Sophos Anti-virus pour Windows 2000+ : Forum Aux Questions sur le comportement runtime HIPS

Q. Le terme HIPS semble désigner des choses différentes selon les éditeurs de sécurité. Que regroupe Sophos HIPS ?

R. Un système de prévention des intrusions sur l'hôte (HIPS, Host Intrusion Prevention System) surveille le comportement du code afin de bloquer les malwares avant qu'une mise à jour de détection spécifique ne soit publiée. De nombreuses solutions HIPS surveillent le code et interviennent si ce dernier est jugé suspect ou malveillant. Sophos va encore plus loin en analysant de manière unique le comportement du code à deux niveaux :

• L'exécution préalable : le comportement du code est analysé avant son exécution et cette dernière est bloquée s'il est considéré comme suspect ou malveillant (par exemple, Behavioral Genotype ®, détection des fichiers suspects)
• Runtime : la détection runtime intercepte les menaces qui ne peuvent pas être détectées avant leur exécution (par exemple, la détection des comportements suspects, la protection par dépassement de la mémoire tampon (ou BOPS, Buffer Overflow Protection)).

Q. Quelle est la différence entre Behavioral Genotype, détection des fichiers suspects et détection des comportements suspects ?

R. Behavioral Genotype® est une technologie utilisée pour identifier des caractéristiques de fichiers avant leur exécution, afin de déterminer s'ils ont des intentions malveillantes. Grâce à cette technologie, nous parvenons sans analyse à détecter les nouvelles versions de malwares en déterminant que, malgré la différence d'aspect du fichier avec d'autres échantillons de malware précédemment rencontrés, les caractéristiques fondamentales restent les mêmes et sont malveillantes.

La détection des fichiers suspects utilise la technologie Behavioral Genotype®, mais d'une manière plus souple. La détection des fichiers suspects de Sophos Anti-Virus examine par ailleurs les caractéristiques d'un fichier avant son exécution. Le programme marque le fichier comme "Suspect" (avec le préfixe Sus/) s'il contient une combinaison de caractéristiques communément, mais pas exclusivement, rencontrées dans les malwares.

La détection des comportements suspects est une technologie HIPS runtime qui évalue le comportement d'un processus durant l'exécution et qui alerte les utilisateurs s'ils réalisent des opérations potentiellement malveillantes. La détection des comportements suspects utilise aussi la technologie Behavioral Genotype® pour vérifier les processus d'exécution et essaie de déterminer si le comportement observé est en cours d'exécution par un processus avec des caractéristiques de malwares. Ainsi, la détection des comportements suspects est efficace pour empêcher une infection par des malwares inconnus.

La détection des comportements suspects peut être configurée pour simplement alerter les utilisateurs sur ces comportements ou pour qu'ils prennent les mesures adéquates pour les bloquer.

Q. De quoi me protège l'analyse comportementale runtime HIPS ?

R. L'analyse comportementale runtime HIPS de Sophos identifie le comportement suspect des processus en cours d'exécution et présents sur l'ordinateur à ce moment-là. Cette analyse vous protège contre les attaques des malwares, spywares, outils de piratage et applications potentiellement indésirables ainsi que des failles et des attaques intrusives.

Q. Quels types de comportements l'analyse comportementale runtime HIPS recherche-t-elle ?

R. L'analyse comportementale runtime HIPS de Sophos surveille les processus actifs associés aux malwares connus. Comme exemples de ces comportements, on peut citer les modifications de registres qui référencent ou sont déterminés par des fichiers qui semblent suspects, l'écriture de fichiers à l'allure suspecte dans le système de fichiers ou encore le démarrage de processus d'une manière suspecte ou inhabituelle. Pour plus d'informations, veuillez vous reporter aux descriptions des règles de l'analyse comportementale runtime HIPS de Sophos ici : http://www.sophos.fr/security/analyses/suspicious-behavior-and-files/.

Q. Quelle est la différence entre Sophos Runtime HIPS et les produits des autres éditeurs ?

R. Les laboratoires Cascadia ont réalisé une étude comparative disponible ici : http://www.sophos.fr/security/topic/enterprise-review.html.

Q. Quelle est l'efficacité de l'analyse comportementale runtime HIPS de Sophos et pourquoi devrais-je l'utiliser ?

R. Les SophosLabs réalisent chaque jour des tests d'analyse comportementale runtime HIPS sur les derniers malwares non détectés à ce moment-là. Ces tests démontrent que l'analyse comportementale runtime HIPS identifie correctement près de 45 % de ces nouveaux malwares (menaces du jour zéro).

Q. Comment savoir si une alerte de comportement runtime HIPS est une une détection indésirable ou une menace authentique ? Y'a-t-il un processus à suivre pour m'aider à prendre une décision ?

R. Veuillez vous reporter à l'article Sophos Anti-Virus pour Windows 2000+ : décider d'autoriser ou de bloquer un fichier pour vous guider dans la prise de décisions.

Q. J'ai besoin de plus de détails sur ce qui se produit. Pourquoi les descriptions de règles en ligne n'ont-elles pas plus d'informations ?

R. Les descriptions de règles en ligne sont prévues pour vous donner un aperçu précis du comportement qui a été détecté pour vous aider à décider du sort d'un fichier : le soumettre pour analyse ou l'autoriser. Par contre, il ne serait pas judicieux d'expliquer exactement à tout le monde (notamment aux auteurs de malwares) le fonctionnement de la technologie. Pour plus de détails techniques, reportez-vous aux descriptions HIPS en ligne.

Q. Je ne veux pas savoir si un processus pourrait être un malware mais je veux savoir si c'est un malware. Vous êtes les experts, pourquoi devrais-je décider seul ?

R. Le but principal de Sophos est de déclarer de manière définitive si oui ou non un fichier ou un processus est malveillant. Nous voulons même garder les détections "suspectes" au-dessous d'un certain pourcentage de toutes les détections car nous estimons que notre rôle fondamental est de prendre cette décision au nom de nos clients.

L'analyse comportementale runtime HIPS constitue une couche de protection supplémentaire contre les malwares inconnus grâce à l'identification de près de 45 % des malwares non précédemment rencontrés, mais elle ne remplace pas nos technologies antimalware standard plus précises, qui sont les meilleures du secteur.

Afin de fournir cette couche supplémentaire de protection, il est parfois nécessaire qu'un être humain interprète les résultats d'un contrôle. Dans certains cas, une compréhension du contexte de la détection peut faire la différence pour déterminer si un fichier ou un processus est malveillant. Nous nous rendons bien compte que cette protection supplémentaire représente un coût supplémentaire, c'est d'ailleurs la raison pour laquelle l'analyse comportementale runtime HIPS est facultative.
Sophos continue de créer de nouvelles technologies pour trouver et détecter des malwares et d'améliorer ses taux de détection tout en maintenant au plus bas les frais d'administration liés à cette protection. Notre objectif est de détecter tous les malwares et de classer de manière précise, sans qu'aucun utilisateur n'intervienne, les "fichiers suspects" par catégories : "sains" ou "malveillants".

Q. Qu'est-ce qu'une "détection indésirable" ? S'agit-il de la même chose qu'un faux positif ?

R. Non. Nous utilisons le terme “détection indésirable” en parlant des alertes de comportement suspect sur les fichiers sains. Ce n'est pas pareil qu'un faux positif car le fichier signalé A DEJA eu du comportement plus fréquemment rencontré dans les malwares que dans des logiciels légitimes. Parfois, les logiciels légitimes affichent ces comportements, c'est la raison pour laquelle vous DEVEZ évaluer l'alerte et décider si l'élément est réellement légitime. Si vous êtes incertain, nous sommes toujours disponibles pour analyser le fichier et confirmer s'il s'agit oui ou non d'une menace authentique.

Tous les efforts sont faits pour conserver le nombre de détections indésirables au minimum et dans le cas peu probable du déclenchement d'une alerte par un fichier sain, nous pouvons choisir de supprimer cette alerte dans une version future du logiciel.

Q. Comment dois-je utiliser l'analyse comportementale runtime HIPS de Sophos pour obtenir le moins de détections indésirables possible ?

R. Pour plus de détails, veuillez vous reporter au document sur le bon usage de l'analyse comportementale runtime HIPS.

Q. Pourquoi mettre l'analyse comportementale runtime HIPS de Sophos en mode Alerter seulement pendant l'installation des logiciels ? Ne vais-je pas être infecté ?

R. Lorsque l'analyse comportementale runtime HIPS est en mode Alerter seulement, vous bénéficiez toujours d'une excellente protection grâce aux autres technologies de Sophos comme Behavioral Genotype et la détection des fichiers suspects.

L'installation de logiciels entraîne généralement de nombreux changements à la fois dans le registre et dans le système de fichiers de l'ordinateur. Bien évidemment, ces changements sont nécessaires pour que l'installation réussisse, mais ils peuvent prêter à confusion au moment de la vérification comportementale runtime. Avec l'apparition ou la disparition de fichiers et des nombreux changements apportés dans le registre, la probabilité d'exécution d'un comportement qui, en dehors du contexte de l'installation d'un logiciel, serait normalement considérée comme suspect, augmente. Pour cette raison, afin d'empêcher les détections indésirables, nous vous recommandons de mettre l'analyse comportementale runtime HIPS en mode Alerter seulement lors de l'installation des logiciels. Pour plus d'informations, veuillez vous reporter au document sur le bon usage de l'analyse comportementale runtime HIPS.

Les risques d'infection lors de l'installation sont minimes si vous avez pris les mesures nécessaires pour vous assurer que les logiciels que vous souhaitez installer proviennent d'une source fiable et légitime et qu'ils n'ont en aucune façon été modifiés.

Q. J'ai en ma possession des logiciels qui sont paramétrés pour effectuer automatiquement l'installation des mises à jour et l'application des correctifs, y compris sur le système d'exploitation. Dois-je garder en permanence l'analyse comportementale runtime HIPS de Sophos en mode Alerter seulement ?

R. L'analyse comportementale runtime HIPS constitue un moyen de protéger vos systèmes des malwares mais nous vous recommandons d'autoriser ces applications à la place. Cela vous permettra d'utiliser l'analyse comportementale runtime HIPS pour bloquer automatiquement l'exécution des malwares tout en autorisant l'exécution habituelle de vos logiciels de mise à jour, sans générer d'alertes.

Sachez par ailleurs que certains comportements sont plus faciles à déterminer comme malveillants avec le mode Alerter seulement désactivée, comme le décrit l'article suivant du blog des SophosLabs : http://www.sophos.com/security/blog/2008/09/1831.html