Tierney - stock.adobe.com
L’essentiel sur eGambit Endpoint Security
Développée par l’éditeur français Tehtris, cette solution de protection des points de terminaison combine analyse statique et dynamique des exécutables et de certains scripts. Elle ajoute également une couche de visibilité.
C’est en 2010 qu’Elena Poincet et Laurent Oudot, deux experts en sécurité venus notamment des mondes du renseignement et de la défense, ont fondé Tehtris. Après huit ans d’efforts de développement, l’éditeur propose un portefeuille s’étendant de la protection des points de terminaison (EPP/EDR, "Endpoint Protection Platform"/"Endpoint detection and response") de l’infrastructure jusqu’au système de gestion des informations et des événements de sécurité (SIEM), en passant par la surveillance des flux réseau (IDS), l’inventaire, l’autopsie après incident, ou encore la mise en place de leurres – "honeypots" –, le tout regroupé dans une gamme appelée eGambit.
Le volet relatif aux points de terminaison s’appuie sur un agent local, disponible pour Windows, Linux et macOS. Laurent Oudot le décrit comme offrant à la fois analyse statique et dynamique. Un modèle entraîné à partir d’algorithme d’apprentissage automatique sert à identifier les exécutables potentiellement malicieux et une analyse en bac à sable permet d’aller plus loin en détectant les activités malicieuses. Le cas échéant, et si cette option est activée, l’exécution d’un processus peut être bloquée le temps de procéder à cette analyse. Et cela peut également valoir pour le chargement de DLL. Il est également possible de prévoir des blocages systématiques suivant l’emplacement de l’exécutable dans le système de fichiers – ceux qui se trouvent dans le dossier utilisateur, par exemple.
Les scripts ne sont pas oubliés et font l’objet de modules dédiés. Avec Powershell, Laurent Oudot revendique ainsi la capacité de procéder à une analyse comportementale jusque pour les sessions interactives. En ce qui concerne WMI, le traitement n’est pas encore aussi fin, mais il est déjà possible d’interdire certaines actions. La surveillance comportementale vaut aussi pour Java.
L’agent résident se déploie via des outils classiques, comme SCCM pour les environnements Windows. Il communique en temps réel, et via un lien chiffré, avec une appliance, elle-même déployée en local ou virtuellement sur l’infrastructure de Tehtris. C’est elle qui héberge l’environnement d’exécution en bac à sable. A noter que celui-ci ne communique pas directement avec Internet, pour éviter notamment de "griller" celui qui voudrait enquêter sur une menace communiquant avec un centre de commande et de contrôle : l’environnement réseau de la "sandbox" est simulé.
Pour autant, l’appliance communique avec l’infrastructure de l’éditeur, pour profiter notamment de renseignements sur les menaces – les règles Yara sont d’ailleurs supportées. Et c’est aussi cette infrastructure qui abrite la console d’administration. Celle-ci permet, comme l’on peut légitimement l’attendre, de lancer des requêtes d’audit à la demande, pour étudier la configuration des postes. Un lien avec annuaire et CMDB ("configuration management database"), notamment pour détecter d’éventuelles dérives de configuration, est prévu pour cette année. La gestion des licences logicielles est également prévue ; elle viendra compléter celle des vulnérabilités connues sur le parc logiciel. Mais la console permet aussi d’accéder à des informations au sujet des processus en cours d’exécution sur un hôte du réseau, voire d’en demander l’analyse à la volée. Un agent pour les terminaux sous Android est en cours de développement.
Le volet cloud pourrait générer quelques réserves chez certains. Mais il sert notamment à assurer l’intégrité des appliances, notamment à leur démarrage. Et c’est sans compter avec leur maintenance logicielle qui est assurée à distance par Tehtris.
S’il est jeune, l’éditeur français n’en est pas moins sûr de sa technologie. Et cela au point d’avoir rejoint la communauté Virus Total et accepté de se soumettre aux tests de SKD-Labs, un organisme agréé par l’AMTSO. Les résultats de ceux-ci, l’an passé, étaient impressionnants : 98,1 % de taux de détection de maliciels et 0,07 % de faux positifs. Aujourd’hui, selon Tehtris, le taux de détection est passé à 100 %. Et de revendiquer des déploiements en Europe, en Amérique du Nord et du Sud, en Chine, en Russie et au Moyen-Orient.
Pas question pour autant, pour Laurent Oudot, de s’aventurer à promouvoir eGambit EDR comme un remplacement d’une solution classique de protection du poste de travail, même s’il indique que la question lui est régulièrement posée. Et il y a au moins une bonne raison à cela : la solution n’intègre pas de nettoyage de maliciels publicitaires (adwares) déjà implantés sur l’hôte.