MetaDefender : détection unifiée des vulnérabilités zero-day à la périphérie

Les menaces « zero-day » ne sont plus des cas isolés. Elles constituent désormais l'arme de prédilection des cyberattaquants modernes.

Selon OPSWAT , la complexité des logiciels malveillants a augmenté de 127 % au cours de l'année écoulée, et un fichier sur quatorze initialement classé comme sûr par les sources de réputation s'est par la suite révélé malveillant. Ces menaces sont conçues pour contourner les analyses statiques, retarder leur exécution, échapper à la reconnaissance des sandbox et se fondre dans les flux de travail légitimes.

Dans le même temps, les organisations sont confrontées à un dilemme insoluble :

• Ralentir le flux de dossiers pour permettre un examen plus approfondi
• Ou bien maintenir sa vitesse et accepter les angles morts

Les fichiers exécutables, les correctifs, les scripts, les archives et les documents réglementés ne peuvent souvent pas être nettoyés ou modifiés. Il en résulte une faille de sécurité croissante là où les outils traditionnels échouent.

MetaDefender a été conçu pour combler cette lacune.

Cet article de blog constitue une analyse approfondie del'annonce du lancementMetaDefender . Il explique pourquoi la détection unifiée des vulnérabilités « zero-day » au niveau du périmètre est essentielle, commentMetaDefender couvre l'ensemble de la « pyramide de la douleur », et comment OPSWAT cette fonctionnalité grâce à quatre produits étroitement intégrés, chacun conçu pour répondre à une réalité opérationnelle spécifique, mais tous s'appuyant sur le même pipeline de détection à quatre niveaux.

Regardez la vidéo de présentationMetaDefender ci-dessous pour en savoir plus en un clin d'œil :

La plupart des outils de sécurité opèrent au bas de la « pyramide de la douleur » : hachages, adresses IP et noms de domaine. Ces éléments sont faciles à modifier pour les pirates et peu coûteux à remplacer.

MetaDefender est différent. Il est conçu pour exercer une pression croissante à tous les niveaux de la pyramide, obligeant ainsi les attaquants à repenser sans cesse leurs opérations.

MetaDefender est la solution unifiée de détection des vulnérabilités « zero-day » OPSWAT, qui combine quatre niveaux de détection au sein d'un pipeline unique doté d'une capacité d'auto-apprentissage :

Réponse à la question :Ce fichier est-il connu pour être malveillant ? 
 


La fonctionnalité « Threat Reputation » analyse les fichiers, les URL, les adresses IP et les domaines à la lumière de données mondiales mises à jour en permanence afin d'identifier instantanément les menaces connues. Ce niveau de protection bloque rapidement les logiciels malveillants courants et les tentatives de phishing, obligeant ainsi les pirates à changer constamment d'infrastructure et à réutiliser leurs indicateurs de manière moins efficace. 

Réponse à la question :Ce fichier présente-t-il un comportement inhabituel ou suspect ?

L'analyse dynamique exécute les fichiers suspects dans un environnement basé sur l'émulation qui contourne les techniques de contournement des bacs à sable et les astuces de synchronisation. Elle met en évidence des comportements cachés, tels que les chaînes de chargeurs, les charges utiles en mémoire uniquement et l'exécution en plusieurs étapes, que l'analyse statique et les bacs à sable basés sur des machines virtuelles manquent souvent de détecter.

Réponse à la question :Quel est le niveau de risque réel lié à cette faille « zero-day » ?
 


L'évaluation des menaces met en corrélation les indicateurs comportementaux, le contexte de réputation et les signaux de détection afin d'attribuer une note de risque fondée sur le niveau de confiance. Cela permet de hiérarchiser les menaces réelles, de réduire la fatigue liée aux alertes et de permettre aux équipes du SOC de se concentrer sur ce qui nécessite une action immédiate.

Réponse à la question :cette menace « zero-day » est-elleliée à des campagnes de logiciels malveillants plus larges ?
 


La recherche de menaces (Threat Hunting) utilise la recherche de similitudes basée sur l'apprentissage automatique pour établir des corrélations entre des échantillons inconnus et des familles de logiciels malveillants, des variantes et des infrastructures connues. Cela permet d'obtenir une visibilité au niveau des campagnes et de détecter les menaces même lorsque les attaquants modifient leurs charges utiles, leurs outils ou leurs indicateurs. 

Au lieu d'une multitude d'outils et de résultats contradictoires,MetaDefender fournit un résultat fiable, à grande échelle et au niveau du périmètre.

MetaDefender s'articule autour de quatre offres étroitement coordonnées. Chacune d'entre elles répond à un défi opérationnel spécifique, tout en alimentant en informations le même pipeline de détection.

• Pour en savoir plus surMetaDefender , cliquezici.
• Téléchargez la fiche de présentationici.

Les équipes de sécurité s'appuient souvent sur des environnements de test isolés qui sont lents, identifiables comme des machines virtuelles et déconnectés des informations sur les menaces. Les enquêtes nécessitent des changements manuels d'outil.

• Analyse dynamique basée sur l'émulation qui contourne les techniques de contournement des sandbox
• Évaluation des menaces et recherche de similitudes directement intégrées au verdict
• Rapports comportementaux détaillés et extraction d'indicateurs de compromission

Les entreprises bénéficientd'une classification optimale des fichiers, d'un tri plus rapide et d'informations stratégiques sur leurs campagnes, sans compromettre le débit.

• Pour en savoir plus surMetaDefender for Cloud , cliquezici. 
• Téléchargez la fiche de présentation ici.

Les environnements de test traditionnels ne s'adaptent pas aux flux de travail dans le cloud et entraînent des coûts opérationnels supplémentaires. 

• Déclenchement basé sur le SaaS et piloté par émulation à l'échelle du cloud 
• Intégration API avec les pipelines CI/CD, de stockage et SaaS 
• Aucune infrastructure à déployer ni à entretenir 

Les entreprises préservent la vitesse et le volume de traitement des fichiers tout en assurant une détection des menaces de type « zero-day » partout où les fichiers circulent.

• Pour en savoir plus surMetaDefender for Core , cliquezici.  
• Téléchargez la fiche de présentation ici.

Les infrastructures critiques et les environnements gouvernementaux ne peuvent pas envoyer de fichiers vers le cloud, mais ont néanmoins besoin d'une analyse dynamique.

• Sandboxing intégré basé sur l'émulation au sein deMetaDefender Core 
• Fonctionnement entièrement hors ligne avec des flux de travail basés sur des règles 
• Aucune nouvelle infrastructure n'est nécessaire 

La détection des vulnérabilités « zero-day » devient conforme aux normes, vérifiable et facile à mettre en œuvre, même dans les réseaux isolés.

• Pour en savoir plus surMetaDefender Threat Intelligence , cliquezici.  
• Téléchargez la fiche de présentationici. 

Les renseignements sur les menaces basés uniquement sur la réputation ne parviennent pas à suivre le rythme des attaques modernes, qui évoluent très rapidement.

• IOC enrichis en informations comportementales issues de la télémétrie du bac à sable
• Recherche de similarité basée sur l'apprentissage automatique pour détecter des variantes et des grappes
• Intégration transparente des normes SIEM, SOAR, MISP et STIX

Chaque menace inconnue se transforme en renseignement exploitable, ce qui renforce la détection future et réduit le temps de présence.