Les antivirus sont « has-beens »

Aujourd’hui, les antivirus sont à  la traîne. Souvent incapables de prévenir les infections par  les nouveaux codes malicieux, ils ne sont malheureusement  pas beaucoup plus efficaces à   les détecter les premiers jours. Il y a déjà  plus d’une année, seulement 50% des antivirus étaient d’ailleurs en mesure de détecter de nouveaux échantillons de malwares 0-day. Le modèle de protection basé sur des signatures de malwares est semble-t-il dépassé ou tout du moins n’est-il plus en mesure d’apporter seul une sécurité suffisante.

Aujourd’hui, c’est Netflix qui va plus loin et s’engage dans l’abandon des antivirus au profit de solution de sécurité  des terminaux. Ainsi, plutôt que de rechercher le format d’un  fichier suspicieux, les analyses se focalisent aujourd’hui plutôt sur des exécutions  inhabituelles ou à  risque de services ou programmes.  La démarche consiste donc à  identifier et bloquer des comportements anormaux comme une tentative de connexion sur une adresse anormalement lointaine, un port de connexion inhabituel ou par exemple vers le réseau Tor qui devient d’ailleurs aujourd’hui un véritable repère de malwares.

Dans cette stratégie, Netflix a choisi de s’appuyer sur la solution SentinelOne comme protection du terminal de travail

Homepage Sentinel Security EndPoint

mais il en existe d’autres, comme par exemple la solution suisse  Nexthink  en mesure d’apporter une vision analytique unique de l’environnement informatique et du fonctionnement de ses composants.

Nexthink Homepage

Mais, les éditeurs historiques d’antivirus ne sont pas resté les bras croisés devant le déclin des antivirus standards et ils proposent dorénavant également des solutions de sécurité de poste de travail comme par exemple:

• Endpoint Security Solutions – Trend Micro USA
• Endpoint Security Software | Symantec
• Endpoint Protection – Endpoint Security | McAfee Products
• …

Le futur de la guerre contre les malwares  sera certainement un compromis combinant les  forces des signatures et de l’analyse comportementale. A suivre donc, et pour en savoir plus, voici un article en relation avec l’approche choisie par Netflix:

But it’s now possible to dump anti-virus altogether, and Netflix is about to prove it. The firm has found a vendor that covers those compliance demands in the form of SentinelOne. As SentinelOne CEO Tomer Weingarten told me, his firm was given third-party certification from the independent AV-TEST Institute, validating it can do just what anti-virus does in terms of protecting against known threats, whilst providing “an additional new layer of advanced threat protection”. Its end-point security doesn’t rely on signatures, it monitors every process on a device to check for irregularities and does not perform on-system scans or require massive updates like anti-virus, Weingarten said.

via  Netflix Is Dumping Anti-Virus, Presages Death Of An Industry