 |
Assiste.com
| |
NGAV - Next Generation AntiVirus
NGAV - Next Generation AntiVirus : Intelligence artificielle, détection de comportement, algorithmes de Machine Learning, atténuation des exploits.
03.12.2023 : Pierre Pinard.
|
Dossier (collection) : Acronymes, sigles et abréviations |
|---|
| Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
| Sommaire (montrer / masquer) |
|---|
En français : Antivirus de nouvelle génération.
Solutions NGAV vs solutions EDR
L’une ne va pas sans l’autre.
La terminologie « Next generation antivirus » et l'acronyme « NGAV » apparaissent publiquement dans un écrit de cybereason.com publié le 01.06.2017, mais la démarche intellectuelle des éditeurs de solutions de sécurité et de tentatives de prévenir les élucubrations des concepteurs et éditeurs d'attaques et virus est antérieure.
Les technologies des antivirus pour le grand public utilisent également les approches préventives et curatives des NGAV, mais avec l'obligation de mises à jour en continu, instantanées et homogènes, sans interruption de l'activité.
Les EDR sont complètement autre chose : ils ne s'adressent qu'aux grandes installations informatiques disposant de nombreux points de terminaison, voire de nombreux centres de calcul géographiquement distribués, et d'un service informatique. Les EDR sont des outils d'observation et d'intelligence (compréhension) des manoeuvres tentées pour conduire une attaque qui n'aurait pas été bloquée par l'antivirus de nouvelle génération et lui fournir de nouveaux paramètres (de nouvelles pistes) à bloquer / filtrer ou de fournir ces informations au service informatique de l'entreprise et à l'éditeur du NGAV pour analyse (ou décréter qu'il s'agit d'une manoeuvre inhabituelle, mais légitime) et, toujours, enrichir les bases de connaissances du NGAV.
| Annonce |
Les solutions « NGAV » :
Une solution « NGAV » (« Next generation antivirus » – « Antivirus de nouvelle génération » ou « Antivirus de prochaine génération ») est un outil de cybersécurité qui, en plus de se comporter en antivirus classique (détection de malveillances et virus dont les identifiants sont stockés dans une base de données des signatures de virus connus), combine :
Détection des comportements.
Atténuation des exploits.
Le tout pour anticiper et prévenir les menaces connues et, surtout, les menaces inconnues (nouvelles menaces dont on ne connait pas encore le moyen de reconnaissance ou la signature du code) et les nouvelles technologies de menaces, dont :
Pseudo-information trompeuse de l’internaute le conduisant à installer et exécuter lui-même une menace.
Ransomwares (blocage de l’appareil et demande de rançon pour le débloquer).
Cryptowares (blocage de l’appareil par cryptage de toutes les données et exigence de paiement d’une rançon pour obtenir la clé de déchiffrement.
Noyer les antivirus fonctionnant à base de signatures en générant automatiquement d’innombrables variantes d’une malveillance empêchant le calcul d’une signature générique. En outre, 350.000 nouveaux virus par jour selon les éditeurs d'antivirus.
Milliards de mots de passe dérobés, dont en utilisant imbécilement, en ligne, des services (évidemment gratuits) de génération ou validation de mots de passe (liste des attaques possibles contre les mots de passe), donnant ainsi des bibliothèques de mots de passe aux cybercriminels (Vidéo sur les cybercriminels et la cybercriminalité - « Envoyé Spécial » - France2).
Découverte quotidienne et exploitation de failles de sécurité par des cybercriminels. Voir la liste quotidienne des failles et alertes de sécurité découvertes et corrigées.
Millions de tentatives de victimisations chaque jour pour des opérations de phishing utilisant tous les mécanismes standard (courriel, SMS, appels téléphoniques, réseaux sociaux, insertions publicitaires, sites piégés, etc.).
Exemples d'opérations de phishing.Nouveaux sites Web, quotidiens, très bien référencés dans les moteurs de recherche grâce à diverses méthodes dont spams et spamdexing, servent à collecter des données personnelles avec des approches du genre : « Vous avez gagné ceci, déclinez vos identités, comptes, etc. pour le recevoir » afin d’effectuer des usurpations d’identités.
Millions de faux logiciels de sécurité (en réalité des attaques), gratuits bien entendu, voire payants, sur lesquels tout le monde se jette et vulnérabilise ou infecte ses appareils.
Milliers de faux experts en sécurité offrant leurs services (« sévices ») payants. Ils escroquent les victimes alors qu’ils sont installés dans des zones (iles du Pacifique, etc.) n’ayant aucune constitution ni juridiction, et donc étant juridiquement inatteignables et inattaquables (raisons de toujours faire une recherche sur un numéro de téléphone, un nom de domaine ou une adresse IP pour essayer de voir d'où cela vient, bien que la manipulation / falsification de ces données soit plutôt aisée).
Contrairement à un antivirus traditionnel, un NGAV a une grande partie de son code et ses connaissances basées dans un cloud (cloud computing) ce qui permet d'exploiter instantanément le code et ses connaissances (bases de signatures, etc.) à jour par tous les utilisateurs. De nombreuses charges et de nombreux ralentissements sont supprimés ou sensiblement allégés dont ceux des :
Serveurs de l’éditeur du NGAV.
Canaux de distribution.
Infrastructures des modèles de sécurité autour des dispositifs des « postes de travail » (« endpoints ») :
Ordinateurs
Ordinateurs portables
Smartphones
Services de sécurité informatique et maintenance des centres de calcul et des réseaux d’entreprises.
Mises à jour des logiciels.
Mises à jour des bases de données de signatures.
Gestions des infrastructures.
Un NGAV présente les fonctionnalités suivantes :
Détection classique des menaces connues.
Détection des menaces inconnues.
Détection des attaques sans fichier contenant un code de l'attaque).
Architecture cloud sans impact sur les performances des « postes de travail » (« endpoints »).
Aucun logiciel ou matériel supplémentaire.
Implémentation et mises à jour automatiques, rapides, simples et homogènes sur tout le parc informatique.
Si l’objectif reste le même (réduire les risques grâce à la prévention des cyberattaques), leur fonctionnement et le moment où elles interviennent diffèrent :
Un NGAV est l’outil de prévention du dispositif de sécurité des « endpoints ». Il vise à empêcher les cybermenaces de s’introduire dans le réseau. Un NGAV constitue une première ligne de défense, indispensable en entreprise, mais n’est pas infaillible. Aucune solution, quel que soit son degré de sophistication, n’offre une protection absolue.
| Annonce |
Qu’est-ce qu’un antivirus nouvelle génération (NGAV) ? (FR) (14.08.2022)
Guide to next-gen antivirus: What is next-generation antivirus (NGAV) (EN) (20.11.2022)
What Is Next-Gen Antivirus (NGAV) & AV/EDR/XDR Comparison (EN) (10.08.2022)
What Is Next-Generation Antivirus (NGAV) and How Does It Work? (EN)
