Sophos intègre la technologie de Deep Learning d’Invincea

Pour l’heure, elle est appliquée à l’analyse statique de contenus suspects. A terme, les perspectives d’utilisation sont considérablement plus étendues.

C’est en février dernier que Sophos a annoncé le rachat d’Invincea, une jeune pousse spécialisée sur l’apprentissage automatique pour la détection des menaces connues et inconnues, à l’instar de SentinelOne ou encore de Cylance, avec lequel Sophos avait d’ailleurs échangé une passe d’arme en 2016.

Pour mémoire, Invincea revendiquait la capacité de bloquer les logiciels malveillants sans s’appuyer sur la moindre signature, jusque pour les menaces non basées sur des fichiers exécutables, en misant sur la surveillance comportementale. Avec sa solution X, l’éditeur assure également offrir une couche de protection contre le hameçonnage ciblé : les liens des e-mails et pièces jointes sont ouverts dans un environnement isolé, un conteneur virtualisé.

Rencontré aux Assises de la Sécurité, Michel Lanaspèze, directeur marketing de Sophos pour l’Europe de l’Ouest, est revenu avec nous sur cette opération et sur ses projets d’intégration. Et les perspectives s’avèrent vastes.

Pour en prendre la mesure, il faut revenir au projet Galileo. Annoncé en mai 2014, il vise à faire fonctionner de manière cohérente et synchronisée tous les mécanismes de défense de l’entreprise, depuis le poste de travail jusqu’au réseau en passant par les diverses passerelles de filtrage de contenus, entre autres. A l’époque, Michel Lanaspèze expliquait l’approche : « les systèmes de protection réseau voient tout ce qui se passe dans le réseau. Ils voient même ce qui entre et sort du poste de travail, mais pas ce qui s’y passe. Et ils ne connaissent rien de l’utilisateur. A l’inverse, les systèmes de protection du poste de travail n’ont pas de visibilité sur le réseau, et ne disposent donc pas forcément d’informations sur les signes émanant d’autres appareils connectés en réseau ».

C’est fin 2015 que Sophos a commencé à concrétiser ce projet, avec la fonction Security Heartbeat, qui assure la communication entre appliances de sécurité dans le réseau et agents de protection des hôtes.

Dans ce contexte, l’ensemble du système de défense est susceptible de développer d’importants besoins d’analyser de contenus suspects, de manière consolidée. Et c’est là qu’intervient la technologie d’Invincea.

Pour l’instant, celle-ci est déjà proposée pour l’analyse d’éléments suspects, statique, avant exécution éventuelle, à la recherche de caractéristiques susceptibles de trahir un code malveillant. Et cela dans le cadre d’un programme expérimental accessible à certains clients, pour la seconde version de la solution Intercept X.

Ainsi, la technologie d’Invincea intervient là en complément de celle de SurfRight, racheté par Sophos fin 2015, qui se concentrait « sur la détection et la prévention des manipulations en mémoire vive et des abus qui permettent à du code malicieux de s’exécuter ». Mais ce n’est qu’un début.

Michel Lanaspèze explique ainsi que « ce savoir-faire d’Invincea en Deep Learning va être utilisé dans d’autres choses, dans le réseau et ailleurs ». Parce qu’en définitive, « le périmètre d’application est quasiment illimité ». Pas question toutefois, au moins pour l’heure, d’aller empiéter sur le territoire d’acteurs où l’apprentissage automatique est utilisé d’abord pour définir des profils comportementaux sur l’infrastructure à défendre, à l’instar de ce que peut faire Vectra Networks : « on acquiert la connaissance dans nos laboratoires, on développe nos modèles et nos profils en interne, et on les fournit à nos clients ». 

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close