Skybox veut offrir une visibilité complète sur la surface d’attaque

Fondé en 2002, Skybox Security vient tout récemment de lever 150 M$ et s’intéresse de manière marquée au marché français depuis début octobre. L’entreprise, qui ambitionne de fournir une visibilité contextuelle du réseau et des risques, se positionne en outre depuis peu sur les environnements ICS/Scada, en s’appuyant sur Security Matters, spécialiste de la supervision des systèmes industriels, suivant ainsi les pas d’un CrowdStrike ou encore de FireEye et de Cymmetria. Skybox était présent, au printemps, sur l’événement CPX de Check Point. L’occasion de découvrir son offre.

L’éditeur propose ainsi une plateforme logicielle qui doit permettre de modéliser la surface d’attaque de l’ensemble de son infrastructure. Et cela commence par la modélisation de l’intégralité de la topologie réseau, enrichie des informations relatives aux contrôles de sécurité déployés (EPP, IPS, Pare-feu, etc.). Mais cela ne s’arrête pas là. Uri Levy, vice-président de Skybox en charge des ventes, explique que la plateforme y ajoute les informations stockées dans les systèmes d’administration – SCCM, CMDB, etc. – ainsi que la découverte de tous les services exposés par les hôtes du réseau : « nous en déduisons les vulnérabilités présentes et simulons la manière dont un tiers pourrait attaquer l’environnement pour faire tomber des services ou compromettre des systèmes ».

La plateforme de Skybox s’appuie pour cela sur les bases de vulnérabilités connues, mais également sur les chemins réseau accessibles « pour conduire des attaques en plusieurs étapes », en tenant compte des données de configuration des hôtes et systèmes – « pour savoir s’ils ne sont pas bien configurés [mot de passe laissé par défaut, par exemple] ou en infraction aux pratiques de référence ». Le tout pour produire une représentation complète des scénarios d’attaques envisageables, sévérité des vulnérabilités et conditions d’exploitation requises en prime : « nous calculons toutes les manières possibles d’attaquer l’organisation, à grande échelle, sur l’ensemble de son environnement ».

Des actions défensives à conduire sont suggérées, de manière hiérarchisée. Et cette hiérarchie est ajustée dynamiquement suivant l’évolution de la menace : « avant WannaCry, dès que les vulnérabilités utilisées ont été dévoilées, nous avons remonté à un niveau critique l’application des correctifs correspondants ».

Pour compléter la représentation, au-delà des données qu’elle est elle-même nativement capable de collecter passivement, la plateforme peut s’intégrer à des outils tiers d’analyse active tiers, comme ceux de Rapid7, Qualys, ou encore Tenable.