Lookout mise sur l’analytique Big Data pour protéger les terminaux mobiles
L’éditeur d’une plateforme de sécurité mobile en mode SaaS mise sur ses capacités analytiques Big Data en mode Cloud pour séduire les entreprises.
L’éditeur d’une plateforme de sécurité mobile en mode SaaS mise sur ses capacités analytiques Big Data en mode Cloud pour séduire les entreprises.
« Nous utilisons le renseignement automatisé pour analyser de nouvelles applications chaque jour et pour établir des corrélations avec les autres applications déjà étuidées, afin de protéger les utilisateurs mobiles », explique Aaron Cockerill, responsable des produits entreprise de Lookout. Et d’affirmer que « Lookout a procédé à l’analyse complète de huit millions d’applications depuis 2007 pour protéger plus de 60 millions de consommateurs ».
Désormais, Lookout revendique 20 entreprises testant en phase bêta ses produits entreprises avant leur lancement officiel en mai prochain. « Nous avons une compréhension suffisante de l’écosystème du logiciel mobile et suffisamment de données statistiquement pertinentes sur les menaces mobiles pour entrer sur le marché entreprises », estime Aaron Cockerill.
Ce dernier est passé chez Lookout, après une carrière de 11 ans chez Citrix, centrée sur le développement mobile, attiré par l’approche du prestataire SaaS en matière d’identification des menaces : « l’approche de Lookout consiste à sécuriser l’écosystème mobile en mettant en place des mécanismes permettant d’examiner tout le code présent dans cet écosystème à la recherche de comportements malicieux ».
Un système en mode Cloud pour chercher les codes malicieux
Les magasins applicatifs mobiles utilisent l’API de Lookout pour soumettre du code aux systèmes Cloud de Lookout, lequel répond avec une première analyse en seulement 10 secondes.
Ces systèmes analysent entre 10 000 et 40 000 pièces de code mobile chaque jour, et rapprochent les résultats de ceux déjà stockés en base de données.
« Nombre de ces éléments de code sont des mises à jour, mais comme les systèmes d’exploitation mobiles tendent à remplacer le code, ces mises à jour doivent être traitées comme de nouveaux binaires », explique Aaron Cockerill.
Les systèmes décomposent les applications pour analyser tous leurs modules et leurs métadonnées, y compris la signature numérique utilisée pour confirmer l’identité de l’éditeur et assurer que le code n’a pas été corrompu.
Les analyses complètes prennent environ 10 minutes et impliquent l’exécution du code pour examiner son comportement et pour établir une empreinte de chaque composant applicatif afin de la comparer avec du code malicieux observé précédemment.
Une application apparemment bénigne valide l’approche
L’efficacité de la méthode a été démontrée avec une application publiée malgré la recommandation de Lookout : cette application semblait bénigne et secondée par un support client et un véritable site Web.
« Nos systèmes ont identifié trois blocs de code similaires à du code malicieux déjà observé, et ayant déjà eu un signataire commun. Un mois après sa sortie, l’application a commencé à afficher un comportement malveillant et a du être retirée », raconte Aaron Cockerill.
Bien que Lookout insiste sur l’importance de la sensibilisation et de la compréhension des menaces mobiles, certains exploits pourraient s’avérer très préjudiciables à des entreprises : « nous avons vu un code malveillant qui se replie sur les réseaux mobiles tant qu’il n’a pas trouvé de réseau Wi-Fi, ou encore un autre qui utilise SSL pour cacher ses activités ».
Définition des politiques de risqué d’entreprise
Sur le marché entreprises, Lookout alertera ses clients sur les points préoccupants méritant approfondissement.
Et aussi
- Analyser les Big data pour mieux administrer votre réseau
- Les technologies analytiques essentielles pour la détection des menaces avancées
- La mobilité au sein de l'entreprise : menaces et opportunités
- Limiter le risque posé par les applications mobiles malicieuses
- Les bonnes pratiques du SIEM pour la détection des attaques avancées
Les utilisateurs entreprises pourront définir des politiques de risque et de comportement en fonction de leur secteur d’activité et des rôles des utilisateurs.
Le terminal alertera les utilisateurs lorsqu’une application qu’ils envisagent de télécharger est susceptible d’être malicieuse ou de contrevenir aux politiques prédéfinies. Et si l’utilisateur persiste, le terminal passera le message au MDM interne.
« Cela permettra aux entreprises de définir des politiques pour la gestion de telles alertes, quel que soit le MDM qu’elles utilisent ».
Le danger des applications internes
Lookout estime que les applications développées en interne par les entreprises ou leurs intégrateurs pourraient bien émerger comme l’une des principales menaces : « ces applications ont généralement été développées rapidement, par des développeurs inexpérimentés et utilisant des outils multi-plateformes, et ne sont correctement sécurisées », estime Aaron Cockerill.
Pour lui, le risque est particulièrement important pour les « entreprises utilisant des iPhone, car les applications sur-mesure ne sont pas sujettes aux processus d’examen d’Apple et peuvent ouvrir la voie à des attaques sur des systèmes jusque là fermés ».
Pour cette raison, l’API Lookout utilisée par les magasins applicatifs en ligne sera également mise à la disposition des entreprises, afin qu’elles puissent tester la sécurité de leurs applications sur-mesure.
L’API protègera aussi les entreprises utilisant des terminaux Android contre les logiciels malveillants introduits dans l’entreprise via des applications qui ne sont pas sujettes à l’examen rigoureux de Google.
« Nombre des entreprises qui testent nos produits partagent nos inquiétudes quant aux applications à façon et aux applications provenant d’ailleurs que des magasins applicatifs d’Apple et de Google ».
Adapté de l’anglais.