Protection des hôtes du système d’information : l’essentiel sur Crowdstrike

Crowdstrike parmi les premiers éditeurs à avoir choisi la voie de l’intégration entre prévention (EPP) et investigation (EDR) sur les hôtes de l’infrastructure, postes de travail et serveurs – les fameux endpoints (points de terminaison). Une tendance dans laquelle s’inscrivent désormais des acteurs toujours plus nombreux, notamment venus du monde de l’EPP.

Rencontrée à l’occasion des Assises de la Sécurité, qui se déroulaient la semaine dernière à Monaco, Jackie Castelli, responsable senior marketing produits de Crowdstrike, revient sur le choix de l’éditeur : « les deux sont nécessaires. La prévention fonctionne très bien à 99,995 %. Mais au-delà, si quelque chose passe au travers des mailles du filet, il faut avoir de la visibilité pour savoir ce qui s’est passé. Sans EDR, les attaquants peuvent s’infiltrer et rester cachés pendant des mois dans l’environnement sans que personne ne s’en rende compte ».

La solution Falcon de Crowdstrike s’appuie donc sur un agent, déployé au niveau des hôtes du système d'information, qui assure la double fonction de prévention et de collecte de données dites de télémétrie, capables d’informer sur ce qui se passe sur ces hôtes.

Le volet prévention est assuré en plusieurs couches car « se contenter d’une ou deux technologies n’est pas suffisant ». Alors l’agent Falcon s’appuie sur des modèles établis par apprentissage automatique, « un peu à la manière de ce que peut faire un Cylance, par exemple ». Mais il surveille également le comportement de ce qui est susceptible de s’exécuter. Là, des modèles comportementaux sont établis à partir de la connaissance des techniques des attaquants ainsi que du travail des analystes de Crowdstrike.

Jackie Castelli explique que Falcon était capable de bloquer NotPetya et WannaCry avant exécution de leurs charges malveillantes, grâce à ses modèles établis par apprentissage automatique, mais également sur la seule base de ses modèles comportementaux.

Pour le volet visibilité, l’agent envoie au cloud de Crowdstrike de 5 à 10 Mo de données de télémétrie par jour, en moyenne, et surtout en flux continu. Sauf pour les machines hors connexion qui, elles, transmettent en bloc leur télémétrie à la première reconnexion. Ces données vont au-delà des seules détections et autres événements de sécurité : elles doivent permettre aux analystes de savoir ce qui s’est passé avant et après de tels occurrences.

La console d’administration de Crowdstrike est là pour permettre aux analystes d’étudier les incidents détectés. Là, le framework de référence ATT&CK du Mitre est mis à contribution pour aider les analystes mettre ce qu’il observe en perceptive avec les méthodes, techniques et tactiques des attaquants : « cela aide à mieux comprendre, plus rapidement ce qui se passe et où en est l’attaque ». En outre, cette base permet d’établir un langage commun entre équipes, au-delà de la sécurité.

De là, l’analyste peut pivoter de multiples manières, pour identifier les hôtes également concernés, qu’ils soient dans la même phase d’attaque ou pas, mais visés avec les mêmes motivations, ou par le même groupe présumé : « cela demande un travail de recherche, mais l’information est là ».

La console permet également aux analystes de solliciter les agents locaux pour mettre en quarantaine un hôte, par exemple, ou encore copier le contenu de sa mémoire vive, récupérer des scripts, ou encore envoyer des exécutables en bac à sable (sandbox) pour analyse. C’est la technologie de Payload Security, rachetée en novembre 2017, qui est là mise à contribution. Elle est en outre accessible gratuitement via le service bien connu Hybrid Analysis.

Au-delà, Crowdstrike a doté sa plateforme d’API étendues permettant de multiples intégrations, et notamment avec Vectra pour une visibilité étendue entre hôtes et réseau : « plus l’on a de visibilité, mieux c’est ».

Cette approche intégrée, Crowdstrike n’est pas le seul à lui trouver un intérêt. Sophos et Palo Alto Networks aussi. Mais par rapport à ce dernier, ou à d’autres misant également sur un périmètre fonctionnel toujours étendu, Jackie Castelli n’est pas tendre : « c’est un peu comme si vous alliez chercher un verre de lait. Nous, on vous vend un verre de lait. Eux, ils vous vendent une ferme ».