Tierney - stock.adobe.com
Kaspersky continue de moderniser son offre de protection du poste de travail
Avec le contrôle adaptatif d’anomalies, l’éditeur entend améliorer la détection et le blocage des crypto-mineurs et des menaces issues de la navigation Web. Il ajoute à cela une nouvelle console d’administration et le support d’OpenAPI.
Kaspersky vient d’annoncer la nouvelle version de sa suite de protection des postes de travail d’entreprise, Endpoint Security for Business (ESB). Cette nouvelle mouture embarque notamment une fonctionnalité baptisée Adaptive Anomaly Control, un composant d’analyse comportementale chargé de modéliser les habitudes des utilisateurs pour « bloquer les actions qui sont anormales pour un utilisateur donné ».
Dans un billet de blog, l’éditeur détaille la fonctionnalité. Celle-ci s’appuie notamment sur des modèles de comportements malicieux établis à partir du large éventail de menaces connues des analystes de Kaspersky, sur la base d’algorithmes d’apprentissage automatique. De quoi rappeler l’approche d’un Cylance, notamment.
Côté poste de travail, le contrôle adaptatif d’anomalies se penche sur les activités habituelles de l’utilisateur « pour déterminer les règles qui peuvent être appliquées », et surtout celles qui seraient susceptibles d’interférer avec ces activités. C’est la phase d’apprentissage, durant laquelle le système de contrôle adaptatif cherche à déterminer les règles déclenchées par les activités courantes de l’utilisateur, pour construire un modèle de comportement légitime – à l’échelle d’un utilisateur ou d’un groupe d’utilisateurs. « Après cela, le mode d’apprentissage est désactivé et seules les règles bloquant les actions anormales sont activées ».
La phase d’apprentissage peut être relancée au besoin, et des exclusions peuvent être définies manuellement. Plus qu’à une liste blanche applicative, on pense donc là à une forme de liste blanche d’actions, établie de manière transparente par apprentissage automatique. Pour l’éditeur, « ce n’est pas une panacée, mais cela réduit considérablement la surface d’attaque potentielle ».
Kaspersky ESB ajoute également des contrôles supplémentaires au trafic Web. De quoi bloquer les outils de production de crypto-deniers cachés dans des pages Web, mais également bloquer « les menaces qui tentent d’utiliser des canaux chiffrés pour tentant de s’infiltrer sur le système ». Pour cela, les flux https entrants et sortants sont analysés « pour intercepter des activités potentiellement malicieuses ».
La nouvelle mouture de Kasperky ESB permet en outre d’accéder à une version Web de la console d’administration, le Kaspersky Security Center. Celle-ci « ne nécessite pas l’installation de logiciel spécifique ni l’ouverture de ports réseau ». Enfin, la console supporte désormais le standard OpenAPI afin de faciliter son intégration avec des outils tiers, qu’il s’agit de système de gestion des informations et des événements de sécurité (SIEM), d’automatisation et d’orchestration (SOAR), ou encore de détection et de remédiation sur les hôtes (EDR).
Mais Kaspersky n’est pas absent de ce dernier marché et vient d’annoncer en parallèle la nouvelle version de son outil d’EDR. Celle-ci s’inscrit dans une tendance forte du moment : la prise en charge du framework ATT&CK du Mitre. Ainsi, le nouveau module d’EDR de Kaspersky ESB assure la catégorisation automatique des événements observés dans l’environnement avec les phases d’attaques modélisées au sein d’ATT&CK.