Pourquoi Détecter automatiquement les malwares est important pour votre entreprise ?
Détecter automatiquement les malwares qui transitent sur le réseau informatique est essentiel pour les entreprises : Lorsque certains matériels ont été infectés il est important de procéder à une décontamination.
Les filtres Savvius (OmniPeek, Savvius-Insight) permettent l’identification des malwares et indiquent la source et la destination permettant de comprendre l’ampleur et la gravité du problème.
La multiplication des malwares sur Internet et les dommages croissants qu’ils peuvent engendrer dans les entreprise, contraint les administrateurs réseau à être plus pro-actifs que jamais pour les détecter.
Le défis pour eux est que les malwares ont tendance à évoluer très rapidement.
La bonne nouvelle
c’est que chaque nouveau malware est rapidement analysé et les blogs indiquent comment l’identifier
Dans la plupart des cas, l’identification est possible en utilisant une expression régulière et cela tombe bien car ces expressions régulières permettent de créer facilement des filtres dans les solution de monitoring et d’analyse réseau de Savvius que distribue NetWalker en France.
Omnipeek, Savvius-Insight et les Omnipliances de Savvius, supportent les expressions régulières (Regex) comme critères pour les filtres et peuvent être combinés avec d’autres critères DPI.
Dès lors, il devient très simple de créer, copier, personnaliser et gérer des filtres de détection de malware qui peuvent être utilisés pour analyser des fichiers de capture existants ou réaliser une détection en temps-réel.
Les plus gros avantage de l’utilisation de filtres c’est que vous pouvez non seulement détecter les malwares en temps réel mais aussi enregistrer la paquets concernés.
Par exemple, voici l’expression régulière qui identifie une attaque potentielle du malware Angler EK attack.
^http:\/\/(?!www)(?:[^\x2f]+\.[^\x2f]+\.[^\x2f]+)\/[^\x3f]+\/index\.php\?PHPSESSID=[A-Z0-9a-z\.]+&action=[0-9A-Za-z\.]+&?$
Et voici à quoi ressemble le filtre Savvius correspondant.
Dans cet exemple, le filtre contrôle le protocole pour s’assurer qu’il s’agit bien d’une trame HTTP.
C’est important pour minimiser les faux positifs et cela améliore considérablement la performance du filtre. Optimiser les performances de chaque filtre est nécessaire car ils sont appliqués à chacun des paquets !
La seconde étape du filtre est de rechercher une séquence (Pattern) particulière dans la trame. Il faut sélectionner Regular Expression et coller la chaine de caractères précédente. Puis, décocher la case Match et éventuellement préciser des positions de début et de fin dans le paquet comme indiqué sur la copie d’écran ci-dessous.
Comme vous pouvez le constater, créer des filtres et les utiliser pour détecter automatiquement les malwares est simple et efficace.
Sur mypeek.savvius.com, nous proposons de nombreux jeux de filtres pour détecter un grand nombre d’évènements réseau, incluants des évènements liés à la sécurité. Ils peuvent être utilisés comme points de départ pour personnaliser vos filtres de détection de malware.
https://mypeek.wildpackets.com/view_solution.php?id=69
Vous trouverez un excellent site concernant les malwares et les expressions régulières et séquences pour bâtir vos filtres : MalwareSigs.com
Vous créer des filtres de sécurité ? N’hésitez pas à les partager sur Twitter OmniPeek avec d’autres administrateurs réseau pour participer à rendre internet plus sur.
OmniPeek Sniffer Blog
vous souhaite de bonnes fêtes de fin d’année et vous retrouvera l’année prochaine !
Cet billet est librement inspiré de l’article : « Using Savvius Filters for Malware Detection » de l’éditeur.
Le Sniffer OmniPeek est distribué en France par NetWalker. Plus d’informations sur OmniPeek ici.
Ce billet s’applique également à la sonde Savvius Insight de monitoring du traffic internet
Tarifs et achat en ligne : OmniPeek Professionnal, OmniPeek Enterprise, Savvius Insight