Trouver l’aiguille dans la botte de foin. Découvrez Astraea

Quelque part dans nos bureaux, nous gardons précieusement un gros livre noir contenant une collection d’informations et de chiffres de Kaspersky Lab que nous utilisons dans nos présentations (le nombre d’employés que nous avons, combien de bureaux nous comptons et où ils se trouvent, notre chiffre d’affaire, etc.). L’un des chiffres les plus utilisés est le nombre de nouveaux virus qui apparaissent chaque jour. Et la raison pour laquelle ce chiffre est si populaire vient peut-être de la rapidité à laquelle il augmente. J’en suis moi-même impressionné : il y a un an, 70000 virus apparaissaient par jour; en mai 2012, 125000, et aujourd’hui (coup de massue) nous en sommes déjà au nombre de … 200000 par jour ! Je ne plaisante pas : chaque jour nous détectons, analysons et développons une protection contre autant de virus !

Comment faisons-nous ?
En bref, tout repose sur notre savoir-faire expert et les technologies qui en proviennent -sur lesquelles on pourrait également compiler un livre noir consistant en utilisant les posts de ce blog (cf. le tag « technologie« ). En faisant la promotion de nos technologies, certains se demandent peut-être si nous n’avons pas peur que les pirates lisent nos articles. C’est une de nos inquiétudes, mais le plus important pour nous, est que les utilisateurs comprennent mieux le fonctionnement de leur (notre) protection, ce qui motive les pirates ainsi que les astuces qu’ils utilisent.

Aujourd’hui, nous ajoutons une annexe très importante à notre tome sur les technologies : la technologie Astraea. C’est un des éléments clés de la technologie « cloud » de  notre service Kaspersky Security Network (KSN, cf. vidéodétails) qui analyse automatiquement les notifications d’ordinateurs sécurisés et nous aide à découvrir des menaces jusqu’alors inconnues. En réalité, Astraea a de nombreux autres avantages sans lesquels nos experts ne pourraient tout simplement pas travailler aujourd’hui. Pour continuer la tradition de mes posts sur les technologies, laissez-moi vous l’expliquer étape par étape…

Commençons par un autre chiffre clé du BBB (Better Business Bureau) : plus de 60 millions. C’est le nombre de personnes qui utilisent KSN. Et quand je dis utiliser, je veux parler d’échanges continus d’informations avec le « cloud » sur des fichiers suspects, des sites, des évènements système, des détections et bien d’autres, correspondant tous à ce qu’on appelle « l’environnement épidémiologique de l’Internet » !
Analyser manuellement en temps voulu cet énorme flux provenant du KSN est, vous l’imaginez, quasiment impossible. Cela serait comme chercher une aiguille dans une botte de foin. Néanmoins, cette aiguille (et elle a une importance énorme) est bien présente : la chercher en vaut donc la peine, et parvenir à la trouver est principalement une question d’excellence en ingénierie logicielle.

Il s’avère qu’en utilisant la bonne manière pour traiter un tel flux, il est possible de faire d’une pierre trois coups : (1) de détecter un virus rapidement et efficacement en réalisant un effort minimum, (2) d’élaborer une base de données statistiques essentielle pour ne pas perdre de vue le dit virus, et de rester à jour quant à l’apparition de nouveaux virus, et (3) de créer un système expert automatique qui se développe constamment et qui est capable de générer des « traitements » automatiquement (en maintenant les faux positifs à un taux minimal).

Et voilà ! Vous connaissez les principes de base d’Astraea, un système créé pour traiter un volume colossal de données dans le but d’en extraire des résultats précis que les experts appellent « big data », ou la recherche automatique de l’aiguille dans la botte de foin. Et voici d’autres chiffres pour vous : plus de 150 millions de notifications KSN passent par Astraea chaque jour, et parmi celles-ci, 10 millions d’éléments (fichiers et sites Web) sont notés !

Comment ça marche ?
La première étape consiste à ce que, en arrachant une longue page du livre « qu’est-ce-que le crowdsourcing« , Astraea obtienne des notifications de sites et de fichiers suspects provenant des participants du KSN. Tous les évènements sont automatiquement analysés et classés en tenant compte de l’importance (c’est à dire de la fréquence et de la popularité des objets), et du danger qu’ils représentent.  Le niveau de danger est calculé sur le principe de poids dynamiques qui changent constamment, ce qui implique un retour d’information constant entre les notifications et le système expert. La liste des poids est maintenant constituée de centaines de critères qui sont régulièrement ajustés et réajustés par nos experts : la liste elle-même est également mise à jour régulièrement. La liste représente donc une grosse partie du savoir d’un analyste en sécurité -une liste de règles à travers lesquelles un virus a de grandes chances d’être détecté.

En dernier lieu, Astraea renvoie sont classement à KSN, où il est accessible à tous les utilisateurs de nos produits, et la boucle est ainsi bouclée. En outre, plus la base de données statistiques est importante, plus les chances de découverte et de suppression de nouveaux virus sont grandes.

Grâce aux statistiques que nous avons sur le comportement des virus sur les ordinateurs des utilisateurs, Astraea connaît toutes les caractéristiques des virus comme l’absence de signature numérique, l’AutoLaunch, l’utilisation de certains packers, etc. Et quand Astraea commence à recevoir des notifications indiquant que de nouveaux fichiers présentent des caractéristiques malveillantes, il diminue la note de « garantie » pour ces fichiers conformément aux données accumulées. Par conséquent, quand la notation de certains fichiers atteint un seuil critique, le système les classifie comme malveillants, produit les signatures nécessaires et transfère ces signatures aux utilisateurs via KSN. Et tout cela de manière complètement automatique !

De la même façon, le système effectue une recherche préventive de sites malicieux. Il détecte les sources similaires aux hébergeurs de virus révélés précédemment et qui prétendent être légitimes. Un grand nombre de critères sont également pris en compte ici : par exemple, la concordance d’adresses mail ou le nom d’un utilisateur, la date d’enregistrement de la source, la présence de fichiers suspects sur le site hébergeur, etc.

Ce qui est important ici, c’est que le système ne calcule pas seulement des notes pour des fichiers et des sites : il les compare afin d’obtenir des résultats plus précis. Il est donc logique de supposer qu’un fichier téléchargé d’un site connu pour distribuer des virus reçoive une note plus basse qu’un fichier provenant d’un site sain. Il va sans dire qu’Astraea sauvegarde tout l’historique d’interaction avec KSN, ce qui nous aide à réagir quand une infection surgit ainsi qu’à en localiser la source primaire, et à en suivre le développement -en termes de temps et de situation géographique (par pays). De plus, ces données peuvent être utilisées pour (1) créer des rapports spécifiques et analyser des tendances à pratiquement tous les niveaux -classements par pays, hébergeurs, fichiers, familles de virus, etc. (les rapports peuvent être également croisés); (2) prévoir le développement de l’activité cybercriminelle en vue d’attaques dans différents domaines; et (3) pour prévoir le rythme de développement de certains virus en ce qui concerne leur comportement et la plateforme utilisée pour mener l’attaque.

Mais il y a mieux !
Astraea est aussi un système de détection proactif. Il peut détecter non seulement les menaces déjà connues, mais aussi planifier les menaces avant même qu’elles ne viennent à l’esprit des pirates ! En possédant une énorme base de données de connaissances sur le comportement des virus dans le monde réel, nous pouvons élaborer des modèles de comportement et également les ajouter au KSN. Le temps de réaction à de nouvelles menaces est actuellement de 40 secondes, mais grâce à l’approche proactive, il sera proche de zéro seconde !

Un autre avantage d’Astraea : la diminution du taux de faux positifs.
D’une part, le système fonctionne avec une base statistique énorme et un modèle mathématique très affûté, qui combinés ensemble permettent de réduire au minimum la quantité de fausses détections. Depuis 2010, année d’apparition d’Astraea, nos spécialistes ne se souviennent pas d’un seul incident plus ou moins important.
D’autre part, un mécanisme qui contrôle le facteur humain est intégré au système. Il vérifie automatiquement et en permanence chaque fois qu’un expert tente d’ajouter une nouvelle entrée que cela soit à la liste noire ou blanche.

Quelques exemples simples :
Le fichier « ABC » est sur une liste de fichiers sains (liste blanche), mais soudainement Astraea reçoit une notification signalant que notre produit a détecté un cheval de Troie dans celui-ci. Le système trouve une fausse signature, la désigne comme un faux positif, et lance le processus de test et de correction de la détection.

Autre exemple : Un analyste en sécurité pris d’une passion effrénée (ou ayant la gueule de bois) ajoute le fichier « XYZ » à la liste noire. Néanmoins, le fichier est déjà sur la liste blanche. Le système signale à l’analyste qu’il s’est peut-être un peu trop enflammé (ou qu’il a trop bu la nuit précédente), et il empêche l’ajout de la nouvelle entrée, jusqu’à ce que le conflit soit résolu. Astraea est en fait un système qui s’élargit constamment, et trop d’exemples de faits similaires pourraient être cités.

Avec Astraea, nous « creusons » activement en largeur et en profondeur. Nous modernisons le modèle mathématique de l’analyse de données, ajoutons des critères existants réévalués et nouveaux, apportons de nouvelles technologies pour augmenter la rapidité et la qualité de la détection de menaces, et nous mettons en œuvre des systèmes adjacents dans le but de construire des corrélations complexes. De manière générale, nos plans sont comme toujours ambitieux et poussés (mais ça ne peut être qu’une bonne chose). Et puisque nous sommes au sommet d’un phénomène de « patent trolls » (chasseurs de brevets), nous brevetons ces délicieuses bouchées constamment. Nous minimisons également les risques de faux positifsprévenons les infections de virus, et nous détectons les menaces inconnues.

LIRE LES COMMENTAIRES 2
Commentaires 0 Laisser un commentaire
Rétroliens 2

La résurrection des anciens créateurs de virus | Nota Bene

Découverte de nouveaux virus extrêmement élaborés à Tcheliabinsk | Nota Bene- French

Laisser un commentaire