L'émulation des menaces est une nouvelle technique clé pour stopper les attaques, « zero-day » et ciblées. Thierry Karsenti, Directeur Technique Europe de Check Point, explique comment cette méthode offre une protection inégalée contre les menaces connues et inconnues.
Via Intelligence Economique, Investigations Numériques et Veille Informationnelle
Les fichiers envoyés au moteur d'émulation des menaces sont copiés et lancés dans plusieurs systèmes d'exploitation et environnements applicatifs virtuels. Ils sont ensuite soumis à un processus d'inspection en cinq étapes :
1. Tout fichier entraînant le mal fonctionnement de l'instance virtualisée du programme, ou tentant de décompresser et substituer un autre document, est signalé comme étant malveillant. De plus, toute tentative d'appel d'un fichier .dll ou .exe signale un comportement potentiellement anormal et malveillant.
2. La base de registre virtuelle est analysée pour détecter toute tentative de modification, qui est une caractéristique des logiciels malveillants et une action qu'un document courant ne devrait jamais tenter.
3. Le système de fichiers et les processus sont également analysés à la recherche de toute tentative de modification apportée. Comme indiqué ci-dessus, un document ordinaire ne devrait pas tenter de faire des changements.
4. Le moteur vérifie toute tentative de communication avec le web, par exemple, pour communiquer avec un centre de commande et de contrôle ou télécharger du code malveillant.
5. Enfin, le moteur consigne et génère un rapport de toutes les activités effectuées par le fichier, avec des captures d'écran des environnements virtuels, et crée une « empreinte numérique » du fichier qui peut être rapidement utilisée lors de détections ultérieures.