mardi 24 octobre 2017

Accueil du site > Informatique > Sécurité Informatique > Skyrecon pousse à la gestion comportementale de la sécurité

Skyrecon pousse à la gestion comportementale de la sécurité

Yves Drothier, JDN Solutions

mardi 31 mai 2005, sélectionné par Spyworld

logo

Avec son produit Stormshield, complémentaire des antivirus et des pare-feu par signature, la société Skyrecon propose une solution de contrôle et d’administration bas niveau de la sécurité. Une approche qui lui a valu la récompense européenne Start West 2005.

Lauréate du prix Start West 2005 dans la catégorie TIC (Technologies de d’Information et des Communications), prix européen récompensant les sociétés innovantes, la société Skyrecon Systems était déjà soutenue par le fond d’aide à l’innovation, l’ANVAR, et par la Délégation Générale pour l’Armement (DGA).

Spécialisée dans la sécurité informatique avec son produit Stormshield, elle propose une approche comportementale du traitement des codes malveillants.

"Notre objectif vise à apporter une nouvelle génération d’applications de sécurité. Nous avons conscience de compléter des outils existants comme les antivirus à base de signature ou les pare-feu personnesl. Aujourd’hui, l’un des problèmes auquel doivent faire face les entreprises est le day zéro, soit le temps entre la découverte d’une faille et la sortie d’un patch par exemple. Face à ce type de menace, nous avons conçu notre solution de manière à cibler le poste de travail. Il ne s’agit pas d’un outil de scan du réseau", affirme Philippe Honigman, Directeur général de Skyrecon.

Touchant à trois domaines d’attaques en particulier (applications, systèmes et réseaux), SkyRecon a développé une technologie baptisée Sharp (System Host Adaptive Response and Protection), fondée non plus sur une approche traditionnelle par signature mais par des évaluations comportementales des processus. Ce framework logiciel se place à la frontière entre le cœur du système d’exploitation et les applications elles-mêmes.

L’intérêt de cette approche est double : d’une part, en se rapprochant du noyau système l’antivirus peut anticiper des attaques en déni de services ou par rootkits (lire l’article du 19/05/2005), et d’autre part, elle permet de découvrir de nouvelles menaces par une corrélation de comportements à risques. "La technologie ne se limite pas à cela. Nous voulions donner la possibilité aux clients d’avoir une sécurité explicite et administrée en même temps qu’une sécurité autonome", déclare le PDG de Skyrecon Systems.

Une analyse préalable du comportement permet d’anticiper toute activité future anormale

Ainsi, si le moteur bloque automatiquement certaines attaques comme l’enregistrement des frappes claviers (keylogging), l’administrateur de sécurité peut également définir des règles de sécurité complémentaires sur la gestion des périphériques de stockage externes ou la gestion des points d’accès aux réseaux sans fil. Ces nouvelles règles donnent également de la souplesse au fonctionnement autonome du produit.

"En général, un programme qui s’attache au processus est un comportement anormal. Mais dans le cas type du débuggeur, il est normal que l’application s’attache au processus en train d’être mis au point. L’administrateur peut alors accepter ce comportement a priori anormal", explique Philippe Honigman.

A cela s’ajoute une fonction d’analyse des comportements d’applications. Lorsqu’un programme démarre pour la première fois, il est possible de l’auditer pour en déterminer ces spécificités. Cette pré-analyse servira à déterminer les variations possibles entre le comportement initial d’un programme et celui constaté à un moment donné, ceci afin d’interrompre l’exécution d’un logiciel corrompu.

Coté réseau, un pare-feu a été disposé à l’intérieur de Stormshield au niveau de la couche réseau NDIS de Windows. Ce pare-feu se charge de scanner les paquets entrants puis bloque ou non le trafic en fonction des comportements détectés. Fonctionnant uniquement sur l’environnement Windows de Microsoft, la solution ne traite pas les problèmes d’arnaques en ligne (phishing).

A court terme, l’un des objectifs de développement du produit sera d’introduire un niveau de défense préemptif des attaques par congestion de mémoire (buffer overflow). Aujourd’hui, ces attaques ne peuvent être bloquées qu’une fois lancées. Autre avenir possible, un élargissement de l’infrastructure cible, aujourd’hui limitée à un usage du poste de travail. "Nous étudions la possibilité du portage de notre produit sur des applications mobiles", ajoute Philippe Honigman.

Enfin, une levée de fond en cours devrait permettre à Skyrecon de renforcer son activité commerciale à l’étranger. Le groupe travaille également à renforcer ses partenariats industriels conformément à sa stratégie de vente indirecte.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :