Cylance s’ouvre à de nouveaux modes de déploiement
Fini l’impératif d’une console d’administration en mode cloud. Pour répondre aux besoins de ses prospects au moins un peu pointilleux, l’éditeur propose désormais des déploiements en mode hybride ou purement en local.
Près des deux tiers des déploiements informatiques se font encore en local, dans les centres de calcul des entreprises, assure Cylance, ajoutant que 90 % des organisations devraient adopter des stratégies hybrides d’ici à 2020. Alors pas question de limiter son marché aux avant-gardistes en faisant l’impasse sur les plus conservateurs ou les réseaux totalement déconnectés : l’éditeur propose désormais les déploiements hybrides et en local de l’infrastructure d’administration de sa solution combinée de protection des points de terminaison (EPP) et de détection/remédiation (EDR), CylanceProtect.
Pour mémoire, CylanceProtect s’appuie historiquement sur des modèles élaborés par apprentissage automatique supervisé pour détecter les exécutables malicieux. Mais comme le souligne Alberto Malerba, ingénieur avant-vente pour Cylance en Europe, l’outil a depuis évolué bien au-delà. Il dispose ainsi d’un module de protection de la mémoire vive pour y détecter les activités suspectes, comme celles liées à l’exécution de scripts.
Surtout, Protect fonctionne aujourd’hui conjointement avec Optics, un module d’EDR qui se charge de stocker des traces d’activité et de prendre le cas échéant des décisions, suivant des règles de prévention/remédiation préétablies par les administrateurs. Et la surveillance va plus loin, en touchant à celle du comportement de l’utilisateur pour détecter d’éventuelles anomalies et y réagir – par exemple, si un tiers vient s’installer derrière le clavier à la place de l’utilisateur légitime.
L’ensemble repose sur un unique agent résident s’exécutant en mode noyau. L’approche est parfois controversée, mais Alberto Malerba revendique un choix qui permet une plus grande visibilité et un plus grand contrôle. Surtout, pour lui, « il est bien plus facile de casser Windows ou un produit Adobe. Bien sûr, tout produit logiciel peut être cassé, mais c’est une question de moyens et d’efforts consacrés à l’exercice ». Et pour lui, l’agent Cylance n’est pas encore assez attractif pour cela aux yeux des attaquants.
Les mesures susceptibles d'être prises par l’agent sont définies par les administrateurs. Selon les cas, il peut s’agir d’interrompre le processus suspect, et cela jusqu’en remontant tout son arbre généalogique, mais également de fermer la session utilisateur ou de verrouiller complètement le poste de travail jusqu’à le déconnecter du réseau.
Les données de télémétrie sont stockées localement, dans un espace dédié, le « Vault », dont la capacité est définie par l’administrateur. C’est à la demande de ce dernier, dans le cadre de travaux d’investigation, que les données sont remontées aux serveurs d’administration et donc désormais, dans le cloud ou en local.
Dans son rapport de tests d’avril dernier, NSS Labs a accordé à l’agent Cylance une note d’efficacité de premier de la classe, aux côtés de la solution de Kaspersky, mais pour un TCO par hôte protégé bien inférieur, de l’ordre de celui de Endgame, soit un peu plus que SentinelOne, Palo Alto Networks, Trend Micro ou encore Cisco.