SentinelOne mise sur le poste de travail pour détecter les attaques

Plutôt que de s’intéresser aux flux réseau, comme d’autres, la start-up mise sur l’analyse comportementale sur le poste de travail pour détecter et bloquer les attaques au plus vite.

SentinelOne n’est encore qu’une jeune pousse d’une cinquantaine de collaborateurs. Installée à Mountain View, en Californie, elle dispose d’une unité principale de recherche et développement en Israël, et d’une seconde à Paris. Sa technologie a su attirer l’attention jusqu’à lui permettre d’être sélectionnée parmi les dix finalistes pour le prix de l’Innovation Sandbox qui sera décerné la semaine prochaine à l’occasion de la RSA Conference.

Surveiller tout ce qui se passe sur le poste de travail

SentinelOne ambitionne rien moins que de remplacer les logiciels anti-virus reposant sur des signatures, voire sur une mise en bac-à-sable (sandboxing) que les acteurs malveillants s’attachent désormais de plus en plus à détecter.

Pour cela, la start-up s’appuie sur un agent « qui surveille en temps réel tout ce qui se passe sur le poste terminal », explique Tomer Weingarten, Pdg de SentinelOne. Mais ce n’est pas tout : cette surveillance vise à détecter, prédire, bloquer et supprimer les attaques connues, mais également inédites et avancées, en temps réel.

Pour cela, l’agent résident analyse les processus applicatifs pour chercher, dans leur comportement, à détecter des modes opératoires typique d’intentions malveillantes. La modélisation des profils comportementaux s’appuie notamment sur le renseignement sur les menaces. Le machine learning est également là mis en œuvre.

Une approche que Tomer Weingarten compare par exemple à celle de Sonar, de Symantec : celle d’un « système véritablement comportemental ». Reste, SentinelOne ne s’appuie sur aucun partenariat : toute son algorithmique lui appartient.

Le réseau ? Pas assez de visibilité…

Mais pourquoi miser sur le poste client alors qu’un Darktrace, par exemple, mise sur l’observation des acteurs du réseau de l’entreprise, pour « apprendre à partir des flux réseau », expliquait récemment au MagIT Dave Palmer, son directeur technique.

Détaillant le projet Galileo de Sophos, Michel Lanaspèze relevait quant à lui que « les systèmes de protection réseau voient tout ce qui se passe dans le réseau. Ils voient même ce qui entre et sort du poste de travail ». Et reconnaître alors qu’ils ne voient pas « ce qui s’y passe. Et ils ne connaissent pas l’utilisateur ». Mais pour l’éditeur, il faut chercher à faire travailler l’ensemble des composants de défense « comme un système ».  

Mais, pour Tomer Weingarten, le poste client est un point stragégique : « même si les menaces viennent par le réseau, c’est sur le poste client qu’il faut intervenir. Hors du poste client, les possibilités de réussite sont limitées ».

Ironie du sort, nombre des collaborateurs de SentinelOne viennent justement du monde de la protection réseau. Son vice-président en charge de la recherche et du développement vient ainsi de Check Point Software, comme le vice-président services et opération de terrain, mais également le co-fondateur et directeur technique de la start-up, sans compter plusieurs ingénieurs et développeurs.

Jusqu’aux terminaux mobiles, aux Scada et à l’embarqué

Et c’est peut-être fort de cet héritage que SentinelOne supporte l’intégration de sa solution avec différents pare-feu, à commencer par ceux de Check Point. La solution peut également être intégrée au sein d’un système de gestion des informations et des événements de sécurité (SIEM). Mais elle embarque ses propres outils d’analyse et d’investigation. Pour cela, une appliance d’administration, virtuelle, peut être déployée en interne. Mais la solution de SentinelOne est également proposée en mode Cloud, hébergée sur l’infrastructure d’Amazon.

Quant à l’agent résident, Tomer Weingarten explique qu’il est « presque complètement passif » et que, processus de faible priorité, « il ne consomme que 0,4 % du CPU en moyenne, sur une journée d’utilisition ». L’agent résident est disponible pour les environnements Windows 32 et 64 bits, mais également Linux, OS X, et Android. De quoi destiner SentinelOne non seulement aux postes de travail conventionnels, mais également aux systèmes de contrôle industriel, les Scada, ou encore à l’embarqué et à des caisses enregistreuses.

Pour l’heure, la solution n’exploite pas les capacités spécifiques d’environnements virtualisés, comme l’API vShield de VMware : « ce n’est un point clé pour nous à ce stade. Nous pensons que l’agent nous fourni encore un bon niveau de visibilité ».

 

Pour approfondir sur Protection du terminal et EDR