Global Security Mag : Quel état faites-vous du marché des antimalwares actuellement ?

Arnaud Pilon : Les programmes antimalware ont pour fonction principale de détecter et supprimer les logiciels disposant de fonctionnalités malveillantes ou dont l’usage est malveillant. Avec le firewall, il s’agit du marché le plus ancien de la sécurité ayant fait les grands noms de l’industrie de la sécurité. On pourrait imaginer qu’il est devenu un marché mature et stable : la réalité est tout autre. Historiquement nommé antivirus puis EPP (Endpoint Protection Platform), ces outils ont connu en une décennie plusieurs évolutions directement liées à celle de la menace et des usages du numérique. Durant l’ère post-Snowden, il y a d’abord eu les malwares issus des grandes familles d’APT qui ont nécessité de la part des antivirus une profonde adaptation des moyens de détection et de recherche de compromission. En réponse, le marché a fait émerger les premiers EDR (Endpoint Detection & Response) permettant de faire face à des malwares opérés par des groupes malveillants formés, donc plutôt focalisés à détecter ou rechercher un comportement malveillant. Les groupes cybercriminels ont également beaucoup appris de ces attaques : le niveau technique et opérationnel des cybercriminels a définitivement terminé d’imposer les EDR notamment avec l’émergence des ransomwares. Des moyens de réponse et d’investigation sont devenus nécessaires aux premières alertes de ces attaques destructrices comme, par exemple, l’isolation automatique du poste visé.

Les usages ont également beaucoup évolué. Les supports amovibles ont disparu ou sont en passe de l’être, remplacé par des partages dans un cloud. Le navigateur web a lui remplacé toutes les autres applications et la donnée est là aussi copiée dans un des data centers d’un opérateur Cloud. Cette évolution a imposé à l’antimalware de s’adapter : les acteurs historiques ont étendu leurs périmètres au Cloud, mais des produits de sécurité nés dans le Cloud ont émergé comme les CASB (Cloud Access Security Broker).

Les acteurs historiques doivent soutenir le poids du legacy et font face à un marché très agressif dont le vocabulaire marketing est renouvelé plus rapidement que les licences. Si le terrain à couvrir est colossal, il s’agit d’un marché qui n’a pas terminé sa consolidation et dont il est très complexe d’énumérer ou comparer les offres qui le composent. Par ailleurs, l’antimalware est une fonctionnalité convoitée par tous les grands acteurs du numérique à coup d’acquisition. Entre les composantes EPP, EDR et CASB, on parle plus souvent de plateforme antimalware. Certains domaines assez spécifiques comme celui des systèmes industriels ou des IOT sont moins demandés même si la menace est bien réelle.

Des solutions de plus en plus faciles à déployer

GS Mag : Quelles sont les dernières évolutions en la matière ?

Arnaud Pilon : L’évolution la plus intéressante des dernières plateformes antimalware est sans conteste leur facilité d’utilisation et d’installation ainsi que leur ergonomie. Sauf besoin spécifique, la plupart des installations sont en SaaS et la complexité des mises à jour de consoles est déléguée à l’éditeur ou à un prestataire. Les gros monolithes ont été ringardisés même s’ils n’ont pas dit leur dernier mot notamment au regard de leur couverture fonctionnel.

Une autre évolution notable est de fournir de la visibilité sur un parc. La connectivité quasi temps réel de l’antimalware au système d’information est une évolution majeure, en particulier la capacité à croiser des bases de marqueurs de compromission (IOC) et interagir avec les autres composants du système d’information (outil de ticketing, slack, etc.).

Par extension, la concentration des éléments de télémétrie permet d’avoir un puits de données précieux pour le client, mais aussi pour les éditeurs. Cette masse de données leur permet de construire, d’adapter et mettre en production des règles de détection : un nouveau ransomware frappant une société fera mauvaise fortune bon coeur à d’autres sociétés disposant de la même solution. L’antimalware a, par effet de bord, métamorphosé le SOC. Le SIEM (Security Information & Event Management) est de plus en plus souvent remplacé par une console EDR plus simple à configurer, exploiter et donnant très rapidement des résultats (justifiant un ROI). Cette console fournit des éléments de télémétrie absents des journaux classiques et des alertes liées à des codes ou comportements déviants (aux faux positifs près, parfois nombreux sur les premières phases). En intégrant des événements de firewall UTM et de sondes réseau, l’XDR (eXtended Detection & Response) permet de donner plus de sens aux alertes de l’antimalware.

Comme évoqué, les éditeurs disposent d’une quantité importante de données issues du système d’information protégé (ce qui n’est pas sans soulever d’autres questions sur leur sécurité et les usages). Ces derniers bénéficient des avancées dans le traitement statistique (machine learning) et de la puissance de calcul proposée par le Cloud (passage à l’échelle). Les traitements « big data » opérés ne sont plus comparables aux monolithes installés auparavant.

Tout l’enjeu est de pouvoir détecter les comportements déviants d’un programme ou d’un utilisateur

GS Mag : En termes de sécurité, qu’apportent les antimalwares de nouvelle génération … ?

Arnaud Pilon : Tout l’enjeu est de pouvoir détecter ce qui n’est pas un comportement normal d’un programme ou d’un utilisateur. Les règles de détection basées sur un comportement ou une singularité statistique sont des atouts indéniables des antimalwares récents.

En cas d’incident de sécurité, la télémétrie apportée par ces solutions peut fournir les clés de résolution d’un incident de sécurité et permettre de retrouver plus rapidement le patient zéro, le cheminement d’un attaquant, voir identifier d’autres codes malveillants toujours présents non détectés initialement. Cette télémétrie est hélas bien souvent absente dans les configurations par défaut. L’interopérabilité avec d’autres produits de sécurité permet d’augmenter les capacités de détection et de contextualisation (sandbox, MISP, etc.). De manière analogue l’EDR doit avoir la capacité d’exporter ses journaux et alertes vers un outil de corrélation type SIEM/XDR.

Certains antimalwares comportent des fonctions d’analyse de vulnérabilités des logiciels présents sur le poste. L’objectif de ces fonctions supplémentaires est de limiter la surface exposée en invitant l’application préventive d’un correctif de sécurité.

Il est important de savoir interpréter les alertes des consoles de solutions déployées…

GS Mag : Quels conseils pouvez-vous donner aux entreprises sur le choix, le déploiement et l’administration d’un antimalware ?

Arnaud Pilon : Un système d’information est par nature hétérogène, autant sur les versions que sur la nature des systèmes d’exploitation qui le compose (Windows en tête). Afin de limiter les angles morts, il convient de bien valider la couverture fonctionnelle de son parc (Linux, Windows, MacOs) dont parfois les systèmes qui ne sont plus supportés par l’éditeur (Windows XP ou 2008 par exemple).

L’outil doit être maîtrisé par les équipes d’administration et mieux s’intégrer à l’écosystème existant comme un outil de monitoring ou d’alerting. Une situation hélas trop souvent rencontrée est celle de l’antimalware installé sur une partie du parc, jamais mis à jour et dont les alertes ne sont jamais relevées (ou tombent dans une boite aux lettres jamais relevée).

Évaluer sur le plan technique les antimalwares est un véritable challenge tant les versions évoluent rapidement et que les points de comparaison peuvent diverger. Certaines tentatives existent et donnent des points de repère (Attacks Evals du MITRE ou AV Test), mais bien souvent l’évaluation des fonctionnalités offertes par use-case reste la seule évaluation possible. Ainsi le plus simple est de simuler des cas déjà rencontrés ou redoutés afin d’évaluer dans quelles mesures le produit y répond autant sur le plan technique que fonctionnel (voir ergonomique). Par exemple, on peut évaluer les fonctions de recherche et de mise à jour d’IOC, de reporting (dashboard), cloisonnement des accès aux exploitants, MFA, timeline générée à la rencontre d’un malware, est-ce que l’antimalware a besoin d’Internet pour fonctionner, son niveau d’interopérabilité avec l’ITSM en place, etc.

La sécurité de l’antimalware lui-même est un élément essentiel à l’édifice surtout si la console est accessible depuis Internet ou utilisée à large échelle. Un phishing simulant une console EDR ou une simple réutilisation d’un mot de passe d’exploitation sont des chemins d’attaque pour lesquels une authentification deux facteurs apparaît comme le strict minimum. L’accès à la console EDR est parfois aussi précieux qu’un compte d’administration du domaine Windows. Selon l’éditeur l’accès à cette console permet une compromission des postes de travail (à intégrer en amont dans les analyses de risque). L’ajout d’une nouvelle couche logicielle sur l’ensemble de son système d’information est une opportunité pour un attaquant d’en exploiter les faiblesses. Il conviendra ainsi d’évaluer la surface nouvellement exposée à l’issue de l’installation d’un tel service (idéalement par un audit) : certains produits, notamment ceux historiques, exposent de multiples services sur le système d’information interne. On privilégiera des applicatifs qui se déploient par GPO, établissant des communications sécurisées bien identifiées vers une console unique et respectant autant que possible les principes de moindre privilège.

La manière d’interpréter des alertes de l’antimalware est aussi bien souvent un challenge en soi. On privilégiera donc les éditeurs permettant de comprendre en détail l’origine des alertes et affichant une forme de transparence des mécanismes de détection mis en œuvre. Par prolongement l’ajout d’une règle simple de détection doit être facilité par l’outil et ne plus passer par un obscur support allongeant inutilement les délais de déploiement de la règle.

Cela peut paraître parfois surprenant dans un monde où l’externalisation des données de l’entreprise est la norme, mais il convient de bien accepter ou non les risques liés au déport d’une fonction de sécurité aussi importante et bien intégré qu’on exporte massivement des données de télémétrie système en dehors du système d’information de l’entreprise.

Les outils de mobilité doivent aussi être protégés

GS Mag : A l’ère de la mobilité des utilisateurs, qui se connectent de n’importe où et avec n’importe quel outil de mobilité à quoi peut servir un antimalware ?

Arnaud Pilon : Les outils de mobilité, qu’il s’agisse de l’ordinateur portable ou du smartphone, jouent un rôle central pour l’authentification des utilisateurs et l’accès à la donnée. Les modèles de sécurité comme le Zero Trust et les stratégies de nomadisme comme la SASE reposent implicitement sur la sécurité des devices. Il n’y a pas de confiance possible si votre outil de travail est contrôlé par un code malveillant. L’antimalware est tout désigné pour augmenter le niveau de détection du poste de travail. Il permet d’assurer que l’authentification de l’utilisateur n’est pas subtilisée et que l’accès aux données est bien à l’initiative de l’utilisateur.

Généralement les devices des utilisateurs reposent sur des réseaux locaux qui ne sont que des réseaux d’interconnexion à un data center ou au Edge le plus proche. En filaire ou en WiFi, ces réseaux peuvent être le terrain de propagation d’un code malveillant opéré à proximité (exemple : hôtel) ou via Internet. Il convient donc là aussi de protéger le device depuis ces accès locaux et non maitrisés.

À l’heure de la mobilité, il y a également un fort besoin de télémétrie des postes en particulier pour mieux évaluer leur localisation, le niveau de sécurité (vulnérabilités) et de conformité (applications installées). À l’image d’un outil de gestion de parc, l’antimalware embarque bien souvent des fonctions connexes de gestion de flotte afin de gagner en visibilité sur le parc de postes nomades, voir autoriser l’accès au réseau.

Le Cloud augmente la surface d’exposition

GS Mag : Quid du Cloud Computing ?

Arnaud Pilon : Comme évoquer précédemment, le Cloud a permis un traitement efficace des données collectées. Mais du côté de l’entreprise, le Cloud a eu pour effet d’augmenter la surface d’exposition des systèmes d’information jadis conçus pour se couper de l’extérieur. Les capacités de partage des services Cloud exposent les données des utilisateurs et le partage en écriture de fichiers malveillants. Mais c’est également du côté des développeurs que l’exposition des services est tout aussi importante. Les risques de compromission d’un service monté dans le cloud sont réels avec comme conséquence le dépôt de code (assez classiquement des cryptomineurs) lorsqu’il ne s’agit pas de code permettant de rebondir sur les autres ressources dans le cloud ou dans le système d’information on-premise de l’entreprise.

Les antimalwares doivent être déployés partout dans le SI

GS Mag : S’ils sont encore utiles, sur quelle partie du SI doit-on déployer ces gammes d’outil ?

Arnaud Pilon : Les premiers vecteurs de propagation d’un malware sont généralement liés à la messagerie ou la navigation Internet. Le poste de travail apparaît assez naturellement dans le périmètre prioritaire de déploiement de ce type d’outils et plus généralement les services de navigation de type VDI. Les codes malveillants détectés sur ces équipements sont généralement liés à un usage déviant (ouverture d’une pièce jointe, téléchargement d’un programme non sollicité, etc.).

Sur un autre plan, les services exposés à Internet (messagerie, extranet, etc.) peuvent faire l’objet d’exploitation de vulnérabilités. Ces dernières servent de support pour déposer des codes malveillants. Ainsi de manière indirecte, l’antimalware permet d’augmenter le niveau de détection sur ces systèmes post-exploitation. Une difficulté peut tout de même résider dans le cas où ces services sont conteneurisés, selon l’éditeur, le logiciel pourra s’adapter à cette situation de plus en plus courante.

Les services de partage de fichiers (partage Windows ou drive Cloud) sont des réceptacles assez naturels de fichiers malveillants, mais pas forcément un vecteur de propagation actif. Ainsi, la vérification régulière, voire temps réel, des fichiers sur ce type de dispositif est une aide précieuse pour identifier les premiers signes d’une infection d’un poste par un malware.

Enfin, l’ensemble des passerelles faisant transiter des fichiers (relai de messagerie, proxy, FW UTM, etc.) intègre généralement des options ou niveaux de licence de contrôle des fichiers qui peut dans certains cas, en particulier lorsque le flux n’est pas chiffré, détecter en amont des logiciels malveillants.

Les serveurs d’infrastructure (AD, DNS, PKI, …) ne sont pas impactés directement par les codes malveillants et en théorie épargnés par cette menace. En théorie seulement, car en pratique, ces services sont quasiment systématiquement visés lors l’attaquant a pris pied dans le système d’information soit par le poste de travail, un accès VPN ou de plus en plus couramment un prestataire (attaque par la supply chain). Tant que l’équilibre entre la sécurité et la stabilité du service est maintenu, ce constat implique un déploiement quasi généralisé de l’antimalware.

GS Mag : Chaque éditeur d’antimalware propose aujourd’hui une solution adaptée aux systèmes mobiles. Quelles sont les particularités d’un antimalware pour smartphone ? Est-ce réellement efficace ?

Arnaud Pilon : Les systèmes d’exploitation des mobiles (Android et iOS) bénéficient d’une conception plus récente mis à jour naturellement à chaque changement du matériel : de manière générale les codes malveillants ont besoin de permissions octroyées par l’utilisateur et le modèle de sécurité est censé garantir ce cloisonnement. Par ailleurs, le déploiement de logiciels est centralisé et réalisé via l’usage de store officiel ce qui a pour effet de ne pas retrouver les mêmes déviances qu’un système Windows. Le contrôle réalisé sur les stores officiels est loin d’être infaillible et certains codes malveillants sont diffusés de cette manière.

Sauf quelques cas particuliers sur Android, les antimalwares sont soumis aux mêmes limites que les applications usuelles. Ils vont au mieux vérifier la réputation de logiciels installés sur le smartphone ainsi que les accès Internet en se plaçant comme VPN. La consommation énergétique doit également être assez limitée, ce qui limite les contrôles réguliers. On est donc assez éloigné des méthodes avancées d’un poste de travail et l’efficacité est bien moindre. Généralement les antimalwares pour mobile sont packagés avec d’autres fonctionnalités, écran de fumée, qui ne sont pas liées à de l’antimalware pur : anti-phishing, gestion des mots de passe, accès VPN « anonyme », localisation du smartphone en cas de vol, etc.

Ainsi les bonnes pratiques et la prévention sont d’autant plus importantes sur les environnements mobiles. On citera par exemple la mise à jour du téléphone et des applications (de l’intérêt bien choisir le constructeur), l’utilisation des stores officiels et la réduction du nombre d’applications utilisées et permissions octroyées.

Seul des experts peuvent éventuellement se passer d’antimalware sous réserve de déployer des contre-mesures adaptées aux usages

GS Mag : Quelles sont les alternatives aux antimalwares ?

Arnaud Pilon : D’autres mécanismes de défense permettent de limiter l’exécution d’un malware ou au moins d’en limiter l’impact. Néanmoins, ces mesures nécessitent souvent des compétences pour configurer finement les services concernés et représentent parfois des projets à part entière.

Le poste de travail Windows peut être durci nativement afin de limiter l’exécution de programmes qui ne sont pas autorisés par les équipes d’administration (WDAC / Applocker). Évidemment cela signifie en prérequis que l’utilisateur n’a pas lui-même des droits d’administration. Une mesure associée concerne aussi le filtrage de la navigation web vers des sites bien identifiés ou des catégories préalablement validées.

À l’échelle du système d’information, il faut également éviter qu’un attaquant puisse avoir un impact global sur l’ensemble des systèmes, comme par exemple le déploiement d’une charge malveillante par GPO. Il est préconisé de séparer et zoner les comptes ayant des accès privilégiés ainsi que les services gérant les secrets ou les fonctions essentielles. L’implémentation dans les environnements hybrides Azure et Active Directory sont documentés par Microsoft sous le nom Enterprise Access Model qui remplace le modèle en tiers.

Enfin les mesures d’hygiène informatique permettent de drastiquement limiter les vecteurs de propagation (gestion des correctifs de sécurité), l’usurpation d’identité (authentification renforcée) ou le vol de données (gestion des permissions et chiffrement des données confidentielles ou secrets).

La présence d’un antimalware reste un élément indispensable dans l’arsenal de défense du SI

GS Mag : Une entreprise peut-elle se passer d’antimalwares aujourd’hui ? Si oui, comment ?

Arnaud Pilon : La présence d’un antimalware reste un élément indispensable dans l’arsenal de défense du système d’information. Mais toute la sécurité ne doit pas reposer sur ce seul composant : les bonnes pratiques permettant de rendre plus résistant le système d’information sont primordiales. D’autant qu’il reste toujours des angles morts comme les systèmes non couverts ou incompatibles avec l’antimalware et plus généralement les prestataires. Les attaques par la supply chaine sont maintenant assez répandues pour les prendre en compte de manière systématique et cascader certaines exigences de sécurité aux prestataires (présence d’un antimalware par exemple).

La sécurité périmétrique n’a pas dit son dernier mot : la segmentation des réseaux locaux permet également de limiter les impacts d’un malware et isoler, donc protéger, les systèmes les plus vulnérables (systèmes industriels par exemple). Coupler à une authentification des accès cela permet de garantir une forme d’étanchéité selon la nature du code malveillant. Par ailleurs cela permet de tracer les communications du malware et mieux déterminer le périmètre infecté.

Le prochain chantier des EDR sera sans doute d’étendre leur capacité d’investigation

A quoi ressembleront, selon vous, les antimalwares de demain ?

Arnaud Pilon : Le marché est actuellement très fragmenté, on peut naturellement imaginer que le marché de demain se consolide encore et que les antimalwares soient intégrés aux services et outils utilisés par les utilisateurs : outils de gestion de flotte, IaaS, conteneur, partage de fichiers, etc. D’ailleurs certaines plateformes Cloud comme Azure ont déjà cette approche. Les antimalwares ainsi intégrés à des plateformes plus larges seront plus à même d’adresser des problématiques d’automatisation et de corrélation avec les autres services de l’éditeur soit de sécurité (approche XDR) soit pour les utilisateurs (API Gateway / ITSM).

Sur le plan technique, on peut imaginer que le taux de faux positifs sera réduit du fait du travail collaboratif avec d’autres systèmes de sécurité ou un enrichissement de la connaissance sur la menace (type cyber threat intelligence). Comme il existera toujours des codes malveillants qui ne seront pas détectés ou des vulnérabilités exploitées, le prochain chantier des EDR sera sans doute d’étendre leur capacité d’investigation aujourd’hui trop focalisée sur la recherche de marqueurs. Les méthodes issues du monde de l’investigation numérique seront sans doute les nouvelles fonctionnalités recherchées afin de qualifier en profondeur un phénomène.

Dans un contexte mondial incertain, il est probable que la dépendance et la collecte massive de données de sécurité vers une poignée d’acteur (souvent américain) seront jugées trop risquées notamment pour les activités les plus sensibles et ainsi le besoin de se réapproprier des antimalwares par des acteurs européens ou l’émergence d’antimalwares qualifiés.