Sécurité: Les applications en temps réel et les FTP sont les cibles privilégiées

La Modern Malware Review est la première étude industrielle consacrée au comportement des logiciels malveillants inconnus, tout au long de leur cycle de vie – en commençant par leur entrée dans le réseau, – à la façon dont ils se comportent une fois déployés sur le périphérique infecté, ainsi qu’au trafic sortant qu’ils génèrent.

Cette étude montre que les solutions antivirus traditionnelles ne permettent pas d’identifier la grande majorité des logiciels malveillants qui infectent les réseaux par l’intermédiaire d’applications temps réel telles que la navigation sur le Web.

Les principales conclusions:

– 94 % des logiciels malveillants non détectés qui prolifèrent sur les réseaux ont été transmis lors de navigations sur le Web ou par l’intermédiaire de proxy Web
– 70 % des logiciels malveillants ont laissé des identificateurs dans leur sillage ou leur charge utile ; ils peuvent être ensuite utilisés à des fins de détection par les équipes de sécurité
– 40 % des logiciels malveillants apparemment uniques sont en fait des versions « reconditionnées » d’un même code
– 95 % des logiciels malveillants transmis via un FTP n’ont pas été détectés par les solutions antivirus pendant plus de 30 jours
– Les malware modernes sont très habiles et parviennent à rester invisibles sur les dispositifs hôtes. L’étude a identifié pas moins de 30 techniques différentes utilisées par les logiciels malveillants pour se soustraire aux mesures de sécurité ; plus de la moitié des comportements de tous les logiciels malveillants consistent à ne pas être détectés sur les réseaux

L’étude réalisée par Palo Alto Networks préconise des règles grâce auxquelles les responsables de la sécurité peuvent mieux protéger leurs réseaux contre les attaques malveillantes. En sachant par exemple que la majorité des logiciels malveillants sont des versions relocalisées et reconditionnées d’un même code, tels que les botnets Zeus, les équipes de sécurité peuvent utiliser différents indicateurs pour l’identifier et créer des règles de sécurité capables de les bloquer automatiquement.