valerybrozhinsky - stock.adobe.c

Pour lutter contre les cybermenaces, Huntress Labs se concentre sur les modes de persistance

La jeune pousse de Baltimore, dans l’état américain du Maryland, ne prétend pas concurrencer les outils de prévention, même les plus avancés, mais les compléter en se penchant sur ce qui permet à un attaquant de se maintenir dans une infrastructure compromise.

Mi-février, Kyle Hanslovan, Pdg de Huntress Labs, a invité au débat autour du processus à mettre en œuvre pour nettoyer un parc compromis par Emotet. Ce n’était pas innocent : « chaque jour, notre équipe voit les réseaux de 5 à 15 clients touchés par Emotet. Le nettoyage peut prendre entre 3 jours et 3 mois suivant les compétences, les outils et la télémétrie disponibles ». Ainsi, Huntress Labs ne fait pas dans la prévention, mais dans la détection et la remédiation sur les hôtes de l’infrastructure (EDR).

C’est en 2015 que Kyle Hanslovan, Chris Binett et John Ferrell se sont lancés dans l’aventure. Tous trois sont passés auparavant par le domaine offensif. Leur curriculum vitae fait référence à Mantech International Corporation, mais également à l’US Navy, pour Chris Binett, ou encore à des expériences de red teaming pour Kyle Hanslovan. Pour ce dernier, le constat est simple : il est virtuellement impossible d’empêcher un attaquant de s’infiltrer – « une prévention parfaite est impossible ». Alors, s’il apparaît futile de compter bloquer les attaques, il faut se concentrer sur la détection et la remédiation pour « attraper rapidement les assaillants et les confiner, avant la phase d’exfiltration ».

Kyle Hanslovan revendique dès lors le développement d’un produit « très bon dans la détection ». Mais ce n’est donc qu’une partie du travail à accomplir. Et pour l’autre, « la plupart de nos clients n’ont pas de grandes équipes » et ne peuvent compter que sur des équipes IT modestes. Pour celles-là, « il peut y avoir une ou deux personnes compétentes en sécurité, mais pas d’analyste en criminalistique », la faute à un coût trop élevé pour ces compétences recherchées.

C’est là qu’intervient Huntress, en apportant un complément : « nous ne sommes pas là pour empêcher une infection mais pour la stopper avant qu’elle ne provoque une grosse interruption ». Et pas n’importe comment. Pas question, là, d’aller chercher à collecter tout et n’importe quoi. La solution développée par la jeune pousse s’appuie sur un agent à déployer sur les hôtes de l’environnement et se concentre sur la recherche et la détection des moyens de persistance mis en œuvre par les attaquants pour maintenir leur présence dans un système d’information compromis. Chaque mécanisme de persistance détecté est donc analysé à la recherche d’anomalies susceptibles de trahir un élément maliciel.

Kyle Hanslovan ne positionne pas Huntress Labs en concurrence de solutions de protection des hôtes (EPP) ou d’EDR classiques, ni même un Carbon Black, Cybereason, Cylance, SentinelOne, etc. : « nombre de nos clients utilisent ces produits ». Car pour lui, ces produits « se posent la question de savoir si un élément donné est susceptible de se comporter de manière malveillante ». « La question que nous nous posons est : comment se fait-il que cet élément démarre automatiquement ? » Et cela que ce soit à la mise en route de la machine, à l’ouverture de session, ou au lancement d’une application. Modestement, Kyle Hanslovan ne prétend pas proposer quelque chose de meilleur, « mais juste de complémentaire ».

Si des algorithmes sont mis à profit pour étudier les éléments de persistance observés, ils ne sont pas seuls. Des analystes se chargent d’examiner de plus près ce qui ressort initialement comme simplement suspect.

Visant les entreprises de taille intermédiaire, Huntress Labs ne mise pas sur une commercialisation directe, mais s’adresse avant tout aux prestataires de services managés adressant ce segment de marché. Kyle Hanslovan revendique plus de 4 000 clients finaux à ce stade, pour plus de 30 000 hôtes surveillés, et quelques milliers d’intrusions détectées.

Pour approfondir sur Protection du terminal et EDR

Close