TECHNOLOGIE

Protection basée sur le comportement

S'appuyant sur le Machine Learning, notre moteur d'analyse détecte des schémas de comportements malveillants à un stade précoce de leur exécution. Parallèlement, la protection de la mémoire ainsi que le moteur d'actions correctives empêchent toute compromission ou perte de données des utilisateurs.

La détection comportementale s'inscrit dans l'approche de protection multi-niveaux de nouvelle génération de Kaspersky. C'est l'une des protections les plus efficaces contre les menaces avancées telles que les programmes malveillants sans fichier les ransomwares ou encore les attaques « zero-day ».

Le moteur comportemental de Kaspersky réunit les capacités de protection suivantes :

Détection comportementale
Exploit Prevention (EP)
Moteur d'actions correctives (Remediation Engine)
Anti-locker

Dans « la vraie vie », les cybercriminels brouillent le code malveillant pour contourner les technologies de détection statique et l'émulation par les solutions de sécurité. Par exemple, le code de ransomwaresqui vient d'être créé est souvent compressé à l'aide d'un utilitaire de compression personnalisé avec une fonction anti-émulation. Avant l'exécution, toute tentative d'analyse de l'échantillon bien fait par l'analyse à la demande ou l'analyse en temps réel n'aboutira pas à la détection. Ce qui permet au cybercriminel de mettre à exécution son plan.

Mais au stade de l'exécution, le moteur d'analyse des comportements analyse l'activité réelle du processus en temps réel et met au jour sa nature malveillante. Il suffit de déclencher l'alarme, de mettre fin au processus et le moteur d'actions correctives effectue une annulation des modifications.

Dans l'exemple cité avec un ransomware compressé, l'échantillon pourrait tenter de

Rechercher des fichiers importants sur le système cible
Chiffrer des fichiers importants
Supprimer des fichiers originaux
Supprimer des copies masquées

Ces informations sont suffisantes pour la détection et ne dépendent pas de l'utilitaire de compression ou des techniques anti-émulation employées. Grâce à l'exécution du moteur d'analyse des comportements, renforcé aussi bien par l'heuristique comportementale que les modèles basés sur le machine learning, le produit devient insensible aux techniques d'évitement statique et même aux modifications de comportement des échantillons.

Pour opérer des choix basés sur le comportement, il est important de produire la détection des activités malveillantes dès que possible. Celle-ci, combinée à un moteur d'actions correctives adapté, permet d'éviter toute perte de données de l'utilisateur final. Le moteur d'actions correctives protège différents objets, comme les fichiers, les clés de registre, les tâches, etc.

Pour revenir à l'exemple ci-dessus, supposons qu'avant une activité malveillante réelle, le ransomware s'était ajouté à l'exécution automatique (par exemple, via le registre). Après détection, le moteur d'actions correctives devrait analyser le flux comportemental et restaurer les données utilisateur, mais aussi supprimer la clé de registre créée.

Entre autres avantages, dans certains cas, la technologie de détection comportementale devient le seul moyen de détecter et de neutraliser les menaces associées, par exemple, aux logiciels malveillants sans fichier. Admettons qu'un utilisateur ait été ciblé par une attaque intempestive alors qu'il naviguait sur Internet. Après exploitation, un code malveillant est exécuté dans son navigateur Web. L'objectif principal du code malveillant est d'utiliser le registre ou des abonnements WMI pour la persistance. Finalement, il n'y a plus d'objet unique pour analyse statique. Néanmoins, le composant de détection comportementale analyse le comportement du thread du navigateur Web, signale la détection et bloque l'activité malveillante.

Le composant Moteur comportemental bénéficie de modèles basés sur le ML sur le terminal pour détecter des modèles malveillants auparavant inconnus en plus des données d'heuristique comportementale. Collectés à partir de différentes sources, les événements système sont transmis au modèle ML. Après le traitement, le modèle ML rend un verdict si le schéma analysé est malveillant. Même en cas de verdict « non malveillant », le résultat du modèle ML est ensuite utilisé par l'heuristique comportementale, qui peut à son tour signaler la détection.

Le composant Détection comportementale met en œuvre un mécanisme de protection de la mémoire. Il protège les processus système critiques comme peuvent l'être lsass.exe et permet d'empêcher la fuite d'informations d'identification des utilisateurs provoquée par un programme malveillant du type mimikatz.

Produits associés

Résultats de l'analyse comparative

Technologies associées

Le machine learning dans la cybersécurité

Arbres décisionnels, hachage sensible à la localité, modèles comportementaux ou mise en cluster de flux entrants sont autant de techniques de Machine Learning (ML) que nous employons pour relever les défis de sécurité dans le monde réel : faible taux de faux positifs, facilité d'interprétation et robustesse face à un adversaire potentiel.

Protection basée sur le comportement

Produits associés

Kaspersky Anti Targeted Attack Platform

Kaspersky Endpoint Security for Business

Kaspersky Small Office Security

Kaspersky Anti-Ransomware Tool for Business

Hybrid Cloud Security

Kaspersky Anti-Virus

Kaspersky Internet Security

Kaspersky Total Security

Résultats de l'analyse comparative

Technologies associées

Le machine learning dans la cybersécurité

Exploit Prevention

Protection contre les ransomwares

Protection contre les menaces sans fichier

Approche de sécurité multi-niveaux