HarfangLab : un EDR certifié par l’Anssi qui joue l’ouverture

C’est au printemps 2018 que Grégoire Germain, officier de Marine, a fondé HarfangLab. Cet ancien de Thales voulait ainsi développer une plateforme d’EDR française susceptible notamment de répondre aux besoins des environnements les plus sensibles. C’est dans cette perspective qu’il s’est notamment associé à Gatewatcher pour proposer l’outil d’investigation Hurukaï qui a remporté le premier prix du Défi Cyber du ministère des Armées lors de l’édition 2019 du Forum international de la cybersécurité (FIC). HarfangLab compte aujourd’hui parmi les start-ups sélectionnées pour le Grand Défi Cyber de la France.

Surtout, la plateforme d’HarfangLab a décroché, en décembre dernier, une certification CSPN pour son agent EDR Hurukai v2.0.1. Celle-ci a été obtenue grâce aux contre-mesures en place face à quatre menaces identifiées : l’accès à des secrets de chiffrement de disque ou d’autres utilisateurs à partir d’une compromission locale ; une modification du comportement de l’agent (à des fins d’élévation de privilège ou pour cacher une compromission) ; l’écoute du trafic réseau ; ou encore l’altération des données échangées entre l’agent et le composant d’administration – pour faire réaliser des actions à l’agent à l’insu de ses administrateurs.

L’agent Hurukai supporte Windows serveur à partir de 2008 et client à partir de 7. Linux est à venir. Mais pas de Windows XP. Selon Mathieu Gaspard, ingénieur R&D sécurité chez HarfangLab, « il n’y a pas eu de demande clients. Et même Windows 7 devient assez rare ». En outre, souligne-t-il, « il est difficile d’avoir une même base de code efficace de Windows XP à Windows 10 ». D’ailleurs, précise-t-il, « certains acteurs qui ont un agent pour Windows XP prennent leurs précautions et formulent des réserves ».

Dans la pratique, pour les environnements où Windows XP est présent, c’est la sécurité périmétrique qui s’avère privilégiée, « avec télémétrie réseau, par exemple, mais assurément pas un agent ».

L’un des aspects les plus remarquables de l’approche d’HarfangLab est peut-être l’ouverture. La plateforme Hurukai a ainsi été conçue pour être compatible avec Sysmon : « nous avons fait nos règles en suivant le formalisme Sigma par souci d’ouverture », de manière bidirectionnelle, explique Mathieu Gaspard. Mais HarfangLab a ajouté des champs et des propriétés supplémentaires pour dépasser certaines limites et pouvoir notamment disposer d’informations additionnelles sur la posture et la santé d’un processus générant un événement.

Yara est également à profit, pour le renseignement sur les menaces comme en réponse à incident. L’exploitation de règles Sigma et Yara est faite par l’agent sur l’hôte. Mais celui-ci embarque aussi un modèle d’apprentissage automatique entraîné sur 20 millions d’échantillons de maliciels et de logiciels légitimes, ainsi qu’un moteur chargé de bloquer les binaires affichant un comportement de ransomware.

La fréquence d’envoi de la télémétrie depuis les hôtes vers le back-end est configurable. En cas de déconnexion d’un hôte, un certain nombre d’événements sont stockés localement avant d’être envoyés lorsque la connexion est rétablie. Concrètement, l’agent se déploie sous la forme d’un paquet MSI, via SCCM ou des GPO, y compris aux côtés d’un antivirus.

Côté administration, l’interface gère rôles et droits des utilisateurs, notamment pour répondre aux besoins des SOCs et des CERTs. Elle permet de visualiser aisément la chronologie d’enchaînement des processus liés à un événement de sécurité. Et elle permet de remonter une copie des binaires impliqués, pour analyse. C’est là que des connecteurs externes peuvent être invoqués. On trouve bien sûr l’incontournable VirusTotal, mais également une autre jeune pousse française, Glimps, ou encore le bac à sable Cuckoo.

Les capacités d’interconnexion ne s’arrêtent pas là. Il est ainsi possible d’interfacer la plateforme d’HarfangLab avec une instance MISP, de manière bidirectionnelle, pour le partage et l’intégration de marqueurs techniques (IoC). Un connecteur Syslog permet d’exporter les événements vers un système de gestion des informations et des événements de sécurité (SIEM). L’appel aux outils de la jeune pousse française Cosmian, pour le partage sécurisé de marqueurs, est également prêt à l’usage.

En fait, tout ce qui est accessible dans l’interface d’administration est accessible par API, pour intégration, par exemple, avec la plateforme d’orchestration Demisto, mais également les outils de deux autres jeunes pousses françaises, Sekoia et StrangeBee, avec le projet TheHive.

La plateforme d’HarfangLab est disponible en mode service, hébergée chez OVH, comme au déploiement en local. C’est d’ailleurs ainsi qu’elle est déployée chez Safran. Elle a également su convaincre des prestataires de services de sécurité managés, au premier rang desquels I-Tracing et Thales.

Récemment, HarfangLab a levé 5 M€ dont Grégoire Germain indique qu’ils doivent notamment servir au recrutement, tout particulièrement pour renforcer les équipes commerciales.