Tierney - stock.adobe.com
SentinelOne : « dès le départ, nous étions prêts pour aller au-delà de la protection du terminal »
En misant sur la télémétrie comportementale pour protéger les hôtes, l’éditeur s’est donné les moyens d’aller bien au-delà, en offrant détection et remédiation, mais aussi visibilité réseau. Nick Warner, directeur des opérations de SentinelOne, détaille l'approche.
LeMagIT : SentinelOne s’est construit sur la protection du poste de travail (EPP), avant d’évoluer agressivement vers la détection et la remédiation (EDR). Mais vous n’êtes pas les seuls. Comment appréhendez-vous cette tendance ?
Nick Warner : Dès le départ, nous avons construit une plateforme utilisant le comportement pour protéger les terminaux. C’est très différents de certains spécialistes de protection qui faisaient de l’analyse de fichiers, de binaires, sans faire de surveillance du comportement – ce qui est directement en lien avec l’EDR. Pour nous, il était naturel de développer des capacités d’EDR et de chasse aux menaces. Dès le début, nous collections les données nécessaires à l’EDR. Simplement, nous ne les exposions pas à des fins de chasse.
Alors que l’idée de convergence entre EPP et EDR s’est renforcée chez nos clients, dans leurs attentes, et alors que les menaces se sont éloignées de plus en plus des exécutables traditionnels, nous nous sommes retrouvés dans une position très favorable. Notre moteur d’analyse comportementale est devenu de plus en plus important pour nous différencier et pour fournir une protection solide. Et tout cela à partir d’un socle de code unique ouvrant la voie à des capacités de chasse et d’EDR.
De nombreuses organisations veulent de la visibilité, pour avoir une protection complète, ou pour découvrir des choses comme le vol d’identifiants, les déplacements latéraux, etc. L’approche consistant à utiliser les capacités d’EDR pour la prévention est la raison pour laquelle nous parlons d’EDR actif, et non pas passif.
Le marché a connu deux phases : une première, avec des éditeurs centrés sur l’EDR et d’autres sur l’EPP ; puis une seconde, dont nous faisons partie, avec des solutions convergées. Il n’y a vraiment d’ailleurs qu’un seul acteur avec lequel nous observons une même capacité à apporter une solution convergée, Crowdstrike.
LeMagIT : Vous avez alors probablement suivi avec beaucoup de satisfaction la toute récente introduction en bourse de Crowdstrike…
Nick Warner : Je pense que nos investisseurs sont particulièrement ravis de la valorisation. Au-delà, cela place cette approche sous les projecteurs. Cela souligne qu’il est plus important que jamais de protéger les hôtes, ce qui a pu être oublié un temps, alors que tout le monde se pressait de protéger ses réseaux physiques et d’inspecter le trafic réseau interne.
Désormais, je pense que l’on réalise que l’important est de protéger les utilisateurs, leurs terminaux et les données, où que ce soit, en environnement virtualisé, comme cloud.
L’introduction en bourse de Crowdstrike attire l’attention sur ces sujets au-delà du monde de la cybersécurité ou de l’IT. Donc, oui, nous regardons cela de manière très positive.
LeMagIT : Mais parallèlement, depuis quelques années, c’est une tendance à une approche intégrée de la sécurité que l’on observe, entre le réseau et ses hôtes…
Nick Warner : Effectivement. Et là encore, nous comptons apporter une seconde vague, plus avancée, combinant les deux. Ranger, que nous avons lancé cette année à l’occasion de RSA Conference, s’inscrit dans cette logique. Pour commencer, nous allons fournir une visibilité approfondie sur le réseau, ce qui y est connecté, IoT, ou même appareils illégitimes, notamment. La version beta de Ranger est prévue pour cet été, à l’occasion de la conférence Black Hat. Le lancement général est prévu pour le début de l’automne.
La seconde itération de Ranger, fin 2019, début 2020, utilisera l’inspection du trafic réseau, avec Netflow, notamment. Cette solution visera à protéger l’hôte, mais également à fournir de la visibilité en dehors, pour avoir un produit qui exploitera la connaissance du réseau, mais avec encore une fois un socle de code unique.
On ne parle de vendre des équipements, mais de proposer un agent intelligent unique qui surveille à la fois ce qui se passe dans le réseau et sur la machine. Et cela devient très intéressant lorsque vous essayez de combiner données d’EDR et trafic réseau est-ouest, y compris avec des hôtes qui ne sont pas protégés par SentinelOne. Et l’on peut ajouter l’orchestration autour de cela, puisque nous avons intégré le contrôle du pare-feu local à notre agent.
On parle de construire une protection et une visibilité holistique ; c’est la direction que prend notre technologie.
LeMagIT : Quel regard portez-vous sur les évaluations organisées par NSS Labs, ou par le Mitre, par exemple ?
Nick Warner : Nous soutenons complètement les évaluations du Mitre. Elles apportent une perspective de grande qualité sur le marché. Et puis ce n’est pas une organisation à but lucratif ; on ne paie pas pour participer et être évalué. Il ne s’agit pas de dire quoi que ce soit de négatif sur les autres. Mais leur position est difficile : ce sont des entreprises, qui doivent faire du chiffre d’affaires pour fonctionner ; elles se retrouvent à chercher un équilibre pour tester des produits de protection traditionnels et des produits de nouvelle génération. Cet équilibre est difficile, parce que trop mettre la balance vers les nouveaux, c’est prendre le risque de perdre beaucoup de revenu [auprès des autres].
Nous comprenons les défis. Mais je pense – et j’imagine que je ne suis pas le seul – que le framework Att&ck du Mitre propose une manière plus moderne de regarder et tester ces solutions, en suivant ce que les attaquants et les adversaires font dans la réalité. Nous aussi, d’ailleurs, projetons les détections de nos outils sur le framework.
L’une des nouveautés intéressantes de la seconde phase de tests du Mitre est qu’ils font la différence entre détection basée sur l’humain, ou dérivée, et détection purement automatique. Cela correspond bien à ce que nous faisons dans nos produits, où nous mettons l’accent sur l’autonomie, par rapport par exemple à un CrowdStrike qui s’appuie encore plus sur l’analyste, comme pour un service managé qui ne dirait pas son nom.
Mais la détection automatisée vient bien plus vite que celle sur laquelle s’appuyait sur l’humain. Alors qu’un nombre croissant d’attaques est automatisé, cela peut jouer un rôle déterminant.
LeMagIT : Microsoft apparaît désormais, avec Defender ATP, comme un acteur très sérieux de la sécurité des hôtes. Où en sont vos relations avec l’éditeur ?
Nick Warner : Ils sont à la fois un concurrent et un partenaire apprécié. Nous sommes les seuls éditeurs d’une solution tout-en-un de nouvelle génération au sein de leur ATP Alliance. Microsoft lui-même génère beaucoup d’activité pour nous, nous recommandant pour couvrir les systèmes macOS et Linux.
Nous avons énormément d’estime pour Defender ATP. Mais c’est d’abord une solution pour entreprises disposant d’importantes équipes de sécurité opérationnelle. Le degré d’automatisation n’est pas aussi poussé qu’avec notre Active EDR. Leur console s’adresse a la frange la plus sophistiquée du marché. Et puis, le monde réel n’est pas homogène. Grâce à ses API, notre console s’intègre très rapidement à des technologies tierces et en l’occurrence alimente la console de Microsoft.