de nouveaux échantillons de malwares provenant du Cloud. Mais lorsqu’il s’agit de développement d’antivirus, on ne peut pas avoir trop de protection. Un travail continue de développement de nouvelles technologies pour la détection et la réparation fait la différence entre une solution de sécurité excellente et une qui est médiocre : des mesures de protection complètes faisant toute la différence.