Fotolia
Gatewatcher veut détecter en profondeur les attaques avancées
Le français combine analyse des flux réseau et des fichiers pour identifier codes malveillants et comportements suspects, voire clairement malicieux.
Gatewatcher constitue en fait une spin-off du cabinet de conseil en sécurité et virtualisation Armature Technologies : elle tire son activité d’une plateforme de détection d’intrusions issue des efforts de recherche et développement du cabinet. Le projet est né en 2012 et c’est en 2015 que Gatewatcher a véritablement vu le jour.
A l’occasion d’un entretien avec la rédaction, Jacques de La Rivière, PDG de Gatewatcher, explique que la plateforme s’appuie essentiellement sur des sondes réseau et une appliance de collecte et d’analyse. Les sondes capturent le trafic via l’interface TAP des commutateurs réseau. L’appliance en assure ensuite l’analyse en s’appuyant sur quatre moteurs de détection pour couvrir les phases de reconnaissance, de brèche initiale et de persistance.
Le premier, baptisé Codebreaker, vise à repérer les attaques utilisant des éléments de code cachés visant à exploiter des vulnérabilités – les shellcodes. Jacques de la Rivière explique qu’il s’appuie sur « une base de données comportant les chaînages de gadgets binaires légitimes et illégitimes ». Pas question de chercher des signatures de binaires malveillants, donc, mais plutôt des marqueurs de manières d’exploiter des vulnérabilités. Une forme d’émulation est ajoutée à cela pour assurer le désencodage des shellcodes et « éliminer les faux positifs sur les chaînages ».
Viennent ensuite les moteurs Malcore et Retroact. Le premier assure l’analyse statique et heuristique des exécutables suspects. Gatewatcher revendique une capacité d’analyse de plus de 6 millions de fichiers par jour. Jacques de la Rivière explique utiliser là 16 moteurs antiviraux sélectionnés « sur une base de benchmarking interne », mais de couverture diversifiée dans une perspective géopolitique. L’analyse est faite exclusivement en local. Un apprentissage automatique est fait sur la base des fichiers malveillants susceptibles d’être observés par Malcore. « Des modèles plus génériques basés sur l’apprentissage automatique sont construits à partir de nos honeypots ».
Retroact se charge de faire repasser les fichiers inconnus dans Malcore à j+1, j+3 ou plus encore afin de détecter des menaces qui auraient pu passer initialement au travers des mailles du filet.
Sigflow, enfin, assure l’analyse statistique, en LUA, des flux réseau pour « réduire le nombre de faux positifs, repérer d’éventuelles malformations protocolaires, des tentatives d’injection SQL, etc. ».
La solution de Gatewatcher a déjà retenu l’attention d’un opérateur d’importance vitale. Le Français travaille donc à obtenir la certification CSPN – qualification élémentaire de l’Anssi – pour pouvoir adresser ce marché en conformité avec la loi de programmation militaire de 2012. Mais ce ne sera qu’une première étape vers la qualification standard, basée sur une évaluation Critères Communs EAL 3+.