Bitdefender HVI révolutionne la protection des datacenters contre les APT

 

 

Les avantages de la numérisation et des infrastructures cloud hybrides sont perceptibles dans tous les secteurs. Mais la sécurité, ou plutôt la sécurisation des données dans le cloud, s'avère plus problématique que jamais. Les menaces d’aujourd’hui sont à la fois persistantes et furtives et peuvent potentiellement causer des dommages irrémédiables aux entreprises. Avec la montée en puissance des software-defined datacenters (SDDC) et de la virtualisation dans le fonctionnement des entreprises, les cybercriminels ont adapté leur arsenal afin de cibler de manière spécifique ces nouveaux environnements. Heureusement, il existe désormais une solution de sécurité capable de protéger les datacenters au niveau hyperviseur.

Les problèmes de sécurité actuels liés à la virtualisation

Les technologies de sécurité traditionnelles ne sont pas seulement incompatibles avec les environnements virtualisés, elles sont aussi inefficaces pour lutter contre les menaces persistantes avancées (APT). Pendant que certains soutiennent que l'isolation des VM reste un excellent moyen de renforcer la sécurité – étant donné que de nouvelles instances peuvent être lancées en cas de besoin pour absorber les charges de travail – cette technique ne résout pas les problèmes liés à l’exfiltration de données. Si une menace avancée parvient à infecter un système d'exploitation invité, elle peut rester non-détectée et altérer les données ou les processus gérés par la machine virtuelle.

 

Bien que l'installation d'une solution de sécurité permette de détecter les malwares et des menaces avancées, rares sont les éditeurs de sécurité ayant conçu des logiciels spécifiquement destinés à la sécurité des environnements virtuels à même de ne pas impacter les performances ou la prise de ressources. D’autre part, le fait que des menaces ciblées avancées puissent compromettre le système d'exploitation invité et prendre le contrôle total de la machine virtuelle, sans déclencher la moindre alerte pour les solutions de sécurité traditionnelles, est bien sûr aussi problématique. La persistance étant leur principal objectif, on estime que des menaces ont pu subsister sur les réseaux de certaines entreprises pendant des mois avant d’être détectées.

S'appuyer sur l'hyperviseur

L'hyperviseur est aujourd'hui l'un des composants critique du datacenter – qu'il soit convergé (CI) ou hyper-convergé (HCI) – les chercheurs ont imaginé qu'il pourrait être utilisé par les technologies de sécurité pour assurer l'intégrité du système d’exploitation invité à l'extérieur de la machine virtuelle, sans recevoir de données depuis un agent situé à l’intérieur de celle-ci. Appliqué de manière théorique dans des articles de recherche, ce niveau d'accès et d'intégration bare-metal était néanmoins jugé impossible à réaliser, même si les applications possibles en termes de sécurité étaient potentiellement considérables.

 

Analyse de mémoire brute : une solution impossible ?

Les équipes de recherche et développement de Bitdefender sont tout de même parvenues à mettre en œuvre la toute première technologie de sécurité s'appuyant sur l'introspection de la mémoire depuis l’hyperviseur, dont l’objectif est de sécuriser les systèmes d'exploitation invités et les environnements virtuels des datacenters, sans l’intervention du moindre agent. Étant donné qu'HVI utilise l'API Direct Inspect de XenServer pour assurer l'introspection de la mémoire binaire des machines virtuelles, elle ne requiert la présence d’aucun invité ni driver dans les machines virtuelles protégées et offre de ce fait une compatibilité parfaite avec n’importe quelle autre solution de sécurité déjà déployée.

 

Fonctionnement de HVI

L'introspection de la mémoire via l'hyperviseur permet à HVI d'éliminer les menaces de type zero-day ou les malwares au niveau du kernel, par le biais d'une analyse en temps réel de la mémoire des machines virtuelles Windows et Linux, tout en restant complètement à l'extérieur du système d'exploitation.

Bitdefender HVI complète les outils de sécurité existants dans les entreprises, sans avoir le moindre impact sur les ratios de consolidation, les performances ou l'activité de l'utilisateur.

 

Sécurité des datacenters depuis le niveau hyperviseur

De nos jours, les infrastructures convergées et hyper-convergées ne se limitent pas à offrir des performances de haut niveau, une disponibilité et une souplesse de gestion élevées. La sécurité joue un rôle essentiel dans n'importe quel datacenter, quelque soit son degré d'abstraction. La sécurité depuis la couche hyperviseur offre une visibilité sans précédent sur la manière dont les machines virtuelles et les systèmes d'exploitation invités fonctionnent. En se concentrant sur les méthodes utilisées par les menaces ciblées avancées, plutôt que sur les charges malveillantes mêmes, HVI parvient à détecter les APT et à les empêcher d'infecter les endpoints, protégeant ainsi les entreprises contre les conséquences financières coûteuses engendrées par les violations de données.