Facebook dévoile sa plateforme de sécurité ThreatData
Un « super antivirus » susceptible de comprendre et de neutraliser tout type de menaces
Facebook a compris qu’ « aider à garder Internet libre de menaces est un énorme défi qui n'a jamais été aussi important » et a décidé de mettre ses moyens à profit pour y contribuer du mieux qu’il peut. Le réseau social se met à la chasse des malwares en ligne. Il veut contribuer à la promotion d’un Internet ouvert sans menace. Récemment, Mark Zuckerberg, PDG de Facebook a exprimé son mécontentement sur la façon dont Internet est géré de nos jours. Aujourd’hui, le réseau social fait un grand pas vers un Internet protégé grâce à son programme ThreatData.
ThreatData est une plateforme qui collecte les informations sur les menaces en ligne, les stocke en temps réel et procède à une analyse à long terme. Quel que soit le format des données de la menace, ThreatData est capable de stocker sa base (ex evil-malware-domain.biz) de même que le contexte dans lequel elle a été conçue. ThreatData est composé de trois parties : les aliments, le stockage des données et la réponse en temps réel.
Pour s’alimenter, ThreaData pioche des données émanant des sites malveillants, des sites victimes d’une menace, des extensions de navigateur ou encore des sources de renseignements internes sur les menaces de Facebook. Afin de mieux traiter les données recueillies, Facebook les met sous un format unique appelé ThreatDatum et les stocke au moyen de deux de ses technologies de stockage Cloud : Hive et Scuba. ThreatData arrive donc à rapidement savoir si une telle menace avait déjà été traitée ou s’il existe des menaces similaires et de déterminer le type de menace dont il s’agit. Pour réagir en temps réel contre les menaces, un processeur a été conçu pour traiter et neutraliser les menaces.
ThreatData arrive à connaître le pays de provenance des malwares de même que les adresses IP. Pour ce faire, la plateforme utilise un système de géocodage des adresses IP des URL malveillantes ou infectées. La figure ci-dessous montre la provenance de ces URL lors de leur analyse. Les USA sont en tête d’affiche avec le plus grand nombre d’adresses IP malveillantes ou infectées.
ThreatData est considéré comme un « super antivirus ». Mark Hammell, chercheur en sécurité chez Facebook explique que « dans un environnement d'entreprise typique, un simple produit antivirus est déployé sur tous les dispositifs et est utilisé comme un moyen de défense de base. Toutefois, aucun antivirus simple ne permet de détecter toutes les menaces. Certains fournisseurs sont forts pour détecter certains types de logiciels malveillants, tandis que d'autres peuvent détecter un grand nombre de menaces, mais sont susceptibles de mal les étiqueter. Nous [Facebook, N.D.L.R] avons décidé d'utiliser notre plateforme [ThreatData, N.D.L.R] pour construire un ensemble léger des hash qui ne sont pas expressément détectés par les antivirus que nous avons choisis et de nourrir ces hash directement dans notre système de gestion des événements de sécurité personnalisé. Les résultats ont été impressionnants : nous avons détecté deux adware et malware installés sur les ordinateurs invités dont aucun simple antivirus n’aurait pu trouver ».
Source : Annonce Facebook
Et vous ?
Que pensez-vous de ThreatData ?
Pourrait-on vraiment neutraliser toutes les menaces existant sur Internet ?
Partager