Les Approches ont Changé … Insight, Blacklist vs Whitelist – based applications …


Les Temps changent, les usages & les routines aussi …

« Alors que les problématiques sont d’ordres plus complexes, les utilisateurs requièrent des outils plus simples ET plus efficaces, plus rapides ET plus réactifs ! »

Dernièrement, je m’interrogeais sur les changements qui des dernières années en matière de sécurité antivirale … de solutions de protection des postes … & j’ai eu confirmation que cette question ne m’était pas propre par la lecture de Quelques dossiers et rapports …

  • « Blacklist-based Software vs. Whitelist-based Software …

In response to explosive malware growth, organizations are demanding more robust security solutions that frequently include two opposing approaches: blacklisting and whitelisting… »

Des scanners aux moteurs plus agiles, l’introduction de l’analyse comportementale sur fichiers, la différenciation entre natures et sensibilités de fichiers, les dernières innovations et l’introduction de l’expérience utilisateurs et autres Technologies « Insight » au sein des Suites de Protection payantes bénéficient aux utilisateurs de rangs inférieurs ayant des moyens limités et/ou des contraintes spécifiques, qui souvent ne réclament que plus de rapidité sans s’interroger sur des points précis.

Selon le degré d’efficacité des réseaux des Opérateurs, de leurs implantations géographiques, des nombres de machines dont les données sont collectées, le nombre d’utilisateurs au sein des communautés de développeurs, chercheurs, passionnés et autres Professionnels participants à la lutte contre les codes néfastes en général, le temps des mises à jour des listes de définitions de virus  bi-mensuelles est bel et bien passé !

Cependant, pour la prise de décision des dirigeants d’Entreprises plus importantes, de dimension plus large, à la recherche de solutions antivirales mais pas seulement, les Services se sont adaptés et donc proposés par les Leaders des marchés de l’IT et de l’Industrie de la Sécurité Informatique sont de plus en plus pro-actives et se basant sur des définitions redéfinies dès l’apparition d’une menace quel que soit son point d’impact … ou sous quelques heures ou jours ou … 🙂

C’est ce à quoi répondent aujourd’hui les évolutions des Suites payantes, avec un accent mis sur les différentiels par une approche sélective des contenus à scanner, suivant la ligne de route définie par la Liste Blanche des Applications, plutôt que sur un « scan » exhaustif incrémentiel ou sectoriel, libérant donc le système de la contrainte de scanner l’intégralité d’un disque ou d’un support autre, se réservant le privilège de présélectionner les fichiers connus, pour leur bonne « Réputation » et d’écarter ceux qu’il ne connaît pas pour demander un avis à l’administrateur, qui validera ou pas le fichier selon les cas …

Cela diminue donc le temps global d’opérations et de traitement, dans les cas le plus standards.

Cependant, avec cette approche, et dans le but d’atteindre le « ZeroDay » comme le font Tous les opérateurs de Sécurité à la recherche de l’Ultime Solution qui rendrait Tout Type d’Attaque impossible dès lors que se soit produite une première fois, diminuant son impact au minimum possible en termes de propagation, il  ne faudrait pas s’écarter de la compréhension de la Routine fondamentale d’un système viral ou malveillant destiné à s’introduire dans un système de fichiers sains, un code à se répandre et modifier des données inhérentes aux fonctionnalités du système, contourner des règles de validations de signatures, alors que cela est le coeur même de la bataille !

Dès lors qu’une liste, restriction ou limitation est crée pour procéder à l’analyse ou la recherche, c’est une voie d’entrée à considérer comme potentielle et dès lors, il faut prévoir un sous système de vérification de l’intégrité des listes …

L’interrogation se pose … Changer pour accélérer, ou pour mieux sécuriser … Dans quelle mesure ?

où se situe le centre de gravité de cet équilibre recherché ?

Je tends à penser que les approches de Microsoft et de Symantec sont des meilleures, éprouvant actuellement des démarches de la part des deux éditeurs et appréciant les mécanismes mis en oeuvre pour organiser les séquences de travail des différents composants ou modules applicatifs composant l’application proposée.

La spécificité actuelle des outils Symantec permet entre autres choses de lancer des opérations de détection de non utilisation des ressources matérielles, ce qui optimise l’usage des PC’s équipés.

L’une des spécificités de la solution Enpoint protection consiste à fournir une application composée de plusieurs applicatifs ayant des rôles séparés et différenciés, faisant que la robustesse de l’ensemble ainsi que la gestion des « mémoires » puissent se faire de manière indépendante.

Cela réduit les risques de corruption générale de l’application, conférant dès lors, par l’introduction de commandes de vérification de l’intégrité des autres modules par vérification de versions et identifiants de distributions, une fiabilité accrue aux solutions proposées …

Des ressources seront prochainement publiées pour vous aider à faire face à ces interrogations !

Les Challenges de la Sécurité des Systèmes !

Trop verrouiller au détriment de faire perdre en productivité, ou ouvrir plus et permettre d’augmenter la sécurité au détriment de la Sécurité ! On revient donc au point de départ … Les Applications sont-elles plus légères ou les Machines plus rapides ? 🙂

Mes opinions ne sont pas importantes en la matière ! Vous les aurez devinées !

Je suis Partenaire SYMANTEC ET Microsoft … cela répond en partie à l’interrogation éventuelle …

Ce qui compte le plus à mes yeux ? c’est que VOUS vous posiez la question !

et ça, ! C’est mon job de vous inviter à le faire …

Cordialement, MZERMA Amine

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s