Supportant désormais les processeurs Core de 13e génération, la dernière plateforme vPro d’Intel intègre de la détection des menaces directement au niveau matériel. Une capacité bienvenue pour compléter les solutions tierces en détection et réponse à incidents.
Intel a levé le rideau sur sa gamme de puces Core de 13e génération. Selon le fondeur, l’entreprise, est la première à intégrer la détection des menaces au niveau matériel. Associées aux plates-formes de détection et de réponse (EDR) des partenaires d’Intel, les dernières puces vPro promettent de réduire de 70 % la surface d’attaque par rapport à des PC vieux de quatre ans. Les systèmes Windows 11 peuvent également tirer parti du chiffrement de la mémoire de cette puce pour apporter une meilleure sécurité en se basant sur ses capacités de virtualisation. Lors de tests menés par SE Labs et commandés par Intel, la plateforme vPro s’est avérée efficace à 93 % pour détecter les principales attaques de ransomware, en hausse de 24 % par rapport à un logiciel de sécurité seul. D’autres tests menés par IDC ont montré une baisse de 26% des failles « majeures », tout en améliorant l’efficacité des équipes sécurité de 17%.
Une bonne nouvelle pour ses équipes en charge de la sécurisation des terminaux. Toutefois, il faudra du temps avant que les entreprises puissent profiter pleinement des avantages de la détection des menaces. Il est assez courant en effet que les grandes entreprises privilégient une philosophie de remplacement progressif, c’est-à-dire qu’elles renouvellent un tiers [de leurs terminaux] par an sur une période de trois ans, par exemple, explique Jack Gold, fondateur et analyste principal de J.Gold Associates. « Ainsi, les terminaux utilisant une technologie plus ancienne ne seront pas aussi bien protégés, mais les nouveaux le seront, ce qui constitue un avantage pour les utilisateurs et l’entreprise dans son ensemble ». La technologie de détection des menaces (TDT) d’Intel, basée sur l’intelligence artificielle, est au cœur des fonctions de sécurité vPro. Elle fonctionne avec les solutions de sécurité tierces, ajoutant une couche de détection assistée au niveau hardware. Intel TDT utilise la télémétrie du CPU et l’heuristique de l’apprentissage automatique (ML) pour détecter les comportements d’attaque qui laissent une « empreinte » sur les unités de gestion des performances CPU (PMU), incluant les ransomwares et le cryptojacking. Cette technologie est destinée à être prise en charge par les fournisseurs d’EDR dans leurs solutions.
Les trois fonctions principales d’Intel TDT
– Advanced Platform Telemetry identifie les indicateurs de compromission (IoC) des logiciels malveillants et des attaques connus. Elle utilise les données du PMU d’Intel, la mesure des cycles d’instruction, les hits et les erreurs cache, ainsi que d’autres données de performance. Intel entraîne les modèles ML sur un ensemble représentatif de plateformes pour chaque génération vPro, ce qui permet à TDT de distinguer le comportement des malwares des charges de travail légitimes. Les données télémétriques d’entraînement PMU sont collectées à partir de simulateurs qui émulent des algorithmes basés sur le comportement et des techniques de chiffrement des ransomwares pour éviter, par exemple, d’être pris dans les mailles de la détection comportementale. Des échantillons réelles sont apportées pour équilibrer cette analyse comportementale.
– Accelerated Memory Scanning (AMS) détecte les indicateurs d’attaque (IoA). Lorsqu’il est déclenché par un comportement spécifique, le moteur AMS analyse la mémoire du processus suspect à la recherche de shellcode et d’autres signes d’activité malveillante. Selon un rapport d’ABi Research commandé par Intel, l’AMS est particulièrement bien adapté à la détection des logiciels malveillants polymorphes et des attaques sans fichier qui utilisent des outils à double usage. Ces outils sont des applications logicielles légitimes qui peuvent être détournées pour mener des cyberattaques (telles que Cobalt Strike…) ou diffuser des ransomwares qui peuvent également s’exécuter en mémoire.
– Anomalous Behavior Detection (ABD) surveille les applications en cours d’exécution pour détecter les comportements potentiellement malveillants à l’aide des données télémétriques de l’unité centrale et de l’apprentissage automatique. Les écarts par rapport au comportement normal sont signalés en temps réel comme suspects. « L’apprentissage automatique utilisé est basé sur un algorithme permettant à ABD de mettre à jour ses modèles par le biais d’une formation incrémentale contrôlée », peut-on lire dans le rapport d’ABi Research. « Ce processus d’apprentissage continu peut être géré et complété par une solution EDR, les éditeurs de logiciels de sécurité important des données télémétriques supplémentaires dans le modèle de base d’une application ou d’un processus. Les acteurs malveillants vont sans doute chercher à contourner les protections fournies par TDT, ce qui amène Intel à prévoir de mettre à jour au fil de l’eau vPro. Dotée des technologies Active Management et d’Endpoint Management Assistant (EMA), cette plateforme apporte aussi des fonctions de découverte et de réparation à distance.
TDT et EDR, tickets gagnants d’une sécurité renforcée
Les fournisseurs de solutions antivirus et EDR peuvent utiliser les technologies de sécurité d’Intel configurées par défaut. Ceux qui voudront aller plus loin ajouteront des indicateurs issus de leurs propres recherches en inférence ML. Le fondeur compte par ailleurs fournir des mises à jour aux éditeurs partenaires au fur et à mesure que les menaces apparaissent. Parmi les fournisseurs de solutions EDR compatibles avec TDT on trouve Crowdstrike, Microsoft, Trend Micro, Eset, Acronis et Check Point. Les solutions EDR qui ne sont pas compatibles avec TDT devraient quant à elles fonctionner de façon transparentes, mais sans plus, avec les derniers systèmes vPro. « Il est toujours plus rapide et plus productif de faire les choses au niveau matériel que d’essayer de simuler la même chose au niveau logiciel. Avec l’IA, c’est encore plus vrai », explique M. Gold. « La détection des menaces accélérée par l’IA est une avancée majeure par rapport au simple examen du code et à la tentative de déterminer s’il est mauvais, comme le font de nombreuses solutions antimalware. L’IA étudie le comportement et évalue le risque encouru. C’est une amélioration majeure par rapport aux solutions basées sur les signatures ».
Intel indique que les solutions EDR compatibles avec TDT fonctionneront normalement sur les autres systèmes embarquant d’autres puces Core de 13e génération. « Si l’application voit un composant vPro elle peut l’exploiter. Si le composant n’est pas là, elle fonctionne quand même, mais peut-être pas aussi rapidement ou efficacement », explique M. Gold. Au fur et à mesure du déploiement de systèmes dotés d’une détection matérielle des menaces, la plupart des fournisseurs de solutions EDR en tireront probablement parti pour améliorer leurs propres capacités. Et ce, « de la même manière que les produits sont modifiés lorsqu’il est possible d’utiliser des accélérateurs en général. Par exemple, lorsque l’on dispose d’un GPU et pas seulement d’un CPU pour la création graphique, les jeux, le HPC, etc. »