SentinelOne étend le périmètre de son offre de protection du poste de travail
Celle-ci s’appuyait sur l’analyse comportementale pour bloquer l’exécution des processus malveillants. Elle cherche désormais à la prévenir par analyse statique.
SentinelOne vient d’ajouter une nouvelle fonctionnalité à sa solution de protection du poste de travail, avec un moteur d’inspection de fichiers en profondeur. Baptisé DFI (Deep File Inspection), ce moteur vise à identifier les codes malveillants et à en prévenir l’exécution par analyse statique, sans s’appuyer, encore une fois, sur des bases de signatures.
Jusqu’ici, l’éditeur misait sur l’analyse comportementale pour détecter les activités suspectes, ce qui lui avait valu, il y a deux ans, les honneurs de l’Innovation Sandbox de RSA Conference. A l’époque, Tomer Weingarten, Pdg de SentinelOne, expliquait s’appuyer sur un agent qui « surveille en temps réel tout ce qui se passe sur le poste terminal » : il analyse les processus applicatifs pour chercher, dans leur comportement, des modes opératoires typiques d’intentions malveillantes. La modélisation des profils comportementaux s’appuyant notamment sur le renseignement sur les menaces et l’apprentissage automatique, le machine learning.
La solution de SentinelOne, jusqu’à son moteur DFI, fonctionne sur Windows, macOS et Linux. Elle s’intègre désormais à Active Directory pour simplifier l’administration en remontant les informations relatives aux groupes définis dans l’annuaire, au sein de sa console d’administration.
SentinelOne compte parmi ces nouveaux entrants de la protection du poste de travail qui misent sur l’apprentissage automatique pour identifier et bloquer les menaces inédites. Mais il n’est pas seul en cela et son moteur DFI est loin d’être un cas isolé.
La version 14 de la suite de protection du poste de travail de Symantec (SEP), met également à profit le machine learning pour assurer l’analyse statique des contenus suspects. Le moteur Malcore de la solution de Gatewatcher joue aussi sur l’analyse statique des exécutables suspects. Et il en va de même du module Traps de Palo Alto Networks depuis sa version 3.4, présentée à l’été dernier. Mais on trouve également un module d’analyse statique des contenus au sein de TippingPoint, racheté à HP par Trend Micro fin 2015.
Depuis l’été dernier, SentinelOne propose une garantie à ses clients, à l’instar de Cymmetria : il propose jusqu’à 1000 $ par poste de travail, ou 1 M$ par entreprise, si sa solution échoue à bloquer une attaque par rançongiciel, pour protéger de ses conséquences financières.