Première génération : Antivirus
La première génération de produits antivirus visait simplement à détecter les signatures virales. C'est cette génération de technologie qu'ont connue les années 1990 ; elle incluait des moteurs polymorphiques, ainsi que des analyses heuristiques simples basées sur les règles pour MS-DOS et Win32, puis basées sur les macros et, plus tard, sur les scripts. Cette période a également été marquée par la naissance des premiers chevaux de Troie Win32 très répandus, comme NetBus et BackOrifice.
Deuxième génération : Antimalveillance
A partir de l'an 2000, de nouveaux types de logiciels malveillants sont apparus, avec les vers et logiciels espions visant les réseaux sans fil, qui ont frappé les esprits en provoquant des épidémies massives.
Les moteurs antivirus de base ont évolué pour inclure des firewalls personnels qui permettent d'identifier et de bloquer les vers réseau sur la base des signatures de paquet. Ils ont aussi commencé à intégrer des nettoyeurs système qui restauraient les paramètres de système d'exploitation modifiés, comme les entrées de registre, les fichiers HOST, les objets BHO (Browser Helper Objects), etc. C'est au cours de la mise en place de ces technologies de deuxième génération que Panda Software a intégré la fonction SmartClean dans son moteur antimalveillance, conçu pour désinfecter et restaurer le système d'exploitation après l'attaque d'un logiciel espion ou d'un cheval de Troie (infection par porte dérobée).
Troisième génération : Technologies préventives
TruPrevent
Panda a commercialisé les technologies comportementales TruPrevent en 2004, après plus de trois ans de recherche et de développement intensifs.
Depuis, TruPrevent a évolué. C'est maintenant un ensemble de technologies comportementales, bien plus efficaces pour bloquer les logiciels malveillants de façon préventive dès leur apparition, sans dépendre des signatures virales, que toutes les solutions proposées précédemment. Nous adaptons constamment TruPrevent aux nouveaux exploits et techniques réalisés en matière d'attaque malveillante. TruPrevent a été élaboré sur la base du moteur antimalveillance. Actuellement, plus de 5 millions d'ordinateurs exécutent TruPrevent. Tous ces ordinateurs jouent également le rôle de nœuds de test hautement interactifs, qui soumettent à PandaLabs les nouveaux échantillons de logiciels malveillants marqués comme suspects par TruPrevent, mais non détectés par les signatures antivirus standard.
Techniquement, TruPrevent combine 2 technologies principales: l'analyse comportementale et le blocage comportementa), également appelés renforcement de la sécurité système et renforcement de la sécurité des applications.
Analyse comportementale
L'analyse comportementale constitue une vraie ligne de défense contre les nouveaux logiciels malveillants qui s'exécutent sur l'ordinateur en réussissant à contourner les signatures, l'analyse heuristique et le blocage comportemental. Proteus intercepte, au cours de l'exécution, les opérations et appels d'API effectués par chaque programme, et les met en corrélation avant d'autoriser l'exécution complète du processus. Cette corrélation en temps réel provoque le blocage ou l'autorisation de l'exécution des processus, uniquement en fonction de leur comportement.
A la différence des autres technologies comportementales, ce système est autonome et ne demande pas à l'utilisateur final de répondre à des questions techniques (« Voulez-vous autoriser le processus xyz à injecter un thread dans explorer.exe ou dans l'adresse mémoire abc ? »). Enfin, cette technologie n'exige pas de mise à jour des signatures, puisqu'elle repose uniquement sur le comportement des applications. Un bot (robot) n'en est pas un s'il ne se comporte pas comme tel ; toutefois, s'il le fait, cette technologie le détecte, quels que soient son nom et sa forme.
Blocage comportemental
Le blocage comportemental TruPrevent est le deuxième composant principal. Les pirates et les logiciels malveillants font un usage abusif des privilèges des applications légitimes afin d'attaquer votre système en y injectant du code. Pour prévenir ce type d'attaque de manière générique, il est bien plus économique d'employer une technologie de blocage sur la base des règles, qui restreint les actions que les applications autorisées peuvent effectuer sur le système.
KRE est composé d'un ensemble de stratégies définies par un jeu de règles décrivant les actions autorisées ou refusées pour une application donnée sur la base de ces règles. Vous pouvez définir des règles pour contrôler l'accès d'une application aux fichiers, aux comptes utilisateur, au registre, aux objets COM, aux services Windows et aux ressources réseau.
Moteur d'analyse heuristique génétique
Le moteur d'analyse heuristique génétique (GHE) a fait son apparition en 2005. Son but est de corréler les traits génétiques des fichiers à l'aide d'un algorithme propriétaire. Les traits génétiques définissent le potentiel du logiciel concerné à réaliser des actions malveillantes ou inoffensives lors de son exécution sur l'ordinateur. Le GHE est capable de déterminer si le fichier est inoffensif, ou s'il s'agit d'un ver, d'un logiciel espion, d'un cheval de Troie, d'un virus, etc.
L'intelligence collective. La prochaine génération.
Aujourd'hui, les logiciels malveillants sont 10 fois plus nombreux qu'il y a deux ans. Conclusion logique : vous avez besoin d'une solution de sécurité capable de détecter 10 fois plus de logiciels malveillants afin de bénéficier d'une protection efficace. Bien qu'une solution HIPS complète soit particulièrement efficace pour détecter la plupart de ces attaques et les bloquer à l'aide de technologies préventives, certains logiciels malveillants inconnus parviennent quand même à pénétrer ses défenses.
L'approche dite d'« intelligence collective » a été mise en œuvre pour la première fois fin 2006 sur des sites pilotes limités, avec comme objectif la détection fiable de « 10 fois plus d'attaques que maintenant avec 10 fois moins d'efforts ».
Les bases de ce nouveau système sont les suivantes :
Collecte de données auprès de la communauté. Le système collecte et stocke de manière centrale des schémas comportementaux de programme, des traces de fichier, des échantillons de nouveaux logiciels malveillants, etc. Ces données proviennent des utilisateurs Panda, ainsi que d'autres sociétés et collaborateurs. Cette forte capacité de collecte d'informations fournit une image plus complète des menaces actives sur Internet.
Traitement automatisé des données. Le système analyse et classe automatiquement les milliers de nouveaux échantillons qu'il reçoit chaque jour. Pour ce faire, un système expert met en corrélation les données reçues de la communauté avec la base de connaissances actuelle de PandaLabs, très complète, concernant les logiciels malveillants. Le système renvoie automatiquement son verdict (logiciel malveillant ou programme inoffensif) à propos des nouveaux fichiers que la communauté lui transmet, ce qui ne laisse à l'équipe PandaLabs qu'un minimum de tâches manuelles à effectuer.
Diffusion des connaissances acquises. Ces connaissances sont transmises aux utilisateurs sous forme de services Web ou de mises à jour de fichier de signatures.
Nous avons déjà développé et déployé quelques services qui fonctionnent uniquement avec la plate-forme d'intelligence collective. Ces services en ligne sont conçus pour effectuer un audit approfondi des ordinateurs et détecter les logiciels malveillants qui n'ont pas été reconnus par la solution de sécurité installée.
Pour les particuliers et les PC non connectés à Internet, nous avons développé NanoScan, qui recherche sur le PC les logiciels malveillants actifs, et TotalScan, qui effectue une analyse complète de l'intégralité du PC, y compris le disque dur, la mémoire, les bases de données de messagerie, etc.
Pour les entreprises, les exigences liées à l'audit concernant les performances et les logiciels malveillants sont plus strictes. Nous avons donc créé un service géré spécifique, appelé Malware Radar. Ce service permet aux sociétés d'effectuer rapidement un audit complet de l'ensemble des points d'accès sur l'intégralité de leur réseau, afin de vérifier leur niveau de sécurité, et de signaler les sources d'infection non détectée ou les ordinateurs ayant subi une attaque ciblée.