Les solutions antivirus traditionnelles – sont elles efficaces contre les menaces d’aujourd’hui ?

La nature des menaces a considérablement changé ces dernières années. Les menaces virales sont toujours plus complexes. Le malware d’aujourd’hui, à savoir Trojans, backdoors, proxy servers de spammeurs, virus et vers, est développé spécialement pour détourner les machines des utilisateurs, et il n’est pas rare de trouver un simple Trojan sur des milliers de PC infectés. Les codes malicieux peuvent être intégrés aux emails, injectés dans des logiciels pirates ou placés sur des ‘ zones grises ‘ de pages web afin d’être téléchargés par un Trojan installé sur une machine infectée. Le problème évolue également en termes de chiffres puisque la base antivirus de Kaspersky Lab contient environ 100,000 définitions de virus.

Récemment, la capacité des solutions antivirus traditionnelles basées sur signatures de virus pour contrer les attaques toujours plus complexes a été remise en question. Tout a commencé avec l’épidémie CodeRed en juillet 2001, certains ont commencé à soutenir que le scanner de signatures était obsolète et que dorénavant, il fallait passer à l’analyse comportementale.

De quelle manière la menace a t’elle evolué et quelles conclusions peut-on tirer concernant l’efficacité des solutions antivirus classiques ?

La vitesse à laquelle les menaces actuelles frappe est sans précédent. Avant, la vitesse de propagation d’un virus dépendait de la vitesse d’action de l’utilisateur. La plus grande menace des utilisateurs de PC étaient alors les virus de Boot. Ces derniers comptaient pour plus de 75% des infections à la moitié des années 90, et leur mode de propagation reposait sur les échanges de disquettes. Les choses ont radicalement changé lorsque les macros virus sont apparus en 1995. Le fait qu’ils ciblaient les fichiers de données (documents et tableurs Microsoft Office pour commencer), leur a donné un avantage. L’email commencait également à être un outil très populaire à l’époque et cela a indéniablement joué un rôle. Cela voulait dire que le virus pouvait ‘ s’attacher ‘ (portage) à tous les emails envoyés par l’utilisateur et se frayer ainsi un chemin vers tous ceux contacté par l’utilisateur. Cependant même pour les macro virus, une action de l’utilisateur était nécessaire et reposait sur l’ignorance de l’utilsateur qui échangeait sans le savoir des fichiers infectés.

Melissa, apparue en mars 1999, a marqué un bond en avant prodigieux en terme de vitesse d’infection. Pourtant, Melissa semblait n’être qu’un macro virus de plus. Mais contrairement aux macro virus précédents, qui attendaient que l’utilisateur envoie les données infectées, Melissa a détourné le système de messagerie pour se distribuer de manière pro-active. Ce n’était pas le premier virus qui cherchait à utiliser l’email pour se ‘ mailer massivement’ par lui-même. En 1998 le virus RedTeam comprenait un code pour s’envoyer lui-même sur Internet. Mais ce virus a ciblé la messagerie Eudora uniquement, et n’a pas réussi à se diffuser à une grande échelle. Tout ce que l’utilisateur avait besoin de faire était de double cliquer sur la pièce attachée infectée de l’email. Le virus pouvait ensuite collecter toutes les adresses emails du répertoire de Outlook et s’envoyer directement aux contacts contenus dans ce dernier. Ce envoi en masse a permis à Melissa de se diffuser plus rapidement et à plus grande échelle que n’importe quel macro virus auparavant. Les messageries d’entreprise ont vite été saturées d’emails et certaines ont lachées sous la pression. Il n’est pas surprenant que Melissa ait lancé une tendance. Depuis mars 1999, pratiquement tous les virus et vers qui ont menacé entreprises et particuliers, utilisent le mailing de masse .

D’autres éléments ont également contribué à ce que les menaces se propagent toujours plus loin et toujours plus vite.

Tout d’abord, un nombre croissant de menaces utilisent le système des exploits afin de pénétrer un réseau d’entreprise et se diffuser rapidement. De telles méhodes d’attaques étaient auparavant considérées comme l’oeuvre de hackers plutôt que d’auteurs de virus, aussi cela a marqué un départ significatif pour les anciennes générations de virus. Auparavant, les auteurs de virus comptaient sur leur propre code pour se propager et laissaient l’utilisateur ignorant faire le reste. Les menaces d’aujourd’hui se sont de plus en plus rangées du côté des vulnérabilités se trouvant dans les applications ordinaires et dans les systèmes d’exploitation. Melissa fut la première menace à utiliser une telle vulnérabilité profitant de la capacité de propagation offerte par Microsoft Outlook. Cependant il a fallu attendre 2001 avec l’apparition de CodeRed et Nimda, pour que les vulnérabilités deviennent le vrai fonds de commerce des virus et des vers. CodeRed, apparu en Juillet 2001 était un ver sans fichier joint. Le ver existait uniquement en mémoire et ne faisait aucune tentative pour infecter des fichiers sur une machine infectée. Il utilisait une vulnérabilité du serveur Microsoft IIS (décrite dans MS01-033 ‘Uncheck Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise) pour attaquer les serveurs Windows 2000. Il se propageait via les transmissions TCP/IP sur le port 80, se lançant en mémoire via un dépassement mémoire et s’envoyant de la même façon sur d’autres serveurs vulnérables. Nimda est apparu presque tout de suite après en septembre 2001. Nimda infecte les fichiers mais contrairement aux autres menaces de mailing de masse précédentes, ne repose pas sur le double clique de l’utilisateur sur un fichier EXE infecté attaché à un email. Au lieu de cela, il utilise une vulnérabilité de Internet Explorer pour se lancer automatiquement sur des systèmes vulnérables (descriptions sur MS01-020, ‘Incorrect MIME header can cause Outlook to execute e-mail attachment’). C’était une vulnérabilité vieille de six mois mais de grands systèmes restaient toujours sans patchs et donc vulnérables aux attaques. L’exploitation de cette vulnérabilité a aidé Nimda à infecter des systèmes dans le monde entier en seulement quelques heures.

L’exploitation de failles dans les systèmes est un phénomène maintenant courant. En fait, certaines menaces ont évité d’utiliser des techniques virales traditionnelles combinées. Lovesan, Welchiaet, plus récemment, Sasser sont des exemples de vers purs et simples. Il n’y a pas de mailing de masse, on ne demande pas à l’utilisateur d’éxécuter un programme infecté. Au lieu de çà, ces menaces se propagent directement par Internet, de machine en machine, utilisant divers systèmes de vulnérabilités. Lovesan a exploité la faille MS03-026 (‘Buffer Overrun In RPC Interface Could Allow Code Execution’). Welchia a exploité la même faille en plus de MS03-007 (‘Unchecked Buffer In Windows Component Could Cause Server Compromise’). Sasser, quant à lui, a exploité la faille MS04-011 (un dépassement de mémoire tampon dans le service LAN de Windows.

D’autres ont préféré combiner l’utilisation d’exploits à d’autres méthodes d’infections. Nimda par exemple a mixé plusieurs méthodes d’attaques. En plus du mailing de masse décrit ci-dessus, Nimda ajoute son code viral d’exploit (sous forme de Java code infecté) à des fichiers HTML. Si la machine infectée est un serveur, alors un utilisateur est infecté à travers le web lorsqu’il visite les pages infectées. Nimda a été encore plus loin dans ses efforts pour se propager à travers le réseau corporate en scannant le réseau à la recherche de ressources accessibles et laissant ses copies à des endroits ou des utilisateurs ignorants pouvaient l’éxécuter. Sur des machines infectées, le virus convertit également les lecteurs locaux en lecteurs ouverts, donnant un accès à distance à quiconque ayant une intention malicieuse. Nimda a également exploité la brèche MS00-078 (‘Web Server Folder Traversal’) pour infecter les serveurs vulnérables en téléchargeant une copie de lui-même depuis des machines infectées sur le réseau. La stratégie d’attaque multifacette de Nimda, associée à l’exploitation de vulnérabilités, a conduit plusieurs à considérer cela comme une menace ‘ mixte ‘.

Cette tendance s’est renforcée. La plupart des menaces ‘ à succès ‘ (du point de vue des auteurs bien évidemment) utilisent de multiples systèmes d’attaques et des vulnérabilités pour contourner l’utilisateur et lancer le code automatiquement, réduisant drastiquement le ‘ délai d’exécution’ entre l’apparition d’une nouvelle menace et le moment où elle atteint des proportions épidémiques. Comme nous l’avons déjà souligné, les menaces sont toujours plus rapides. Si auparavant il fallait des semaines voire des mois pour qu’un virus se propage, les menaces d’aujourd’hui n’ont besoin que de quelques heures pour se propager dans le monde entier.

Toutes les menaces ‘réussies’ n’utilisent pas forcément les vulnérabilités présentes dans les programmes. La technique du mailing de masse lancée par Melissa en 1999 est encore très utilisée, en particulier lorsque le social engineering est utilisé pour cacher le contenu malicieux d’un email porteur d’un virus ou d’un ver. Le social engineering correspond à une brèche non technique de sécurité qui repose uniquement sur l’interaction humaine, abusant les utilisateurs afin qu’il brisent les règles élémentaires de sécurité. En ce qui concerne les virus et les vers spécifiquement, cela veut dire que n’importe quel ‘ truc ‘ est utilisé pour obtenir de l’utilisateur qu’il éxécute le code malicieux, en cliquant sur le fichier attaché. Le résultat pour l’auteur de virus peut être relativement efficace. Le ver Swen (apparu en Septembre 2003) se faisait passer pour un patch spécial de Microsoft sensé combler toutes les failles. Il était très convaincant pas seulement parce qu’il utilisait des boîtes de dialogues réalistes mais parce qu’il est arrivé juste après Lovesan et Welchia, et est apparu au moment où le système de pack de maintenance pour vulnérabilités était très populaire. Mimail.i (Novembre 2003) associait social engineering et un ‘ phishing scam ‘, afin que les utilisateurs dupés, fournissent les données de leur carte de crédit PayPal qui étaient ensuite envoyées à l’auteur du ver. De tels phishing scams sont devenus incroyablement courants ces derniers mois.

Le nombre de nouvelles menaces continue d’augmenter sévèrement, avec des centaines de nouvelles menaces par jour. Comme nous l’avons souligné plus haut, les menaces actuelles sont une liasse composée de différents types de menaces. Les auteurs de virus ont à leur disposition un ‘ assortiment ‘ relativement large de logiciels malveillants. A part la traditionnelle menace virale, il y a désormais les emails et les vers, les Trojans et autres types de menaces. Souvent un virus ou un ver installera une backdoor.Trojan sur le système infecté. Cela permet à l’auteur du ver ou du virus ou à n’importe qui ayant ‘loué ‘ le Trojan de diffuser du spam à grande échelle ou de contrôler la machine à distance. Il est clair que les variantes successives de Sobig, Mydoom, Bagle et Netsky ont été utilisées pour être semer dans les ordinateurs pour un usage ultérieur. Ou bien le code peut inclure un Trojan spécialement conçu pour faire venir des codes malicieux depuis un site à distance (une mise à jour de virus ou de ver éventuellement). Là encore, cela peut inclure un attaque par DoS conçue pour faire tomber un site en particulier comme l’ont fait CodeRed,, Mydoom et Zafi.b.

La vitesse toujours croissante des attaques relance le débat concernant la rapidité avec laquelle les éditeurs d’antivirus doivent répondre aux nouvelles menaces. Au bon vieux temps, les mises à jour trimestrielles étaient suffisantes pour la plupart des clients. Plus tard, les mises à jour mensuelles sont devenues standards. Puis avec l’arrivée de Melissa et Loveletter, la plupart des vendeurs d’antivirus sont passés au mises à jour de signatures hebdomadaires. Désormais, de nombreux éditeurs offrent des mises à jour quotidiennes – Kaspersky Lab offre des mises à jour toutes les heures . Cette rapidité de réaction a été souligné lors de tests indépendants d’antivirus (AV-Test.org & GEGA IT-Solutions GbR a récompensé la vitesse de réaction à plusieurs reprises en 2004). Néanmoins, même si les définitions virus sont disponibles très rapidement, il existe tout de même un fossé entre le moment où la nouvelle menace apparaît et le moment où elle est contrée, un fossé qui permet à un virus ou à un ver de se propager. Et cela nous ramène à la question précédente. Est-ce que les produits antivirus sont capables de répondre aux menaces d’aujourd’hui et de demain ? Le scanner de signatures n’est t’il pas déjà obsolète ? Le futur appartient t’il aux analyses comportementales ou aux technologies génériques ? Afin de répondre à ces questions, nous avons besoin d’examiner plusieurs alternatives.

Une des technologies souvent vues comme successeur du balayage de la base de signatures, est le blocage suite à un comportement suspect (autrement dit le behavior blocking). Ce n’est pas nouveau. Certains vendeurs de sécurité ont adopté cette approche au début des années 1990 en réponse à l’augmentation brutale du nombre de virus.

Les scanners traditionnels antivirus contiennent des signatures de codes malicieux dans une base de données avec contrôle croisé durant le scanning. Les bloqueurs de comportement, à l’inverse, déterminent si une application est malicieuse ou non en fonction de son comportement. Si une application fait quelque chose qui n’entre pas dans le cadre de ses fonctions habituelles, sa diffusion est restreinte. Par exemple, les tentatives d’écriture sur certaines parties du système registre, ou sur des dossiers prédéfinis peuvent être considérées comme suspectes. Cette approche plutôt simple peut être bien plus raffinée. Il est par exemple possible de restreindre l’accès d’une application tout en donnant un accès illimité à d’autres applications.

Il existe une méthode alternative qui consiste à cerner une application téléchargée et restreindre son action dans le système local – l’exécution est exécutée dans une ‘sablière’ protectrice pour limiter son action selon une politique pré-définie. L’activité du programme est vérifiée selon un ensemble de règles. En fonction de la politique en vigueur, les actions du programme pourront être considérés comme une violation de cette politique auquel cas l’action corrompue est bloquée.

Le grand avantage d’un bloqueur de comportement, selon ses auteurs, c’est qu’il est capable de distinguer les ‘ bons ‘ et ‘ mauvais ‘ programmes sans qu’un chercheur viral professionnel analyse le code. Il n’y a donc plus besoin d’une analyse permanente pour chaque menace spécifique, il n’est plus nécessaire non plus de mettre à jour les signatures virus. Les utilisateurs sont d’avance protégés contre les nouvelles menaces, sans les traditionnelles mises à jour anti-virus.

Cependant, l’analyse comportementale présente quelques inconvénients. Un des problèmes majeurs repose sur le fait qu’il y ait une zone grise entre les actions qui sont clairement malsaines et celles qui sont légitimes. Ce qui est mauvais dans un programme malveillant peut être bien dans un programme sain.
Et comment un bloqueur de comportement déployé sur un serveur de fichiers peut savoir si une modification (ou une suppression) d’un document est réalisé légitimement par un utilisateur ou si c’est le résultat d’un programme malfaisant sur la machine infectée du user ? Après tout, un ver ou un virus est tout simplement un programme qui se copie lui-même. A part cela, il peut se conduire aussi normalement que n’importe quel autre programme le ferait. Par conséquent, cela peut être très difficile de déterminer les règles à mette en place pour détecter les mauvais programmes. Il existe un risque de fausses alertes, considérant une application ou un processus comme nuisible alors qu’ils sont tout à fait justifiés. Ce risque augmente avec l’apparition des spyware, adware, dialers et autres programmes ‘ indésirables ‘ mais non viraux.

En partant de ça, un autre problème se pose. Lorsqu’un bloqueur de comportement est installé sur un ordinateur de bureau, l’utilisateur a la liberté de décider si l’alerte générée est valide ou non. Cependant, de nombreux utilisateurs disposeront d’une fonction leur permettant de savoir si le programme peut être autorisé à continuer sa progression mais il est aussi possible qu’ils ne comprennent pas l’alerte. A ce stade, il y a deux issues possibles. La première est que l’utilisateur, incapable de distinguer une opération légale d’une illégale, clique simplement sur OK à chaque fois. Jusqu’au moment où arrive un authentique virus et il clique de la même facon sur OK et le virus s’insère dans le réseau. La seconde est que le service informatique, croulant sous les questions des utilisateurs, déconnecte le bloqueur de comportement.

Une façon d’éviter ces deux difficultés est d’appliquer une analyse comportementale sur Internet gateway et pas sur l’ordinateur de bureau. Cela permet au service informatique de capter tout ce qui est considéré comme suspect, plutôt que l’utilisateur final désabusé. Cependant, il est important de souligner que, même si l’email est une source commune d’infection (88% des personnes interrogées au ICSA Computer Virus Prevalence Survey 2003 étaient infectées via e-mail), ce n’est pas la seule. De même que toutes les menaces n’arrivent pas seulement via Internet gateway.

Les IPS (Intrusion prevention systems – autrement dit système de prévention d’intrusion) peuvent être considérés comme les successeurs des techniques d’analyses comportementales vu ci-dessus, bien que certains systèmes IPS proposent également une détection par signature.

Les pare-feu IPS, conçus pour protéger les ordinateurs de bureau et les serveurs, utilisent l’analyse comportementale pour détecter les codes malicieux. Pour se faire, ils contrôlent tous les appels vers le système et vérifient qu’ils ont un comportement normal. De telles pratiques peuvent être aléatoires étant donné que le comportement peut être appliqué à des applications spécifiques. De cette façon, l’ouverture de portes sur le système par exemple, le scanning des ports, et l’injection de codes lors de l’exécution de tâches peuvent être bloqués en tant que comportement anormal. Certains systèmes IPS ajoutent à leur analyse comportementale des signatures de code malicieux connus.

Les IPS réseau, déployés en ligne sur le réseau, filtre les paquets pour les codes malicieux, à la recherche d’un usage anormal de bande passante ou de trafic non-standard (comme des paquets malformés). Les IPS réseau sont particulièrement utiles pour capter les attaques de DoS, ou le trafic généré par des vers de réseau.

Les vendeurs d’ IPS déclarent que ces technologies offrent une protection efficace contre ce qu’on appelle le jour J des attaques basées sur les vulnérabilités qui sont soient inconnues, soit pour lesquelles des patchs n’existent pas encore. Contrairement au IDS (système de détection d’intrusion) qui alerte en cas d’activité anormale, IPS est capable de bloquer le code malicieux. Ceci dit, peu de vendeurs d’IPS sont prêts à reconnaître qu’ils offrent pratiquement une protection antivirus traditionnelle, mais positionnent plutôt leurs produits comme une solution complémentaire.

Un des problèmes majeurs avec IPS, tout comme avec les programmes d’analyses comportementales antérieurs, est le risque de fausse alerte. Pour minimiser le risque, la plupart d’entre eux incluent une alerte de type ‘ mode apprentissage ‘ qui permet au produit de construire une image montrant à quoi ressemble un comportement ‘ normal ‘ dans un environnement spécifique. L’inconvénient est qu’ils ont besoin d’être configurés avec le plus grand soin, ce qui entraîne un plus grand besoin de temps et d’argent qu’avec une protection antivirus professionnelle.

De plus, comme les scanners traditionnels de signatures virus, IPS nécessite une mise à jour régulière. Souvenez-vous qu’ils traitent des types de menaces spécifiques. Etant donné que les menaces évoluent sans cesse, le bloqueur de comportement sera dans l’impossibilité de trouver un programme malicieux si ce dernier emplie une nouvelle méthode d’attaque.

Les pare-feux personnels offrent une nouvelle manière de contrôler et bloquer le trafic indésirable. Un pare-feu personnel comme son nom l’indique (et contrairement à un pare-feu gateway classique) est installé sur un ordinateur de bureau ou un serveur. Il fonctionne comme un ordinateur de bureau gardien du trafic inspectant le trafic entrant et sortant sur l’ordinateur et autorisant ou bloquant des connections selon des règles pré-définies. Les pare-feu personnels offrent deux aspects. D’un côté ils offrent un filtrage des applications. Ce qui veut dire qu’ils autorisent un ensemble de règles établies pour les applications communes comme les navigateurs Internet, ICQ, les programmes de messagerie instantanée et autres. Les pare-feux personnels filtre les paquets de données. Ils analysent les transferts de données, (en-tête, protocole utilisé, ports, adresses IP, etc.) et filtre les paquets selon un ensemble de règles.

Tout comme avec IPS, le but est de protéger contre les attaques visant à voler des informations confidentielles, les vers de réseau et les codes malicieux qui cherchent à transformer la machine de la victime en zombie machine pour des attaques massives de spams.

L’avantage des pare-feux personnels est qu’ils fournissent une protection générique contre les attaques de codes malicieux inconnus plutôt que s’appuyer sur les signatures de menaces connues. Le mauvais côté est qu’ils doivent être adaptés soigneusement pour distinguer ce qui est ‘ normal ‘ ou ‘ acceptable ‘ pour chaque environnement spécifique.

Jusqu’à présent, nous avons observé le caractère changeant des menaces et certaines technologies semblent être une alternative aux scanners traditionnels de bases de signatures. Cependant, il est important de souligner que chaque génération de codes malicieux a modifié le paysage viral et les programmes antivirus ont constamment évolué pour contrer ces nouveaux types de menaces. Dans ce sens, il n’existe pas de protection antivirus traditionnelle.

Tout d’abord, il faut reconnaitre que les programmes antivirus n’ont jamais été uniquement des bases de signatures. Au tout début de l’époque virale, alors que les virus n’étaient que quelques dizaines et non pas des dizaines de milliers, les techniques d’additions de sommes de contrôle formaient un élément de base des défenses antivirus. Et la détection des virus polymorphes a toujours entrainé l’utilisation de techniques complémentaires telles que l’analyse de code et émulation.

De la même façon, l’analyse heuristique pour trouver de nouvelles menaces inconnues a été utilisée pendant plus de 10 ans. L’analyse heuristique entraîne l’inspection du code dans un fichier (ou autre objet) pour voir s’il contient des instructions virales. Si le nombre d’instructions virales dépassent un certain seuil pré-défini, le virus est considéré comme une menace potentielle et il est demandé au client d’envoyer un échantillon pour des analyses ultérieures. Les analyses heuristiques ont été affinées avec le temps et ont apporté de bons résultats dans la détection de nouvelles menaces. Evidemment si l’analyse heuristique n’est pas réglée convenablement, il y a un vrai risque de fausses alertes. C’est pourquoi la plupart des vendeurs antivirus qui incorporent des analyses heuristiques dans leurs produits réduisent leur sensibilité pour minimiser le risque de fausses alertes. Et beaucoup d’entre eux désactivent les heuristiques par défaut. L’autre inconvénient est que les heuristiques ne servent qu’à détecter. Afin de nettoyer, il est nécessaire de savoir quels changements le virus, ver ou trojan spécifique a effectué sur l’objet infecté.

Récemment, plusieurs vendeurs antivirus ont développé des méthodes de détection pour trouver et supprimer les menaces inconnues. Le point de départ pour la détection générique est que les menaces ‘réussies’ sont souvent copiées par d’autres ou affinées ultérieurement par les auteurs d’origine. Le résultat est un déferlement de virus, vers ou Trojans, chacun étant bien distinct mais appartenant à une même famille. Dans de nombreux cas, le nombre des variantes peut dépasser les dizaines voire les centaines. Une détection générique entraîne la création d’une définition virus qui est capable d’identifier toutes les menaces appartenant à une même famille. Aussi, lorsqu’un NouveauVirus apparaît, la définition créée pour le détecter identifiera avec succès NouveauVirus.b, NouveauVirus.c, NouveauVirus.d etc. si et au moment où ils sont crées. De telles techniques s’étendent également à la détection de code d’exploit qui peut être utilisé par des virus ou des vers. La détection générique ne garantit pas forcément de trouver toutes les variantes de la famille. Néanmoins cela a apporté un succès considérable à un certain nombre de vendeurs d’antivirus.

Plus récemment les vendeurs antivirus ont commencé à se pencher sur des technologies complémentaires pour renforcer leur capacité à trouver des menaces nouvelles et inconnues. Cela comprend une analyse comportementale, technologie de pare-feu personnel et IPS. Dans certains cas, les vendeurs ont acquis des technologies auprès de tiers. D’autres ont développé la technologie eux-mêmes. Pour le moment, la plupart des vendeurs vendent ces technologies séparément, même si l’intégration de toutes ces différentes technologies a commencé et il semble que cela va continuer. En fin de compte il est pratiquement certain que le vendeur antivirus proposera des programmes uniques, contenant des technologies complémentaires conçues pour traiter les nouvelles menaces sans passer par les signatures spécifiques. Et cela inclue non seulement l’analyse comportementale, la technologie IPS et le pare-feu personnel. De plus en plus, le blocage de spams, emails et autre contenu indésirable, combiné avec la détection de programmes indésirables (spyware, adware, dialers, etc) est également fourni par des vendeurs antivirus en tant que solution holistique. Cette convergence de technologies pour bloquer les codes malicieux reflète la tendance récente des codes malicieux à se mélanger. Une chose est sûre. Les détections basées sur les signatures continueront à faire partie de cette solution complète pour faire face aux attaques de codes malicieux.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *