Avec RedSocks, Bitdefender ajoute le réseau à sa solution de protection du système d’information

Bien connu pour ses offres de protection du poste de travail (EPP), Bitdefender n’en finit pas d’étendre son offre. L’an dernier, l’éditeur s’est joint au bal des spécialistes de l’EPP prenant pied sur le terrain de la détection et de la remédiation à incidents sur les hôtes du système d’information (EDR), avec GravityZone XDR. Mais à l’heure où un nombre croissant de ses concurrents jouent la carte de l’intégration en hôtes et réseau pour sécuriser le système d’information, il n’était pas question pour Bitdefender de rester à l’écart. D’où le rachat, annoncé aujourd’hui, de RedSocks Security.

Fondée en 2012 par Pepijn Janssen, son directeur technique, cette jeune pousse s’est fait une spécialité de la détection de compromission dans le trafic réseau, ou plutôt ses métadonnées, à partir de flux Netflow/Ipfix. Pas question donc, comme le souligne Stefan Rares, directeur de Bitdefender en charge de la stratégie, dans un entretien avec la rédaction, de se pencher sur le contenu de paquets correspondant à des communications de plus en plus chiffrées : il s’agit de surveiller les métadonnées du trafic réseau en s’appuyant au niveau du renseignement sur les menaces, et notamment celui produit en interne, par l’éditeur. Pour Stefan Rares, c’est cette combinaison entre « introspection réseau et renseignement sur les menaces », notamment avec les indicateurs de compromission, qui permet « de détecter qui si quelque chose de malicieux est présent ».

Si Bitdefender a retenu RedSocks, c’est pour sa technologie, mais également pour sa culture d’entreprise que Stefan Rares trouve proche de celle de Bitdefender : celle d’une entreprise d’ingénierie et de recherche. Et en la matière, RedSocks apparaît effectivement comme un choix pertinent.

Pepijn Janssen revendique ainsi des liens étroits avec le monde universitaire et notamment les universités de Twente – « spécialisée dans l’analyse des flux réseau » – et d’Amsterdam où ont été recrutés plusieurs doctorants, dont Rick Hofstede, auteur d’une thèse sur la détection de compromission à partir des protocoles Netflow/Ipfix, soutenue à l’été 2016.

Rick Hofstede est resté chez RedSocks de la fin 2014 au printemps 2017. Il est notamment l’auteur de l’outil de détection de compromission SSHCure. Au-delà de cet exemple - qui n’est d’ailleurs pas mis à profit, au moins à ce stade, dans les produits de RedSocks -, Pepijn Janssen revendique une véritable culture de l’open source : « nous contribuons beaucoup à des projets que nous utilisons en interne, et en particulier le bac à sable Cuckoo. L’un des principaux développeurs du projet est impliqué dans RedSocks ». Les équipes de la jeune pousse travaillent d’ailleurs, pour le gouvernement néerlandais, à une déclinaison de Cuckoo qui a vocation à être versée ultérieurement à l’open source. En outre, Pepijn Janssen souligne partager plus que du code avec la communauté, avec des règles de détection Yara, notamment.

Si RedSocks s’intéresse autant aux bacs à sable, c’est pour extraire des informations sur les modes de communication des maliciels. Car pour Pepijn Janssen, la valeur de sa plateforme, c’est non seulement de savoir détecter les canaux cachés de communication – ou covert channels – mais aussi de combiner cette information avec la connaissance des menaces et des destinations des communications afin de qualifier la menace observée… et d’accélérer le travail des analystes.

RedSocks Security n’est pas forcément une entreprise très connue. En fait, pour Stefan Rares, c’est essentiellement « parce que c’est une jeune pousse à un stade très précoce de son développement ». Reste que Bitdefender travaille à ce rachat depuis 11 mois et avance déjà un calendrier d’intégration.

La première étape sera l’intégration des flux de renseignement sur les menaces de l’éditeur, d’ici la fin de l’année. L’intégration à sa plateforme d’orchestration GravityZone est prévue d’ici 6 mois. Et d’ici l’automne prochain, l’intégration avec les composants de prévention et de détection/remédiation sur les hôtes devrait avoir abouti.