Sourcefire déporte la détection du code malveillant
Le créateur du célèbre IDS Open Source Snort vient de présenter FireAMP, sa solution de protection des postes de travail à la sauce Cloud fondée sur la technologie d’Immunet, rachetée en janvier 2011. Une solution qui se veut complémentaire d’outils tiers en proposant de puissantes capacités d’analyse.
Il y a tout juste un peu plus d’un an, Sourcefire annonçait le rachat de la start-up Immunet, pour 21 M$. Le spécialiste de l’IDS indiquait alors, dans un communiqué, vouloir muscler son offre Cloud. Il souhaitait également la compléter par une solution de protection contre les logiciels malveillants basée sur un moteur déporté d’analyse des menaces visant les postes de travail. Promesse concrétisée aujourd’hui avec FireAMP, une solution basée sur la technologie d’Immunet, rebaptisée au passage FireCloud.
Le concept est simple : il s’agit de faire profiter au plus vite chaque poste client de toute nouvelle information (alors remontée par d’autres) sur d’éventuelles menaces - connues ou nouvelles, afin de bloquer les attaques non détectées par les autres dispositifs de sécurité. De fait, FireAMP ne vise pas à remplacer la pile complète de gestion de la sécurité du poste de travail, ni même véritablement un antivirus conventionnel. Il procède à la protection dynamique contre les menaces sans faire d’analyse locale de signatures : lorsqu’il repère un comportement suspect, il en remonte une signature au Cloud de Sourcefire qui se charge de l’analyse avant de répondre par un simple go/no go - pouvant alors déboucher sur un blocage. On flirte là avec l’analytique Big Data, centralisée et mise au service de la sécurité. Derrière FireCloud, il y aurait d’ailleurs de l’Hadoop et du NoSQL déployés notamment sur Amazon, le tout assaisonné d’une pincée de ClamAV.
Mais c’est peut-être encore plus pour ses capacités d’analyse d’infection que de détection que FireAMP est susceptible de séduire. Ainsi, sont également suivis les mouvements des données dans l’entreprise, pour remonter le circuit d’une infection éventuelle, jusqu’au patient zéro. Une détection avérée de logiciel malveillant - selon des règles cette fois-ci définies par le client selon son contexte - peut déclencher le blocage généralisé des capacités d’action. Une console de supervision propre à l’entreprise cliente lui permet en outre d’analyser l’activité suspecte sur son infrastructure et de la comparer à des statistiques tirées d’autres entreprises clientes. Et de remonter dans le temps pour mettre à jour des menaces qui seraient passées jusque là inaperçues.
Cyrille Badeau, directeur Europe du Sud de Sourcefire, assure que les volumes de données échangés sont finalement très limités et que l’agent ne consomme que très peu de ressources sur le poste client. Surtout, lors de tests, FireAMP serait parvenu à détecter des logiciels malveillants là où des antivirus classiques auraient échoué. L’histoire ne dit pas si Sourcefire a joué avec des échantillons de Stuxnet ou de Duqu.
FireAMP se présente concrètement sur la forme d’un agent résident léger à installer directement sur le poste de travail Windows - ou au sein de la machine virtuelle correspondante pour un environnement virtualisé. La solution est facturée 34 $ par poste et par an.