Accueil Entreprise Le malware invisible est là et votre logiciel de sécurité ne peut pas l'attraper

Le malware invisible est là et votre logiciel de sécurité ne peut pas l'attraper

Table des matières:

Vidéo: Comment désinstaller un logiciel qui ne veut pas se désinstaller! (windows 10,8,7,vista...) (Novembre 2024)

Vidéo: Comment désinstaller un logiciel qui ne veut pas se désinstaller! (windows 10,8,7,vista...) (Novembre 2024)
Anonim

Un "malware invisible", un nouveau type de malware, est en marche et, s'il frappe vos serveurs, vous ne pourrez peut-être rien faire de plus. En fait, vous ne pourrez peut-être même pas dire que c'est là. Dans certains cas, les logiciels malveillants invisibles ne vivent que dans la mémoire, ce qui signifie qu’il n’ya aucun fichier sur vos disques que votre logiciel de protection des points finaux puisse trouver. Dans d'autres cas, des logiciels malveillants invisibles peuvent se trouver dans votre système BIOS (Basic Input / Output System), où il peut utiliser l'une des tactiques suivantes pour vous attaquer. Dans certains cas, il peut même s'agir d'une mise à jour du micrologiciel, qui remplace votre micrologiciel existant par une version infectée et pratiquement impossible à trouver ou à supprimer.

"Grâce aux avancées des logiciels anti-malware et EDR (Endpoint Detection and Response) facilitant la détection des malwares du jour au lendemain, les créateurs de malwares s'installent plus bas", a déclaré Alissa Knight, analyste senior chez Aite Group en matière de cybersécurité.. Elle est spécialisée dans les menaces liées au matériel. Knight a déclaré que ce nouveau type de malware est en cours de développement et qu'il peut éviter la détection par des logiciels hérités.

Le logiciel EDR, qui est plus avancé que les anciens progiciels audiovisuels, est beaucoup plus efficace pour contrer les attaques. Ce logiciel utilise diverses méthodes pour déterminer le moment où un attaquant est au travail. "Le développement de l'EDR fait réagir le chapeau noir et crée des kits racine du noyau et du firmware, ce qui permet d'écrire dans le dossier de démarrage principal", a déclaré Knight.

Cela a également conduit à la création de rootkits virtuels, qui démarreront avant le système d'exploitation, en créant une machine virtuelle (VM) pour le logiciel malveillant afin qu'elle ne puisse pas être détectée par les logiciels exécutés sur le système d'exploitation. "Cela rend presque impossible à attraper", a-t-elle déclaré.

Blue Pill Malware et plus

Heureusement, l’installation d’un kit racine virtuel sur un serveur reste difficile, dans la mesure où les pirates qui l’essayent fonctionnent généralement comme des pirates sponsorisés par l’État. En outre, certaines activités au moins peuvent être détectées et quelques-unes peuvent être arrêtées. Knight affirme que les "logiciels malveillants sans fichiers", qui ne fonctionnent qu'en mémoire, peuvent être neutralisés en éteignant de force l'ordinateur sur lequel ils s'exécutent.

Mais Knight a également déclaré qu'un tel malware pouvait être accompagné de ce qu'on appelle "le malware Blue Pill", qui est une forme de kit racine virtuel qui se charge dans une VM puis charge le système d'exploitation dans une VM. Cela lui permet de simuler un arrêt et un redémarrage tout en laissant le programme malveillant continuer à s'exécuter. C'est pourquoi vous ne pouvez pas simplement utiliser le choix d'arrêt dans Microsoft Windows 10; seulement en tirant la fiche fonctionnera.

Heureusement, d’autres types d’attaques matérielles peuvent parfois être détectés en cours de réalisation. Knight a déclaré qu'une société, SentinelOne, avait créé un package EDR plus efficace que la plupart des autres et qu'il était parfois possible de détecter des logiciels malveillants qui attaquaient le BIOS ou le micrologiciel d'une machine.

Chris Bates est directeur mondial de l’architecture de produit chez SentinelOne. Il a ajouté que les agents du produit fonctionnent de manière autonome et peuvent combiner des informations avec d'autres paramètres si nécessaire. "Chaque agent SentinelOne crée un contexte", a déclaré Bates. Il a déclaré que le contexte et les événements survenant au cours de la création du contexte créent des récits pouvant être utilisés pour détecter les opérations de programmes malveillants.

Bates a déclaré que chaque ordinateur d'extrémité peut résoudre seul le problème en éliminant le logiciel malveillant ou en le mettant en quarantaine. Mais Bates a également déclaré que son package EDR ne pouvait pas tout comprendre, surtout quand cela se produit en dehors du système d'exploitation. Une clé USB qui réécrit le BIOS avant le démarrage de l'ordinateur en est un exemple.

Niveau suivant de préparation

C'est là que le prochain niveau de préparation entre en jeu, expliqua Knight. Elle a évoqué un projet conjoint d'Intel et de Lockheed Martin visant à créer une solution de sécurité renforcée fonctionnant sur des processeurs standard évolutifs Intel Xeon de deuxième génération, appelée "Solution Intel Select pour une sécurité renforcée avec Lockheed Martin". Cette nouvelle solution est conçue pour prévenir les infections par logiciels malveillants en isolant les ressources critiques et en les protégeant.

Dans le même temps, Intel a également annoncé une autre série de mesures préventives appelées «Hardware Shield», qui verrouille le BIOS. «C’est une technologie où, s’il ya une sorte d’injection de code malveillant, le BIOS peut réagir», a expliqué Stephanie Hallford, vice-présidente et directrice générale des plates-formes client d’affaires chez Intel. "Certaines versions auront la capacité de communiquer entre le système d'exploitation et le BIOS. Le système d'exploitation peut également répondre et protéger contre les attaques."

Malheureusement, vous ne pouvez pas faire grand chose pour protéger les machines existantes. "Vous devez remplacer les serveurs critiques", a déclaré Knight, ajoutant que vous deviez également déterminer quelles étaient vos données critiques et où elles fonctionnaient.

"Intel et AMD vont devoir se lancer dans la démocratisation", a déclaré M. Knight. "Au fur et à mesure que les auteurs de logiciels malveillants s'amélioreront, les fournisseurs de matériel devront rattraper leur retard et le rendre abordable."

Le problème ne fait qu'empirer

Malheureusement, Knight a déclaré que le problème ne ferait que s'aggraver. "Les kits pour la criminalité et les logiciels malveillants vont devenir plus faciles", a-t-elle déclaré.

Knight a ajouté que le seul moyen d'éviter le problème pour la plupart des entreprises consiste à déplacer leurs données et processus critiques vers le cloud, ne serait-ce que parce que les fournisseurs de services dans le cloud peuvent mieux se protéger contre ce type d'attaque matérielle. "Il est temps de transférer le risque", a-t-elle déclaré.

Et Knight a averti qu’à la vitesse où les choses bougent, vous avez peu de temps pour protéger vos données critiques. "Cela va se transformer en ver, " a-t-elle prédit. "Ce sera une sorte de ver qui se propage de lui-même." C'est l'avenir de la cyberguerre, a déclaré Knight. Cela ne restera pas pour toujours aux mains d'acteurs parrainés par l'État.

Étapes à suivre

Alors, avec l'avenir si sombre, que pouvez-vous faire maintenant? Voici quelques étapes initiales que vous devriez prendre tout de suite:

    Si vous ne possédez pas déjà de logiciel EDR efficace, tel que SentinelOne, procurez-vous-en un maintenant.

    Identifiez vos données critiques et protégez-les par un cryptage lors de la mise à niveau des serveurs sur lesquels se trouvent les données sur des machines protégées contre les vulnérabilités matérielles et les exploits qui en exploitent les avantages.

    Là où vos données critiques doivent rester en interne, remplacez les serveurs qui les contiennent par des plates-formes utilisant les technologies matérielles, telles que Hardware Shield pour les clients et la solution Intel Select pour une sécurité renforcée avec Lockheed Martin pour des serveurs.

    Dans la mesure du possible, déplacez vos données critiques vers des fournisseurs de cloud dotés de processeurs protégés.

    • La meilleure protection antivirus pour 2019 La meilleure protection antivirus pour 2019
    • Le meilleur logiciel hébergé de protection et de sécurité Endpoint pour 2019 Le meilleur logiciel hébergé de protection et de sécurité Endpoint pour 2019
    • Meilleur logiciel de suppression et de protection des logiciels malveillants pour 2019 Meilleur logiciel de suppression et de protection des logiciels malveillants pour 2019

    Continuez à former votre personnel à la sécurité en matière d’hygiène afin qu’il ne connecte pas une clé USB infectée à l’un de vos serveurs.

  • Assurez-vous que votre sécurité physique est suffisamment solide pour protéger les serveurs et les autres ordinateurs d'extrémité de votre réseau. Si tout cela vous fait penser que la sécurité est une course aux armements, vous auriez raison.

Le malware invisible est là et votre logiciel de sécurité ne peut pas l'attraper