Guidance Software présente une importante refonte d’EnCase

Guidance Software vient de présenter la version 6 d’EnCase, son outil de détection et de remédiation sur le point de terminaison (EDR). Dans un communiqué de presse, l’éditeur explique s’être en particulier concentré sur l’expérience utilisateur, avec une interface entièrement revue, basée sur HTML5 et JavaScript. Au programme également, les workflows conçus pour répondre aux besoins autant des analystes de premier niveau qu’aux équipes chargées de la réaction face aux incidents. Mais l’interface d’EnCase 6 fait aussi la part belle aux tableaux de bord, aux représentations des processus en arborescences, aux personnalisations et aux raccourcis, entre autres.

Cette mouture se distingue également par des interfaces de programmation améliorées (API) pour étendre les capacités d’intégration avec des outils d’automatisation tiers. Et cela concerne aussi les systèmes de gestion des informations et des événements de sécurité (SIEM). Et pour affiner les capacités de détection, EnCase 6 intègre le support des renseignements sur les menaces afin « d’identifier plus rapidement les menaces cachées avant qu’elles ne conduisent à une brèche », mais également d’aider les équipes de réponse à incident à hiérarchiser leurs actions. EnCase 6 doit enfin simplifier certaines actions liées à la réponse à incident, comme l’analyse de la mémoire vive, ou encore la recherche d’indicateurs de compromission.

Avec cette annonce, Guidance Software apparaît donc surtout renforcer le volet sécurité du point de terminaison de son offre, même si ce n’est pas historiquement son cœur de cible.

Lors d’un échange fin janvier, sur le Forum International de la Cybersécurité, Fortunato Guarino, soulignait ainsi qu’EnCase est avant tout « un logiciel d’investigation numérique » dont la fonction première consiste à « faire ressortir la vérité, sur la base de faits et non pas de présomptions ou de doutes ». Et cela à charge comme à décharge. Et d’expliquer que le premier cas d’usage d’EnCase s’inscrit dans « une stratégie de couverture civile, assurantielle, ou pénale » car l’outil produit des éléments probants, « suffisamment fiables pour qualifier les faits ».

Et c’est de là que l’outil de Guidance Software tire l’essentiel de son originalité : « EnCase ne fait pas confiance à l’actif lui-même. Il s’installe au plus bas du noyau pour être le moins détectable possible et voir tout ce qui est entrées/sorties, processus, etc. » Il ne se base pas sur des logs produits par le système ou par les applications, « susceptibles eux-mêmes d’avoir été compromis ou modifiés » mais assure sa propre collecte d’éléments chronologiques.

Pour assurer la valeur probante de données qu’il produit, EnCase s’appuie sur un agent sécurisé, dont le cycle de vie est étroitement lié au système étudié, et qui génère des données « scellées numériquement ». Les informations sont assorties d’une référence chronologique et associées à une empreinte SHA-2. L’agent lui-même ne peut pas être copié d’une machine à l’autre. Et Guidance Software fournit des recommandations sur l’infrastructure de collecte et de stockage, en interne, des données remontées par les agents, afin là encore d’en assurer l’intégrité dans le temps.