Les ransomwares continuent de représenter l’une des menaces les plus redoutées dans le domaine de la cybersécurité, particulièrement dans les environnements industriels. Face à cette menace croissante, une équipe de chercheurs menée par Shenao Wang et Feng Dong de l’Université des Sciences et Technologies de Huazhong, en collaboration avec Hangfeng Yang et Jingheng Xu de Sangfor Technologies, ont conçu CanCal. Leur objectif principal : développer une solution innovante capable de détecter et de répondre en temps réel aux ransomwares tout en minimisant l’impact sur les ressources système, afin de répondre aux contraintes spécifiques des environnements industriels.

Les chercheurs ont identifié deux limitations majeures des systèmes de détection actuels dans les grandes infrastructures :

1. La surcharge des moteurs de détection comportementale : surveiller l’intégralité des processus d’un système industriel entraîne une surcharge informatique insoutenable, rendant les solutions actuelles inadaptées pour une détection en temps réel.
2. Les faux positifs liés aux systèmes basés sur des leurres : ces systèmes génèrent un trop grand nombre d’alertes non pertinentes dans des clusters industriels à grande échelle, perturbant les processus critiques et surchargeant les équipes de sécurité.

Les Objectifs des Chercheurs

L’équipe de recherche s’est donnée pour mission de créer une solution capable de combler ces lacunes tout en répondant aux besoins spécifiques des environnements industriels. Leur solution, CanCal, s’appuie sur une stratégie alliant efficacité, rapidité et légèreté pour assurer une protection en temps réel contre les ransomwares. Les objectifs principaux sont :

• Minimiser la consommation de ressources : Réduire considérablement l’utilisation des ressources CPU et mémoire tout en offrant une protection robuste contre les ransomwares.
• Réduire les faux positifs : Atténuer l’alerte excessive en limitant l’analyse approfondie uniquement aux processus jugés suspects, évitant ainsi la surcharge des analystes de sécurité.
• Garantir une détection en temps réel : Proposer un système capable de réagir en moins de 3 secondes, ce qui est crucial dans les environnements industriels où chaque seconde compte pour protéger les systèmes critiques.

Architecture complète de Cancal

Pour atteindre leurs objectifs, les chercheurs ont développé un cadre de surveillance et de détection unique. Plutôt que de surveiller tous les processus de manière aveugle, CanCal filtre les processus suspects via des points de surveillance stratégiques. Une fois identifiés, ces processus font l’objet d’une analyse comportementale approfondie pour déterminer si une activité malveillante est en cours.

Les contributions clés des chercheurs incluent :

1. Surveillance sélective et allégée des processus : CanCal se concentre uniquement sur les processus déclencheurs, réduisant ainsi considérablement la surcharge en termes de CPU et de mémoire.
2. Analyse comportementale multi-couches : L’utilisation d’un moteur d’analyse décisionnelle sophistiqué permet de filtrer les alertes et de reconnaître précisément les activités de ransomware, minimisant les faux positifs.
3. Déploiement à grande échelle : Les chercheurs ont intégré CanCal dans un produit commercial, démontrant son efficacité sur plus de 3,32 millions de terminaux industriels. Ils ont pu bloquer 61 attaques de ransomware sur une période d’un an, prouvant l’efficacité du système dans des environnements industriels réels.

Le projet CanCal, dirigé par des experts de l’Université des Sciences et Technologies de Huazhong et Sangfor Technologies, marque une avancée dans la protection des infrastructures critiques contre les ransomwares. Leur objectif d’offrir une solution légère, réactive et efficace répond non seulement aux besoins actuels des environnements industriels, mais anticipe également les futures évolutions des menaces, en particulier celles qui émanent des ransomwares sophistiqués et inconnus.