Accueil     Blog     Offre du Mois     Services     Solutions     Sécurité     NTSi OnLine Support     Accès Client / Partenaire     Contactez-Nous      
 
H-IPS et firewall:

  

De nouvelles formes d’attaque apparaissent en permanence. Les mesures de sécurité à base de signatures, qui doivent connaître la menace avant de la repérer, ne constituent plus une protection suffisante contre bien des nouvelles variantes de virus ou contre la profusion des nouveaux logiciels malfaisants.
Le système de protection contre les intrusions (Host-based Intrusion Prevention System ou H-IPS) de StormShield fonctionne en complément de l’anti-virus/anti-spyware à base de signature et apporte une solution sans équivalent grâce à la combinaison de nombreuses méthodes proactives de protection contre les attaques inconnues.
Protection par règles | Renforcement du système | Prévention d’intrusion réseau | Analyse comportementale*
 
 

 
 
Protection automatique (renforcement du système)
StormShield protège automatiquement le système d'exploitation et les applications en cours d'exécution à l’aide de mécanismes de détection et de blocage des anomalies. Cette couche de protection ne s'appuie par sur des signatures, mais sur la reconnaissance de caractéristiques génériques propres à certains types d’attaque. Ces caractéristiques ont été obtenues en étudiant le comportement des codes malfaisants, notamment en analysant la façon dont ces derniers pénètrent le système et corrompent les fichiers exécutables, ou encore la façon dont ils accèdent aux informations protégées. Il est ainsi possible de déceler un virus parce qu’il se comporte de façon suspecte, sans jamais l'avoir identifié auparavant.

Les protections automatiques de StormShield permettent par exemple de bloquer les attaques par débordement de mémoire (buffer overflow), l'espionnage des frappes au clavier (keylogging) ou les tentatives de corruption des processus en mémoire. SkyRecon développe en permanence de nouvelles formes de protection automatique (anti-rootkit, par exemple) et optimise sans relâche ses mécanismes de protection existants (par exemple contre la copie sauvage d’écran et les shellcodes sophistiqués).

StormShield renforce la protection de l’ordinateur en détectant et bloquant les mécanismes d'attaque suivants :

  • Debordement de mémoire
  • Keylogging (interception des frappes au clavier)
  • Piratage de processus et injection de code
  • Saturation de la CPU
  • Redémarrages sauvages du système
  • Elévation de privilèges
  • Tentatives d'arrêt du logiciel antivirus et autres protections existantes
  • Détection des rootkits avancés

 

Prévention d’intrusion sur le réseau

Bon nombre des menaces qui visent les postes clients peuvent être détectées et bloquées avant leur arrivée sur le poste de travail, au moment de leur entrée sur le réseau, avant qu’elles puissent réellement pénétrer le système. StormShield vous défend contre les attaques par le réseau en vous proposant plusieurs options de firewall, notamment un firewall NDIS stateful. Au lieu d’assurer sa protection au niveau de la couche application (sous la forme d’un logiciel comme les autres), le firewall NDIS communique directement avec la carte de réseau (NIC) de chaque poste. Il peut ainsi protéger l’ordinateur au point d’entrée du trafic réseau et bloquer les flux indésirables au plus bas niveau, avant même qu’ils n’aient l’occasion d’accéder aux applications.

StormShield examine également le flux réseau sur le poste afin de détecter et de bloquer les activités suspectes comme les attaques massives de type flood, les balayages de ports (port scan) ou les modifications du cache ARP (ARP cache poisoning) Un système de détection d’intrusion (IDS) intégré applique de façon dynamique les règles de filtrage du firewall si une anomalie est détectée. Une telle protection du réseau au niveau de chaque poste assure également une meilleure sécurité du réseau dans son ensemble, car l’architecture distribuée de StormShield évite qu'un poste infecté en contamine d’autres postes.

StormShield protège des intrusions sur le réseau par les mécanismes suivants :

  • Analyse de protocole
  • Blocage des balayages de ports
  • Prévention des attaques massives du réseau (floods)
  • Détection et prévention des modifications du cache ARP (ARP cache poisoning)
  • Filtrage avancé par firewall NDIS (au niveau de l’interface réseau)

 

 
Protection par règles
 
Grâce à StormShield, l’administrateur peut définir des règles de sécurité régissant ce qui peut être fait, ou non, sur le système. Il peut par exemple définir des listes de contrôle d’accès pour accorder ou refuser l’accès à des certains fichiers (souvent des parties essentielles du système d’exploitation nécessaires aux codes malveillants pour s’installer durablement). Il peut également contrôler d’autres ressources vitales telles les clés de la base de registre, les connexions réseau ou les exécutables.

Parce que StormShield est intégré au coeur du système -dans son noyau- il bénéficie du plus haut niveau d’autorisation, et donc de la plus grande liberté d’action sur le système. De fait ses politiques à base de règles prennent le pas sur tout autre mécanisme de protection automatique afin de donner à l'administrateur le contrôle total des politiques de sécurité.

L’administrateur peut, par exemple, définir quels modules additionnels peuvent être installés avec le navigateur Web (Flash, barres de recherche, etc...), quelles sont les applications qui ont le droit d’accéder au réseau, quels volets de configuration du système sont accessibles aux utilisateurs, ou encore quelles applications peuvent être lancées automatiquement au démarrage du PC.

StormShield permet à l’administrateur d’appliquer des règles fines sur :

  • Les fichiers exécutables, notamment les applications, ainsi que les modules d’extension et les scripts
  • Les ressources système, comme les fichiers, dossiers, boîtes de dialogue système et clés de la base de registre
  • l'accès aux réseaux fixes et sans fil
  • la prise en compte des applications légitimes, afin d’éviter les faux positifs
 

Analyse comportementale pour une défense proactive

Il n’y a pas que les menaces connues dont le service informatique de l’entreprise doit se soucier. De nouvelles attaques sont conçues chaque jour pour tromper les défenses connues et exploiter les failles récentes des logiciels. Avec les outils de sécurité classiques fonctionnant à base de signature ou d’algorithmes heuristiques, il n’est possible de neutraliser une attaque que si elle est déjà connue ou se comporte de façon prévisible. Les protections antivirus à base de signature aident à identifier l’attaque mais ont du mal à faire face au nombre considérable de nouvelles attaques. Une simple variation d’une attaque connue peut passer au travers des défenses qui reposent sur des signatures.

Pour contrer l'exploitation de failles récentes (attaques « zero-day ») et les codes malicieux inconnus, StormShield analyse le comportement de chaque programme lors de son exécution, plutôt que de se reposer entièrement sur une technologie à base de signature. La solution utilise un mode « apprentissage » pour définir le profil de chaque application, profil servant ensuite de base de référence pour la détection d’anomalies. StormShield génère de façon dynamique et autonome une partie de sa propre base de connaissances en s’adaptant au comportement de chaque application. En s’appuyant à la fois sur ces profils et sur un système expert intégré au produit, StormShield détecte les séquences anormales d’appels au système qui constituent des indices d’attaque.

L’analyse comportementale vous protège en assurant les tâches suivantes :

  • Surveillance de l’intégrité du système
  • Interception des attaques « zero-day »
  • Protection contre les attaques furtives
  • Détection et arrêt des processus au comportement anormal
  • Neutralisation des tentatives de détournement d’application