Anti-Bot Software Blade : anti-botnets par tentative de détection de la zombification d'un appareil qui communiquerait avec un C&C à l'insu de son propriétaire.

cr  01.01.1999      r+  23.08.2020      r-  08.05.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

• Qu'est-ce qu'un Zombie
• Qu'est-ce qu'une zombification
• Qu'est-ce qu'un BotNet

Vue d’ensemble de Check Point Anti-Bot Software Blade

Ce logiciel :

• N'est pas disponible seul mais en complément à l'antivirus de Check Point
• Les solutions Check Point sont des passerelles de sécurité (gateway - dispositif permettant de relier deux réseaux informatiques de types différents, par exemple un réseau local et le réseau Internet) équipant les fournisseurs d'accès Internet (FAI), les fournisseurs de solutions de messagerie, les routeurs, etc.

Check Point Anti-Bot Software Blade (assez difficile à traduire en français : on peut dire « Épée/Trancheur/Tueur/Arme logiciel anti-bot de Check Point » etc.) détecte les ordinateurs infectés par un « bot » malicieux, et donc zombifié, et prévient les dommages en bloquant les communications des serveurs de commande et de contrôle (C&C Command and control) du cybercriminel.

Check Point Anti-Bot Software Blade repose sur ThreatCloud, la liste continuellement mise à jour, à la seconde près, d'adresses C&C ( la plus grande base de connaissances en matière de menaces de sécurité en temps réel du cloud). Par exemple, plus de 300 000 sites Web infestés/hackés par des cybercriminel et leurs logiciels malveillants, sont identifiés dans ThreatCloud.

Check Point Anti-Bot Software Blade détecte les « bots » furtifs avant qu'ils ne puissent communiquer avec leur C&C ni causer des dommages ou affecter les utilisateurs ou des tiers.

ThreatCloud

ThreatCloud est le premier réseau collaboratif à lutter contre la cybercriminalité. Il fournit des informations de sécurité dynamiques en temps réel aux passerelles de sécurité (gateway en anglais). Ces renseignements sont utilisés pour identifier les épidémies émergentes et les tendances en matière de menaces. ThreatCloud alimente Anti-Bot Software Blade, permettant ainsi aux passerelles d’enquêter sur les adresses IP, URL et DNS en constante évolution, là où les C&C sont connus. Le traitement étant effectué dans le cloud, des millions de signatures et la protection contre les programmes malveillants peuvent être analysées en temps réel.

La base de connaissances de ThreatCloud est mise à jour de manière dynamique à l’aide :

• des informations d’attaque des passerelles mondiales
• des flux provenant d’un réseau mondial de capteurs de menaces
• des laboratoires de recherche Check Point
• des meilleurs flux de programmes malveillants du secteur

Les informations de menace de sécurité corrélées sont ensuite partagées collectivement entre toutes les passerelles.

Moteur de découverte de « bots » ThreatSpect

Les « bots » sont furtifs et font en sorte d’être indétectables par les programmes antivirus courants et par les utilisateurs. Un « bot » a besoin que l’ordinateur qu’il infecte soit parfaitement fonctionnel pour que rien ni personne ne le détecte. Check Point Anti-Bot Software Blade détecte les ordinateurs infectés par des « bots » grâce à son moteur ThreatSpect, une technologie de découverte multicouche unique dotée de flux de mises à jour à la minute auprès de ThreatCloud. ThreatSpect met en corrélation les informations pour une détection précise des « bots » :

• adresses d’opérateurs distants, y compris IP, DNS et URL
• modèles de communication uniques de « botnet »
• comportement d'attaque tel que spam ou clickfraud

Blocage de la communication des Bot

Une fois qu'un « bot » est détecté, Check Point Anti-Bot Software Blade bloque le contrôle à distance entre la machine infectée et le serveurs C&C qui le contrôle et le commande, rendant le « bot » totalement inutile pour le cybercriminel et protégeant le WEB des dommages potentiels causés par les « bots ».

Enquêter sur les infections par « bot »

Il est possible d’explorez en toute transparence les infections de « bots » dans des journaux avancés et un système de gestion fournissant des entrées clés telles que :

• ordinateur / utilisateur infecté
• nom de « bot »
• actions de « bot » (telles que communication avec un C&C ou envoi de spam)
• quantité de données envoyées / reçues
• gravité de l'infection
• etc.

En outre, la solution inclut un système ThreatWiKi complet permettant aux équipes de sécurité de comprendre facilement le « bot » auquel elles sont confrontées : son rôle, son fonctionnement et toutes les autres informations techniques disponibles.

Protection logicielle contre les logiciels malveillants et contre les virus.

Le logiciel anti-bot de Check Point, Anti-Bot Software Blade, est unifié dans l'antivirus de Check Point pour offrir aux organisations une protection avant et après l'infection et pour prévenir les menaces à plusieurs niveaux. Les administrateurs peuvent gérer des stratégies et des rapports unifiés dans une seule interface utilisateur.

Architecture de la Software Blade

Check Point Anti-Bot Software Blade est entièrement intégré à l'architecture Software Blade, ce qui permet de gagner du temps et de réduire les coûts en permettant aux clients d'étendre rapidement les protections de sécurité pour répondre aux exigences changeantes. Il peut être activé facilement et rapidement sur les passerelles de sécurité Check Point existantes, ce qui permet de gagner du temps et de réduire les coûts en exploitant l'infrastructure de sécurité existante. Anti-Bot Software Blade est géré de manière centralisée, permettant l’administration, la mise en application et la journalisation des stratégies à partir d’une console unique et conviviale.

1. ↑ [01] Composants Dossiers'!$B$61