Ce livre blanc s’attaque à la racine du problème rencontré par la sécurité endpoint traditionnelle, à comment les pirates exploitent les failles de sécurité et introduit une nouvelle approche appelée “l’introspection de la mémoire au niveau de l’hyperviseur”, qui permet de révéler une activité malveillante dissimulée au sein de votre datacenter.
"1. Aperçu
Les derniers gros titres sont particulièrement éloquents : protéger les charges de travail et les données sensibles est impératif ; pourtant les outils traditionnels de protection des endpoints ne sont pas capables de se mettre au niveau des nouvelles technologies d’attaque et donc encore moins de prendre de l’avance sur leur évolution. La plupart des activités s’opérant dans les datacenters est aujourd’hui invisible mais cela ne devrait pas être le cas.
La virtualisation a ajouté une couche “hyperviseur” sous les systèmes d’exploitation, permettant à chaque hôte physique d’exécuter plusieurs systèmes d’exploitation invités. À ce jour, ce changement architectural fondamental n’a pas été mis à profit pour sécuriser ces systèmes d’exploitation invités et leurs charges de travail.
Bitdefender a ainsi coopéré avec Citrix afin de développer une technologie capable de révéler une activité malveillante au sein des systèmes d’exploitation invités, au niveau de l’hyperviseur sous-jacent. Cette approche ne représente pas une simple évolution dans la sécurisation des charges de travail et des endpoints, on peut parler de révolution pour leur sécurité.
2. Introduction
La sécurité des endpoints est un sujet complexe. Jusqu’à présent, le concept même de la protection des endpoints était limité à la sécurité exécutée au sein de ces derniers - les serveurs Windows et Linux et les systèmes d’exploitation de postes de travail dont dépendent toutes les entreprises modernes - ou à celles des appareils connectés au réseau.
Les cybercriminels en profitent ; ils utilisent des techniques et des outils sophistiqués pour compliquer la détection de leurs activités malveillantes par les logiciels de sécurité traditionnels. Les rootkits au niveau du kernel, les attaques zero-day, les centres de commande et de contrôle de nouvelle génération développés sur mesure, etc. sont désormais monnaie courante.
Ces nouvelles attaques sont très différentes des attaques de masse d’autrefois. Ces dernières étaient conçues pour infecter le plus de systèmes possibles et avaient tendance à révéler leur présence à cause d’un redémarrage du système ou de la génération de niveaux extrêmes de trafic réseau, etc. Les attaques à but lucratif plus récentes sont développées pour être furtives et pour contourner les outils de sécurité traditionnels. L’objectif est simple : infiltrer vos systèmes les plus sensibles et exfiltrer vos données confidentielles les plus précieuses, à votre insu."
