|
|
|
|
Sur quoi travaillent les éditeurs d'antivirus ? |
Nouvelles fonctionnalités, optimisation de la performance, gestion unifiée ou sécurité proactive : autant de points qu'évoquent les différents acteurs du marché.
(22/09/2005) |
|
En 2005, les virus n'ont pour l'heure pas marqué les
esprits par l'ampleur des dégâts causés mais par leur nombre.
Selon l'éditeur Symantec, 10 866 nouvelles variantes de virus
ont vu le jour au premier semestre 2005, soit une progression
de 142% en un an. Pour y faire face, les éditeurs d'antivirus
ont orienté leurs développements autour de trois points clés
: la sécurité proactive, l'administration simplifiée et la gestion
des vulnérabilités.
Premier élément majeur pour les prochains mois à venir, le développement
d'une sécurité autonome préventive. "Les attaques à zéro jour
posent un problème aux entreprises. La menace exploite une vulnérabilité
qui vient d'apparaître et se répand très rapidement. Le temps
que la souche parviennent aux laboratoires antivirus pour mettre
à jour les signatures, le virus a déjà contaminé sa cible",
souligne Stéphane Gili Miro, directeur marketing de Panda Software
France.
Bien
que disposant déjà de modules heuristiques ou comportementaux,
ces solutions ne réalisent qu'un contrôle a posteriori sur la
souche d'un code pour en déterminer la dangerosité. Les nouvelles
recherches des éditeurs d'antivirus les portent cette fois vers
un domaine appelé blocage comportemental. Derrière ce terme,
les spécialistes mettent en uvre des technologies d'analyse
bas niveau pour appliquer en temps réel les mesures de sécurité
qui s'imposent.
"Nous travaillons dans ce cadre sur les anomalies protocolaires,
c'est à dire les codes qui utilisent des protocoles de communications
non reconnus. Autre point : les exploits génériques. Une fois
la vulnérabilité découverte, le laboratoire définit un élément
exploitable par un futur virus et bloque par défaut ce type
de comportement. Plus généralement, il s'agit de stopper tout
comportement logiciel anormal", explique Eric Beaurepaire, directeur
marketing Europe du Sud chez Symantec.
Le
blocage de comportements suspects s'impose |
La corrélation d'événements devient alors essentielle : escalade
de droits, appels systèmes répétés, saturation de la mémoire,
modification des clés de registres
Un des atouts de cette gestion
préventive de la sécurité consiste à révéler aux éditeurs la
présence de nouvelles menaces offensives. Chez Panda Software,
l'offre correspondante, baptisée TruPrevent, a donc été retravaillée
pour en optimiser les performances.
"Toutes nos bases de connaissance sont établies sur des scénarios,
pas une base de signatures. Petit à petit, nous faisons évoluer
nos scénarios d'éradication et de détection. La version 6 qui
devrait sortir en début d'année intégrera notamment de nouvelles
fonctionnalités concernant le pharming, le phishing et les rootkits,
en plus d'une interface plus intuitive", indique pour sa part
Marc Blanchard, directeur du centre européen antivirus pour
Kaspersky France.
Mais derrière cette sécurité antivirus de plus en plus poussée,
les éditeurs y rattachent de plus en plus souvent d'autres fonctionnalités
de sécurité telles l'antispam, la gestion des dénis de services
ou la détection d'intrusion. Ainsi, que ce soit chez Panda Software,
Kaspersky ou Symantec, les boîtiers de sécurité réunissent désormais
antivirus, parefeu et antispam avec parfois du filtrage de contenu,
de la détection d'intrusion en supplément.
L'administration des solutions de sécurité est aussi un problème
central pour toute l'industrie de la sécurité informatique.
"Nous améliorons encore notre console d'administration en lui
ajoutant des options supplémentaires dans le déploiement de
package. Nous avons changé également les méthodes d'administration
en ce qui concerne les méthodes de scan et la gestion des logs",
note Marc Blanchard.
La
performance est l'une des clés de la réussite
d'une solution d'administration |
Pour Panda Software, l'effort porte davantage sur la mise au
point d'une politique de sécurité réseau. "L'utilisateur va
pouvoir définir quel groupe d'utilisateur doit avoir accès à
une ressource donnée. Dans un deuxième temps, nous allons traiter
les problèmes de mise à jour des machines nomades. Nos technologies
vérifient que la machine possède un antivirus et un parefeu
à jour. Si ce n'est pas le cas, l'administrateur peut forcer
la mise à jour ou nettoyer le poste", souligne Stéphane Gili
Miro.
Enfin, Symantec travaille à l'amélioration de la performance
de ses solutions d'administrations. "Nous cherchons à optimiser
l'infrastructure de sécurité proposée, c'est à dire la connexion
entre les serveurs, les passerelles, les postes clients
Les
clients disposent pour cela d'une interface commune à l'ensemble
de nos produits avec une fonction LiveUpdate qui va tout mettre
à jour en un seul clic", spécifie Eric Beaurepaire.
Cotés spécificités, Panda Software a porté ses efforts cette
année sur les fonctions luttant contre le dépassement de mémoire
tampon (buffer overflow). Chez Symantec, ce sont les logiciels
espions qui ont été au cur des développements tandis que Kaspersky
se concentrait à l'amélioration de l'interface graphique et
de la performance de ses produits.
Pour les douze prochains mois, les trois éditeurs prennent toutefois
des chemins divergeants. Ainsi, Symantec va surtout se focaliser
sur l'intégration de ses produits avec ceux de Veritas, portés
sur le stockage. Kaspersky compte poursuivre ses développements
autour de l'interface utilisateur de ses produits. Enfin, Panda
Software axera ses développements autour de l'optimisation de
la performance de TruPrevent, des technologies d'analyse du
trafic et de la coordination des éléments de sécurité.
|
|
|