Sophos Intercept X -L'apprentissage en profondeur contre les malwares du jour zéro ?

Quels sont les avantages du tout nouveau deep learning contre les logiciels malveillants zero-day ? La lutte contre les logiciels malveillants est presque aussi vieille que l'ordinateur lui-même. Au début, il s'agissait plutôt de plaisanteries inoffensives, mais aujourd'hui, il est devenu un danger non négligeable pour les particuliers et les entreprises. L'apparition des premiers virus informatiques dangereux a donné l'impulsion au développement de logiciels antivirus. Mais ceux-ci ne réagissent qu'aux symptômes - le mal est généralement déjà fait chez l'utilisateur.

Les scanners de virus classiques fonctionnent à l'aide de signatures. Cette empreinte digitale virtuelle aide le scanner de virus à identifier clairement un virus en tant que tel. L'avantage est que les menaces connues sont reconnues de manière fiable et rapide. L'inconvénient : les logiciels malveillants déjà connus peuvent être protégés contre une nouvelle reconnaissance par une simple modification du code, appelée "mutation".

Les solutions antivirus basées uniquement sur les signatures ne sont donc que réactives - une protection préventive n'est pas possible. Pour être efficaces, les signatures doivent être mises à jour régulièrement, au mieux plusieurs fois par jour. À l'inverse, l'ordinateur reste ainsi souvent jusqu'à plusieurs heures sans protection contre les nouvelles menaces. À l'heure où les virus se propagent dans le monde entier en quelques minutes, c'est inacceptable. En outre, les bases de données de signatures ont souvent une taille pouvant atteindre plusieurs mégaoctets. Selon la taille de l'entreprise, cela peut représenter une charge réelle pour le réseau de l'entreprise et, dans le pire des cas, nécessiter le recours à des serveurs pour stocker temporairement les mises à jour.

C'est pourquoi une approche purement réactive n'est plus une option aujourd'hui. Les logiciels malveillants sont de plus en plus sophistiqués et deviennent ainsi un outil fiable pour l'espionnage et le chantage - donc tout sauf une blague inoffensive. La réponse des développeurs de scanners antivirus : l'utilisation d'une analyse dite heuristique. Il s'agit d'examiner des fichiers inconnus à l'aide d'un algorithme et d'observer comment ils se comportent sur l'ordinateur de l'utilisateur. Par rapport aux signatures, il est tout à fait possible de détecter des menaces inconnues avec cette méthode. Le contournement de la détection par la modification du logiciel malveillant est également empêché, car le parasite continue à se comporter de la même manière. Mais là aussi, il y a des inconvénients : Les détections "faux-positifs", c'est-à-dire la reconnaissance par erreur d'un fichier inoffensif comme malveillant, se produisent régulièrement, car certains logiciels se comportent au moins partiellement comme des logiciels malveillants. Dans ce cas, il faut gérer des "listes blanches" ou adapter l'algorithme du fabricant.

Qu'est-ce que Sophos fait de différent avec Intercept X ?

Disons-le tout de suite : Sophos n'a pas réinventé la roue. Mais ils ont choisi une nouvelle approche. Pour améliorer l'analyse heuristique, Sophos utilise ce que l'on appelle le deep learning. Il s'agit d'entraîner des réseaux neuronaux virtuels à la détection de logiciels malveillants. L'inconvénient du deep learning est qu'une quantité énorme de matériel d'entraînement est nécessaire pour apprendre efficacement l'algorithme. Le deep learning est donc un procédé très coûteux, mais il offre de nombreux avantages au client final : Le taux de détection augmente nettement par rapport aux analyses heuristiques traditionnelles et le taux de "faux positifs" diminue considérablement. Grâce à de petites mises à jour incrémentielles, l'algorithme qui, selon Sophos, ne nécessite que 20 Mo d'espace mémoire, est constamment perfectionné et ne surcharge donc pas le réseau de l'entreprise.

Une protection contre les logiciels malveillants qui ne dépend pas des signatures, ne nécessite que de petites mises à jour et peut détecter les nouvelles menaces de manière fiable et rapide. C'est ce que propose Sophos avec Intercept X. Les fichiers peuvent être analysés en quelques millisecondes, avant même d'être exécutés. Cela permet également de garantir une protection préventive. Un nouveau logiciel malveillant peut déjà être détecté sans que le scanner ait besoin d'une mise à jour. L'utilisateur lui-même ne s'en aperçoit que lorsqu'Intercept X émet une alarme parce qu'il a détecté une menace.

Sophos a produit une vidéo montrant comment Intercept X réagit à une menace. En l'occurrence, le ransomware Petya, qui a ébranlé le monde l'année dernière en même temps que WannaCry.