Questions fréquentes – CrowdStrike Falcon Prevent
Pour voir la Plateforme Falcon en action, profitez d’une évaluation gratuite du module NGAV :
Pour en savoir plus sur l'essai gratuit de Falcon Prevent, visiter la page de la FAQ, ici.
Comme son nom le suggère, Falcon Prevent™ est le module de prévention de la plateforme Falcon de protection des endpoints. Falcon Prevent assure une prévention exhaustive et éprouvée contre les attaques avec et sans logiciel malveillant, que les endpoints soient en ligne ou non. Ses fonctionnalités d'antivirus de nouvelle génération comprennent l'identification des logiciels malveillants connus, le Machine Learning pour l'identification des malwares inconnus, le blocage des exploits et des techniques exclusives d'analyse comportementale recherchant des indicateurs d'attaque. En plus d'empêcher les exécutions malveillantes, Falcon Prevent permet aux entreprises de rechercher les artefacts de logiciels malveillants dormants au moyen d'analyses à la demande. Falcon Prevent permet aux entreprises de remplacer en toute confiance leurs anciens antivirus par une solution complète, offrant une visibilité en temps réel et fournissant un contexte pour toutes les activités malveillantes.
Un indicateur de compromission (Indicator of Compromise, IOC) est un artefact, une trace laissée après un incident. Un indicateur d'attaque (Indicator of Attack, IOA) est constitué par une série d'actions ou de comportements qu'un cyberadversaire adopte pour arriver à ses fins. Les indicateurs de compromission sont traditionnellement utilisés par la détection sur les endpoints, mais les cyberpirates contemporains ont adapté leurs techniques de façon à les contourner. Au cours de l'examen de preuves informatiques, la présence d'indicateurs de compromission est la preuve que l'organisation a subi une compromission. Malheureusement, la présence des IOC signifie que le réseau a d'ores et déjà été compromis. À l'inverse, les indicateurs d'attaque sont le résultat d'une série d'actions que le cyberpirate doit exécuter afin d'atteindre son but. Il s'agit en l'occurrence d'actions requises pour qu'un outil ou une technique quelconque puisse exécuter du code, se dissimuler à long terme dans l'environnement, exécuter des activités de commande et contrôle (C&C) et se déplacer latéralement. L'approche efficace en ce qui concerne les indicateurs d'attaque est non seulement de recueillir et d'analyser ce qui se produit sur les systèmes et les réseaux d'une organisation, mais de le faire en temps réel pour empêcher l'activité malveillante d'aboutir.
Oui. L'agent Falcon léger qui s'exécute sur tous les endpoints met en œuvre les technologies de prévention nécessaires pour les protéger, qu'ils soient en ligne ou non. Ces technologies comprennent l'apprentissage automatique (machine learning) pour se protéger contre les logiciels malveillants connus et zero day et bloquer les hachages. Ajoutons à cela les algorithmes heuristiques d'analyse comportementale reposant sur l'intelligence artificielle, connus sous le nom d'indicateurs d'attaque.
Absolument. Nos clients peuvent, et ont effectivement remplacé leur antivirus par Falcon Prevent. Le Magic Quadrant de Gartner sur les plateformes de protection des endpoints a qualifié CrowdStrike Falcon de « visionnaire » en 2017. Le rapport Forrester Wave l'a qualifié d'« acteur majeur » (strong performer) dans la catégorie des suites de sécurité pour endpoints. De plus, la plateforme Falcon est conforme à tous les critères de la Condition 5 de la norme PCI DSS, « Protéger tous les systèmes contre les logiciels malveillants et mettre à jour régulièrement les logiciels antivirus ou programmes ». Falcon a également reçu l'approbation du laboratoire de tests réputé AV-Comparatives, avec un taux de blocage antimalware de 99,2 % et un taux de détection des exploits de 100 %, avec zéro faux positif.
Falcon Prevent est nettement plus performant qu'un produit antimalware traditionnel, et ce de trois manières. Tout d'abord, il protège contre tous les vecteurs de cybermenaces, et pas seulement les logiciels malveillants, même lorsque les endpoints ne sont pas connectés à Internet. En second lieu, Falcon Prevent est opérationnel en quelques secondes, sans qu'il soit nécessaire de mettre à jour des signatures, d'effectuer des réglages complexes ou de supporter des coûts d'infrastructure. Falcon Prevent assure une efficacité immédiate et un niveau de protection sans égal, dès la mise en place. Enfin, Falcon Prevent offre de meilleures performances, avec virtuellement aucun impact au niveau des endpoints, de l'installation initiale à une utilisation quotidienne.
- La protection contre les logiciels malveillants, sans fichiers de signatures : Falcon Prevent n'utilise pas de signatures. Ceci libère les équipes de sécurité de l'obligation de mettre à jour quotidiennement les fichiers de signatures de tous leurs endpoints.
- Apprentissage automatique : Falcon Prevent tire parti de l'apprentissage automatique pour identifier et bloquer les logiciels malveillants. L'apprentissage automatique est particulièrement efficace contre les logiciels malveillants polymorphes ou dissimulés, qui échappent fréquemment aux programmes antivirus classiques.
- Intégration de la cyberveille : Les événements peuvent être contextualisés grâce à l'intégration de la cyberveille, présentant des détails sur le cyberadversaire présumé et toutes autres informations connues sur l'attaque.
- Indicateurs d'attaque : Falcon Prevent™ utilise les indicateurs d'attaque pour identifier les menaces en se basant sur le comportement. La compréhension du déroulement des séquences d'actions malveillantes permet à Falcon Prevent de bloquer toutes les attaques, au-delà de celles qui utilisent des logiciels malveillants. Falcon protège par exemple contre le déplacement latéral, les attaques webshell et les diverses variantes de ransomwares sans fichier.
- Protection contre les exploits : Falcon Prevent inclut la protection contre l'exploitation, afin d'armer les systèmes contre les tentatives de tirer parti des applications vulnérables (telles qu'Adobe Flash ou Microsoft Silverlight).
Les attaques sans logiciel malveillant sont des attaques qui échappent à la détection en éliminant ou en limitant sérieusement l'enregistrement de fichiers binaires sur le disque. Par le passé, les attaques par logiciel malveillant impliquaient l'utilisation de programmes pouvant causer des dommages dès leur exécution. Par conséquent, les logiciels de sécurité ont été conçus pour analyser les fichiers et déterminer s'il s'agit de logiciels malveillants. Pour échapper aux analyses, les cyberadversaires ont imaginé d'autres techniques qui n'ont pas recours à la présence de fichiers déposés sur le disque de la victime. Il leur est possible, par exemple, de détourner un programme légitime et de l'altérer de façon à ce qu'il envoie des commandes malveillantes directement dans la mémoire système. Ces techniques contournent les solutions de sécurité traditionnelles ainsi que tout produit qui serait seulement axé sur la détection antimalware.
Falcon Prevent utilise l'apprentissage automatique pour bloquer immédiatement les logiciels malveillants, qu'ils soient déjà connus ou non. De plus, Falcon Prevent est capable de bloquer les menaces d'autres types, par exemple les attaques sans logiciel malveillant ou les activités malveillantes qui interviennent plus tard dans le déroulement d'un processus en utilisant les indicateurs d'attaque et d'autres techniques. Falcon Prevent peut par exemple détecter et bloquer des attaquants utilisant des applications légitimes pour exécuter des actions malveillantes, une technique largement utilisée de nos jours. Dans de tels cas, il n'y a pas d'exécution de fichier à empêcher avant le début de l'attaque. Ces attaques échapperaient aux solutions de sécurité centrées sur les logiciels malveillants — c'est la raison pour laquelle les cyberpirates les utilisent. La clé consiste à arrêter le cyberadversaire avant qu'il n'atteigne son objectif, qu'il s'agisse de vol de données ou de chiffrement d'un disque. Falcon Prevent travaille avant même le commencement de l'attaque et réagit à la volée, en temps réel.
Oui. Falcon Prevent utilise un ensemble de mesures préventives et de méthodes de détection pour protéger contre les ransomwares, par exemple :
- Blocage des ransomwares connus
- Blocage des exploits pour arrêter l'exécution et la dissémination des ransomwares qui exploitent les vulnérabilités non corrigées
- Apprentissage automatique pour la détection de ransomwares zero day, auparavant inconnus
- Indicateurs d'attaque pour identifier et bloquer d'autres ransomwares inconnus, ainsi que de nouvelles catégories de ransomwares qui n'utilisent pas de fichiers pour chiffrer les données de leurs victimes
Falcon Prevent provides great flexibility for such use cases. Falcon can run side-by-side with the customer’s current AV, as long as only one is chosFalcon Prevent offre une large flexibilité dans de tels cas. Falcon Prevent peut être exécuté côte à côte avec l'antivirus d'un client, pour autant qu'il n'y ait que l'un des deux qui bloquent les logiciels malveillants, sans quoi ils seraient en compétition pour accéder aux fichiers. Falcon Prevent facilite une telle utilisation en permettant au client de configurer l'apprentissage automatique, la technologie antimalware de CrowdStrike, en mode de détection uniquement. Dans un tel scénario, l'une des fonctions utiles de Falcon est qu'il montrera dans tous les cas le logiciel malveillant qu'il aura détecté, ce qui permet à l'utilisateur de voir s'il a également été repéré par une autre solution de sécurité. Si l'autre solution comporte un mode de détection seule, l'utilisateur peut choisir cette option de configuration pour permettre à Falcon de jouer un rôle de détection et de prévention.
CLe client n'a besoin d'aucune infrastructure particulière pour utiliser Falcon Prevent. Falcon Prevent utilise la plateforme Falcon, dont l'architecture est entièrement basée sur le cloud. Ceci permet aux clients de bénéficier plus rapidement de la protection et réduit le coût de total de possession en éliminant l'achat de matériels sur site, ainsi que leur déploiement et leur entretien. La sécurité cloud de CrowdStrike empêche tout attaquant d'acquérir la technologie CrowdStrike pour tenter de la modifier ou de l'esquiver. Chaque fois qu'un cyberpirate tente de contrer Falcon, ces tentatives sont visibles pour CrowdStrike. Cette capacité permet à CrowdStrike de voir une plus large part du paysage des cybermenaces. Cette perspective élargie apporte encore plus de données à Falcon, et ceci, par voie de conséquence, améliore l'ensemble des fonctionnalités de protection CrowdStrike.
La licence Falcon est accordée sur la base d'un abonnement par endpoint. Le prix débute à 59,99 dollars par endpoint par an pour l'antivirus de nouvelle génération CrowdStrike Falcon Prevent. Pour de plus amples informations, vous pouvez nous contacter.