Automated Moving Target Defense (AMTD) améliore la sécurité des applications chez Sophos Endpoint en créant des barrières indépendantes des menaces pour chaque processus. Il devient plus difficile pour un logiciel d’exécuter du code qui ne fait pas partie originale de l’application. Cela empêche notamment les logiciels malveillants de s’exécuter.
À mesure que les cybermenaces s’intensifient, les équipes de sécurité sont confrontées à un nombre croissant d’alertes et de faux positifs. Cela affecte l’efficacité de la sécurité et mobilise beaucoup de ressources. Automated Moving Target Defense (AMTD), un nouveau concept développé et promu par Gartner, vise à briser cette dynamique et à apporter un soulagement. Les produits et services de sécurité qui utilisent les technologies AMTD augmentent les obstacles pour les attaquants. L'orchestration contrôlée des changements dans les environnements informatiques interrompt activement les attaques et déjoue les tentatives d'effraction.
AMTD sur le point de terminaison
Sophos utilise les technologies AMTD au niveau du point final, créant ainsi des barrières permettant aux attaquants d'intercepter ou d'éliminer automatiquement les menaces. Outre la réduction de la surface des menaces, l'analyse comportementale et l'utilisation de modèles d'apprentissage profond ou d'IA, AMTD améliore la sécurité des applications en créant des barrières indépendantes des menaces pour chaque processus. Résultat : il devient plus difficile pour un logiciel d'exécuter du code qui ne fait pas partie originale de l'application. Cela empêche notamment les logiciels malveillants de s’exécuter. Les technologies de protection AMTD comprennent :
Protection adaptative contre les attaques (AAP)
La protection adaptative contre les attaques (AAP) détecte la présence d'un attaquant actif de deux manières : premièrement, grâce à l'utilisation de kits d'outils d'attaque courants et deuxièmement, grâce à des combinaisons de comportements malveillants actifs qui indiquent les premières étapes d'une attaque. Une fois qu'une attaque active est détectée sur un point de terminaison, AAP active des restrictions temporaires. Un exemple est la prévention d'un redémarrage en mode sans échec, que les attaquants utilisent, par exemple, pour contourner la détection.
Randomisation – mais sécurisée
Par exemple, si la bibliothèque de liens dynamiques (DLL) d'une application est toujours chargée de manière prévisible à la même adresse mémoire, il est plus facile pour les attaquants d'exploiter les vulnérabilités. Bien que les développeurs puissent activer la randomisation de la disposition de l'espace d'adressage (ASLR) lors de la compilation, ce qui randomise les adresses une fois par redémarrage, tout logiciel tiers n'incluant pas ASLR peut compromettre cette stratégie. Sophos améliore la sécurité des applications en garantissant que chaque module est chargé à une adresse mémoire aléatoire à chaque démarrage de l'application, augmentant ainsi la complexité d'une attaque potentielle.
Tromperie des logiciels malveillants
Les attaquants tentent souvent de cacher leur code malveillant aux analyseurs de fichiers et de stockage par l'obscurcissement. Cependant, l’obscurcissement du code malveillant doit être abandonné avant qu’il puisse être exécuté sur l’ordinateur. Ce processus repose généralement sur des API spécifiques du système d'exploitation. Sophos place stratégiquement des éléments de tromperie qui imitent les API liées à la mémoire couramment utilisées par les attaquants pour initialiser et exécuter leur code malveillant. Cette défense indépendante des menaces et du code peut perturber le code malveillant sans entraver les applications inoffensives.
Des limitations raisonnables permettent une meilleure protection
Pour échapper aux défenses, le code malveillant est généralement masqué et souvent diffusé via des applications inoffensives. Avant d'exécuter du code caché, la menace doit se dévoiler, ce qui entraîne la création d'une zone mémoire adaptée à l'exécution de code et représente donc une exigence matérielle du processeur. Les instructions sous-jacentes requises pour créer une région de mémoire activée par le code sont si courtes qu'elles ne suffisent pas à elles seules aux technologies de protection pour les classer comme malveillantes. Si de telles commandes étaient bloquées, même les applications les plus inoffensives ne fonctionneraient inévitablement plus. Sophos Endpoint conserve un historique clair, suit la propriété et corrèle les allocations de mémoire activées par le code entre les applications. Cela signifie que de nouvelles mesures de protection à un niveau aussi bas sont possibles et peuvent être utilisées de manière judicieuse.
Renforcement des zones mémoire sensibles à la sécurité
Sophos empêche la manipulation des processus en créant des barrières autour des zones de mémoire sensibles à la sécurité de chaque application. Des exemples de zones de mémoire sensibles sont le Process Environment Block (PEB) ou l'espace d'adressage de modules liés à la sécurité tels que l'Anti-Malware Scan Interface (AMSI). Les attaquants visant à usurper l'identité d'un processus inoffensif masquent les paramètres de ligne de commande, désactivent ou exécutent du code arbitraire dans leur propre espace d'adressage (ou celui d'un autre processus) et manipulent régulièrement du code ou des données dans ces zones sensibles. En protégeant ces processus, un grand nombre de techniques d’attaque existantes et futures sont supprimées et exposées de manière générique.
Garde-corps
Sophos installe ce qu'on appelle des garde-fous autour de l'exécution du code. Cela empêche l'exécution du code de circuler entre les sections de code individuelles et d'entrer dans un espace d'adressage qui fait partie de l'application d'origine mais est destiné à contenir uniquement des données. Il empêche également activement l’injection d’APC et l’utilisation de diverses autres fonctionnalités du système qui ne sont pas utilisées par les applications légitimes.
« Lorsqu'il est utilisé correctement, AMTD fournit une couche de défense inestimable contre les menaces persistantes avancées (APT), les attaques basées sur les exploits et les ransomwares », a déclaré Michael Veit, expert en cybersécurité chez Sophos. « Les technologies AMTD sur le point final améliorent automatiquement la résilience de toutes les applications sans avoir besoin de configuration, de modification du code source ou de tests de compatibilité. Les stratégies de cybersécurité automatisées et orchestrées placent la barre plus haut pour les attaquants car elles augmentent l’incertitude pour les attaquants et prennent donc plus de temps pour planifier les attaques.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.