Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Intelligence artificielle : Détection d’Agent Smith par Check Point

novembre 2019 par Check Point

« Agent Smith » est une campagne malveillante découverte par les chercheurs de Check Point, qui a infecté environ 30 millions d’appareils dans le but de générer des profits. Déguisée en application associée à Google, la partie centrale du logiciel malveillant exploite différentes vulnérabilités Android connues et remplace automatiquement les applications installées sur l’appareil par des versions malveillantes.

Les moteurs d’IA de Check Point ont détecté ce logiciel malveillant avant la découverte de la campagne et avant que les sites de commande et de contrôle ne soient considérés comme étant malveillants. Le logiciel malveillant principal a été détecté par trois des moteurs d’IA de Check Point, chacun d’eux recherchant un type d’indicateur différent. Par exemple, un modèle a examiné le flux du code de l’application et a rendu son verdict. Les moteurs qui ont détecté le logiciel malveillant fonctionnent indépendamment les uns des autres, ce qui signifie que même si certains indicateurs n’apparaissent pas dans les variantes du logiciel malveillant, ce dernier sera quand même détecté.

Grâce aux moteurs d’IA de Check Point, « Agent Smith » a été détecté avant d’avoir causé des dommages en remplaçant les applications installées par des versions malveillantes.

Faire face aux attaques de bots

Traiter une attaque rapidement et avec précision permet de remédier aux dommages, voire même les empêcher complètement. Check Point utilise l’IA dans plusieurs étapes du processus d’intervention, telles que l’identification de la victime, l’élimination des alertes et la classification des attaques.

Dans cet exemple, une société fournissant des services informatiques à des instituts gouvernementaux critiques a contacté Check Point après avoir reçu des dizaines de milliers d’alertes concernant des activités supposées malveillantes signalées par une solution autre que Check Point. La technologie Check Point ThreatCloud AI a analysé toutes les entrées des journaux et a fourni une liste précise de 25 appareils infectés. Ces appareils ont ensuite été nettoyés avant que le logiciel malveillant ne cause de dégâts.

La technologie ThreatCloud AI repose sur la création d’une machine qui émule le processus de réflexion et de prise de décision d’un chercheur en cybersécurité. Là où le chercheur pourrait passer des semaines à analyser un seul type de menace, la machine ThreatCloud AI est capable de prendre une décision en quelques secondes. ThreatCloud AI corrèle les événements suspects et malveillants provenant de plusieurs sources pour reconnaître un comportement d’infection et identifier les hôtes infectés. Le système indique ensuite au client les événements les plus importants de son réseau qui nécessitent une attention immédiate.

Conclusion :

À mesure que les cybercriminels développent des méthodes de cyberattaque plus sophistiquées et plus dangereuses, il est devenu impossible de se fier uniquement à l’analyse et à la prise de décision humaine. Afin d’améliorer continuellement son excellent taux de détection et de prévention, Check Point a développé des dizaines de moteurs d’intelligence artificielle et les a intégrés à des points de décision critiques dans sa gamme de solutions.

De nombreux fournisseurs de cybersécurité déclarent incorporer l’IA dans leurs produits, mais peu ont démontré son efficacité. En revanche, Check Point a démontré des résultats concrets dans les quatre étapes d’une architecture de sécurité adaptative.

Les modèles de Check Point sont efficaces pour stopper les attaques grâce à la grande quantité de données réelles sur les menaces connues et aux experts qui développent, forment et valident les modèles. Les experts de Check Point définissent en permanence des fonctionnalités et des données de classification appropriées pour chaque moteur. Ils utilisent une grande quantité de données pour former, tester et valider les modèles, et les données sont enrichies grâce aux moyens uniques mis en œuvre par Check Point. Les solutions intègrent plusieurs approches algorithmiques, qui contribuent au taux de blocage des attaques connues et inconnues le plus élevé du marché.




Voir les articles précédents

    

Voir les articles suivants