Il faut prendre en compte le fait qu’il est virtuellement impossible de détecter 100% des nouvelles menaces existantes à l’instant T en se basant sur un système de signature. En effet, cette logique de fonctionnement inclut fondamentalement un delta entre le moment où la nouvelle menace apparait quelque part dans le monde, et le moment où Symantec a accès aux échantillons pour mettre à jour les définitions en conséquence.
De même, la protection par analyse du comportement sur une machine (TruScan/heuristique) ne permet pas un taux de détection total sans risque de faux-positifs.
Ces deux modules sont présents dans le produit Symantec Endpoint Protection 11.0.
Afin de résoudre cette problématique, Symantec a développé un nouveau produit (Symantec Endpoint Protection 12.1), conçu pour utiliser les méthodes décrites plus haut, et les compléter via un tout nouveau système avancé de réputation de fichiers. Ce dernier permet d’augmenter le niveau de détection pour les nouvelles menaces, sans signatures, tout en diminuant le taux de faux-positif.
La technologie en question s’intitule Insight. Elle est intégrée dans le produit et utilisée par les composants de protection standard (SONAR, Auto-Protect, scan planifiés ou à la demande, etc.). Elle utilise des techniques avancées, en local afin de déterminer le score d’une application ou via la base de réputation Symantec en ligne, pour ainsi prévenir un potentiel risque sur des fichiers encore inconnus.
L’une des composantes utilisant Insight est Download Insight, une nouveauté de SEP 12.1. Voir ci-dessous un article à ce sujet :http://www.symantec.com/connect/videos/symantec-download-insight-symantec-endpoint-protection-121
Voici d’autres articles intéressant sur la technologie Insight : http://www.symantec.com/docs/HOWTO55275 http://www.symantec.com/docs/TECH171776 http://www.symantec.com/docs/TECH169282 http://www.symantec.com/connect/sites/default/files/Insight_Best_Practices_v1.pdf http://www.symantec.com/en/uk/reputation-based-security http://www.symantec.com/docs/TECH163042 http://www.symantec.com/docs/TECH162286