Détection des menaces : VMware s’attelle au réseau avec Lastline

VMware vient d’annoncer le rachat de Lastline. Cette jeune pousse fondée en 2011 par Christopher Kruegel, Engin Kirda, et Giovanni Vigna a développé une plateforme de détection et remédiation des menaces dans le trafic réseau. Fin 2014, Engin Kirda, évoquait un déploiement « un peu comme un IPS [système de prévention des intrusions] », relevant le « besoin de voir le trafic Internet » : « nous examinons par exemple les requêtes en résolution DNS, les connexions à des domaines suspects comme ceux de centres de commande et de contrôle, les pièces jointes des e-mails ; nous faisons beaucoup de choses variées que nous corrélons entre elles. Plus nous avons de visibilité sur ce qui se passe sur le réseau, plus nous pouvons corréler et donc détecter ».

La plateforme, Lastline Defender, s’appuie sur des sondes pouvant être déployées pour examiner les trafic nord-sud et est-ouest de l’environnement, physique, virtualisé, cloud ou hybride. En son cœur, de l’analyse comportementale du trafic réseau, à l’instar de ce que peuvent faire un Vectra ou un Darktrace, par exemple, une couche d’IPS, une pincée de renseignement sur les menaces, et un moteur d’analyse de fichiers suspects. Pour celle-ci, Engin Kirda expliquait fin 2014 miser sur l’émulation, avec « un émulateur hautement instrumenté où même les composants matériels sont émulés. » De quoi permettre de voir « toutes les instructions que le logiciel malveillant essaie d’exécuter » et surtout de faire des choses « complexes telles que le suivi dynamique des flux : on peut effectivement voir comment les données sont lues [par le logiciel], comment elles sont traitées dans l’applications, si elles sont transmises sur le réseau, etc. Nous disposons d’un contrôle très granulaire sur l’exécution du code suspect. » De quoi analyser finement les comportements et « construire des modèles de détection. »

Dans un billet de blog, Tom Gillis, vice-président sénior et directeur général de la division réseau et sécurité de VMware, explique les effectifs de Lastline doivent rejoindre l’équipe NSX : « VMware NSX dispose d’une visibilité en profondeur sur le trafic réseau, touchant chaque paquets. L’architecture de NSX va permettre à Lastline de réaliser de l’analyse réseau à une échelle massive, sur des dizaines de milliers de cœurs, sans avoir à répliquer le trafic. Qui plus est, NSX dispose d’une compréhension intrinsèque de la topologie applicative et ‘parle’ couche 7 ».

Et c’est là que cette acquisition s’inscrit dans la continuité de celle de Carbon Black annoncée fin août 2019 : le compréhension de la topologie applicative doit fournir un élément de contextualisation du trafic observé et « nous allons combiner ce contexte avec la connaissance approfondie de l’hôte fournir par notre plateforme d’EDR et de anti-virus de nouvelle génération Carbon Black ». Dès lors, « les algorithmes de Lastline [vont pouvoir] analyser une interaction spécifique avec plus de contexte sur le traitement correspondant ». Pour Tom Gillis, tout cela doit permettre d’aboutir à des décisions de sécurité plus précises et pertinentes.

De fait, rapprocher réseau et hôtes de celui-ci dans une approche globale de la sécurité n’est pas une approche isolée. Beaucoup d’acteurs se sont engagés sur cette voie depuis plusieurs années. Mais la logique prend une dimension toute particulière lorsque l’on commence à tenir compte des environnements de cloud hybride, de ceux d’exécution de conteneurs, ou encore de fonctions serverless. Et le marché de la cybersécurité ne manque d’ailleurs pas d’afficher un dynamisme certain dans le domaine de la sécurité des traitements en mode cloud (CWPP), comme vient d’ailleurs de le rappeler l’annonce du rachat d’Edgewise Networks par Zscaler.