Logiciels malveillants : Cylance veut aller au-delà des listes de signatures

L’apprentissage machine supervisé

Pour cela, Cylance s’appuie un modèle algorithmique déployé sur les postes de travail à protéger. Ce modèle développé à l’aide de l’intelligence artificielle, en recourant à l’apprentissage machine supervisé, ne pèse concrètement qu’une trentaine de mégaoctets.

Gabe Deale, vice-président de Cylance en charge de l’ingénierie commerciale détaille le processus : « nous procédons à une classification, en partant de deux jeux de données. D’un côté, un ensemble d’éléments connus comme bons, et un autre d’éléments malicieux. Nous établissons ces ensembles avec beaucoup de prudence afin d’éviter les mélanges. Et s’il peut y avoir un peu de recouvrement ici et là, pour l’essentiel, nous obtenons des données très très propres ».

Toutefois, cette classification est d’origine humaine. Alors pour l’affiner, Cylance exécute ses propres algorithmes avant d’entamer le véritable processus d’entraîner de son moteur d’intelligence artificielle : « nous disposons alors d’un corpus de données que nous utilisons pour entraîner le modèle ». Celui-ci est ensuite appliqué à des échantillons de test.

Confronté au monde réel, aux environnements de production des clients, le modèle est alors susceptible d’identifier de nouveaux éléments suspects et « d’évoluer en conséquence ». Mais pas en local. Sur le poste de travail, le modèle est statique. C’est dans les centres de calcul de Cylance qu’il évolue à partir de nouvelles menaces découvertes. Une nouvelle version est poussée aux clients de l’éditeur tous les six à neuf mois.

Un système largement connecté

Mais l’éditeur est susceptible de pousser à ses clients, plus régulièrement, des centroïdes, les barycentres de graphes unissant les variantes d’une même famille de logiciels malveillants : « cela ne protège pas seulement les clients contre une nouvelle infection ; cela les protège également de nouvelles variantes ».  

Les agents résidents sont connectés en permanence à la console d’administration de Cylance. Ils communiquent avec elle environ une fois par minute pour signaler leur bon fonctionnement et d’éventuelles découvertes, tout en vérifiant, au passage, s’ils ne doivent récupérer de nouvelles politiques de protection. Mais, assure Gabe Deale, « même en cas de déconnexion, l’agent dispose de toutes les informations dont il a besoin en local et reste efficace à plus de 99 %, y compris face à des menaces qu’il n’a jamais vues. Il ne s’appuie pas sur le Cloud pour prendre ses décisions ».

En cas de découverte de nouvelle menace, et si le client a donné son accord pour cela, l’agent peut remonter au service cloud l’échantillon qu’il a obtenu. Moins de 5 % des clients de Cylance s’y opposeraient actuellement. Avant classification, les échantillons font l’objet d’une analyse statique et d’une analyse dynamique. Pour celle-ci, l’éditeur s’appuyait initialement sur les bacs à sable libres Cuckoo, mais travaille actuellement à sa migration vers une autre plateforme de sandboxing. Il s’agit surtout là « de capturer ce que le fichier a fait lorsqu’il a détoné, afin de fournir ces renseignements à l’opérateur, ou au client ».

La solution de l’éditeur peut par ailleurs s’intégrer avec un système de gestion des informations et des événements de sécurité (SIEM). Elle génère pour cela des flux syslog standards. Des API spécifiques sont également proposées pour collecter les données de la solution depuis sa console d’administration.

S’éloigner de l’impératif d’antériorité

Gabe Deale explique l’approche de Cylance : « l’idée consiste à s’éloigner des signatures ». Car pour lui, « l’une des choses qui empêchent les antivirus traditionnels de réussir est qu’ils utilisent des choses vues par le passé ». De fait, il est là nécessaire que l’existence de la menace soit connue, « et donc que quelqu’un en ait déjà souffert ; que quelqu’un ait été le premier à l’exécuter ; et que quelque chose de malveillant ce soit produit, pour lequel aucune signature n’existait encore ».

Une évidence à laquelle se range naturellement Matt Stephenson, responsable du marketing produit de l’éditeur pour l’est des Etats-Unis, et ancien de Symantec et de Panda Security : « les entreprises sont passées à une approche de la protection en couches parce que les bases de signatures ne fonctionnent plus aussi [que par le passé] ». La faute notamment, selon lui, à l’élément humain intervenant dans la création des signatures, un élément par construction imparfait. Et c’est donc lui qu’il s’agit, avec l’intelligence artificielle, d’éloigner du cœur du processus de classification.

Le nouveau qui menace les anciens ?

Mais l’approche de Cylance n’est apparemment pas pour plaire à tout le monde. Récemment, un changement de conditions d’utilisation du service VirusTotal a donné un aperçu de la tension qui règne en coulisses dans le marché de la protection des points de terminaison. Mais Symantec s’était déjà précédemment montré très critique à l’encontre de Cylance.

Gabe Deale ne semble guère s’en étonner : « beaucoup de gens nous jettent de la boue en ce moment, parce que nous provoquons quelques remous dans l’industrie. La vérité est que ces acteurs ont été de grands concurrents. […] Mais l’innovation est aujourd’hui nécessaire. […] Ils ont créé des solutions largement trop complexes, et ne répondent toujours pas au cœur du problème. C’est pourquoi nous voyons des entreprises géantes dépenser des millions de dollars dans ces solutions et malgré tout continuer à se démener avec les mêmes problèmes qu’il y a dix ans ».

L’été dernier, Cylance a levé 42 M$ pour accélérer son développement commercial, un tour de table auquel a participé Dell Ventures. Et Dell semble tellement croire au potentiel de sa technologie qu’il l’utilise depuis la fin du mois de janvier au sein de sa suite de protection du poste de travail, Endpoint Security Suite Enterprise. Outre Windows, Cylance supporte OS X et prépare une version de son agent pour Linux ainsi qu’Android.