EnSilo veut prévenir les dégâts liés aux intrusions

Une étroite surveillance

Pour cela, enSilo mise sur la surveillance des événements survenant sur les points de terminaison. Udi Yavo expliquer utiliser une extension du noyau sous OS X, et un pilote spécifique sous Windows. Dans les deux cas, il s’agit de collecter des métadonnées relatives aux activités touchant au système de fichiers et aux interfaces réseau, « le tout à très bas niveau ». De quoi, assure Udi Yavo, détecter par exemple des tentatives d’injection de code malicieux, dans des exécutables ou directement en mémoire.

Ces métadonnées sont ensuite transmises au cœur du système, chargé de leur analyse afin de détecter des comportements suspects. Le déport de l’analyse vise « à réduire la quantité de code sur le point de terminaison, afin de limiter la surface d’attaque autant que possible », précise le directeur technique. Les collecteurs ne pèsent ainsi au total que moins d’un mégaoctet.

Détecter le mauvais à partir de bons connus

Les mécanismes d’analyse s’appuient sur une approche qui rappelle celle des listes blanches : « nos règles ne sont pas basées sur ce qui n’est pas sûr, mais sur ce qui est sûr. Ainsi, nous sommes capables de détecter si le code d’origine a été remplacé en mémoire. On ne se préoccupe pas de ce qu’était le code original ; on s’inquiète seulement de son remplacement ». Et de miser là sur la corrélation d’événements, par exemple le fait que du code exécutable nouvellement implanté en mémoire « cherche à établir une connexion, essaie de communiquer, ou d’altérer des fichiers ». L’ensemble s’appuie sur un ensemble de règles d’analyse finalement assez restreint : moins d’une vingtaine. « Avec ça, nous ne serons pas capables de dire exactement de quel logiciel malveillant il s’agit, mais nous serons capables de dire que quelque chose de malicieux est en train de se passer ».

Pour maintenir son jeu de règles à jour, enSilo mise sur ses équipes internes de recherche et développement : « nous analysons au moins une centaine de nouveaux échantillons [de logiciels malveillants] par jour ». Mais pas question, donc, de recourir à des signatures : « nous nous concentrons uniquement sur les actions dont nous pensons qu’elles sont les conséquences d’une attaque ».

Se concentrer sur la protection des données

Mais si l’approche d’enSilo peut rappeler celle d’autres acteurs s’éloignant de l’anti-virus, ces spécialistes de l’EDR – tels que SentinelOne et Cylance –, Udi Yavo ne voit pas comme l’un de leurs concurrents : « nous travaillons différemment. Nous nous concentrons exclusivement sur la protection contre la falsification et l’exfiltration de données, alors qu’ils se concentrent sur l’infiltration. Je pense que c’est une philosophie différente ».

Pour autant, comme Tom Weingarten, de SentinelOne, Udi Yavo estime que le point de terminaison s’avère clé : « on peut là collecter bien plus d’information [qu’en observant simplement le trafic réseau]. Et cela nous permet aussi de disposer d’une grande quantité d’informations importantes pour les enquêtes ».

Pour autant, le directeur technique d’enSilo voit beaucoup de valeur dans d’éventuels partenariats avec des spécialistes du réseau – « par exemple pour la corrélation lorsque de l’établissement de connexions vers l’extérieur, qui n’a pas été observée par notre collecteur » – ou encore de la prévention des fuites de données (DLP), notamment pour s’assurer que les processus manipulant des informations sensibles ne communiquent pas avec des hôtes autres que ceux considérés comme sûrs ou du moins acceptables.

Outre postes sous Windows et OS X, enSilo prépare actuellement un collecteur pour Linux. Celui-ci devrait être disponible d’ici la fin de l’année. Sa solution s’intègre avec des systèmes de gestion des informations et des événements de sécurité (SIEM), à commencer par Splunk, et offre une interface REST.