L’analyse comportementale au service de la visibilité
Là où d’autres éditeurs s’appuient sur les signatures des programmes malveillants connus, SentinelOne a fait le pari de l’analyse comportementale. Un processus qui vise à connaître finement le fonctionnement d’un réseau ou le comportement d’un utilisateur, pour réagir au plus vite en cas d’anomalie. Typiquement, si un important volume de données sort du réseau en dehors des horaires habituels, si un utilisateur change son fond d’écran en pleine nuit, ou encore si un mot de passe est tapé moins vite qu’en temps normal ou depuis un nouvel ordinateur, cela pourra révéler le vol des identifiants de sécurité du véritable titulaire et l’IA déclenchera une alerte. « Les actions unitaires ne sont pas forcément dangereuses mais quand plusieurs comportements inhabituels arrivent en même temps, l’outil peut corréler les informations pour l’associer à une typologie d’attaque, notamment un ransomware », explique Blandine Delaporte.
SentinelOne a donc développé une plateforme basée sur ces technologies pour détecter et répondre à des activités malveillantes de façon automatique : Singularity XDR (Extended Detection Response). Le but ? Offrir aux équipes IT une visibilité et une compréhension des menaces tout en proposant des actions de remédiation sur l’ensemble du SI. Comme le dit Blandine Delaporte, « le premier mérite de l’intelligence artificielle est de mettre en évidence des failles qu’un humain ne pourrait pas voir. Notamment grâce à l’analyse d’un grand nombre de données en temps réel qui permet de prendre des mesures très rapidement ».
Cette visibilité permet de détecter et contrer des cyberattaques classiques comme les ransomwares mais également les attaques zero-day, plus subtiles et qui peuvent se cacher très longtemps dans le SI. « Les failles les plus fréquentes ne sont en effet pas celles que l’on découvre mais plutôt celles qui demeurent cachées » ajoute Blandine Delaporte. Cet enjeu est au cœur de la réponse apportée par SentinelOne qui agrémente son offre d’une couche de sécurité autonome en temps réel sur une grande partie des actifs de l’entreprise. Aussi, dans l’optique de bénéficier d’une vision dans le SI à 360°, Singularity XDR synchronise dans la console centrale les informations de sécurité des postes de travail, des serveurs, des mobiles et des objets connectés. La plateforme conserve également l’ensemble des données recueillies pour une durée allant jusqu’à 365 jours. L’objectif est en effet d’associer l’investigation des données sur les machines et dans le Data Lake (base de données centralisée des logs systèmes et de sécurité) pour produire des analyses contextualisées à la fois vastes, détaillées et exploitables par les équipes de sécurité.
Une réponse automatisée à la menace
Puisque l’XDR élargit le champ de détection des menaces, il est clair que les organisations ne peuvent pas analyser seules une quantité aussi importante de données. C’est là qu’intervient l’automatisation via intelligence artificielle qui permet d’accéder à la narration de l’attaque, d’établir le contexte et un diagramme détaillé du mode opératoire. Singularity XDR permet en outre d’établir une chronologie détaillée pour comprendre l’attaque. « Le but est de faire gagner du temps aux équipes IT qui n’ont ainsi plus besoin de se mobiliser en nombre pour des événements pouvant s’avérer insignifiants » ajoute Blandine Delaporte.
La technologie SentinelOne est en effet capable de prendre des décisions de façon autonome, à la fois pour des SI installés dans le cloud mais aussi on-premise. Un aspect important pour les organisations qui souhaitent, pour des raisons de sécurité, garder la mainmise sur leur infrastructure de données. Singularity XDR est ainsi capable d’alterner entre un mode « détection » et « protection ». Dans tous les cas, la plateforme identifie la menace, informe l’organisation et la bloque immédiatement avant suppression. L’incorporation d’un agent intelligent à chaque endpoint permet de protéger le SI 24h/24 tout en réalisant des économies d’échelle sur la gestion et la maintenance.
La fin des antivirus ?
Dans un contexte où les cyberattaques sont en hausse constante et évoluent à grande vitesse, l’intelligence artificielle permet aux organisations de prévenir les nouvelles attaques et de s’adapter en temps réel à celles-ci. Les antivirus traditionnels ont quant à eux toujours un train de retard par rapport aux assaillants car ils n’ont pas la capacité de répondre à des menaces qu’ils ne connaissent pas. Dans le cas où un attaquant fait un évoluer un malware en « nouveau variant », l’antivirus devra trouver un « nouveau vaccin » et ce processus peut être long et par conséquent faire perdre de l’argent à une entreprise victime. Toutefois, le rôle croissant de l’intelligence artificielle ne doit pas oculterocculter le travail essentiel des équipes IT. Comme le dit Blandine Delaporte, « l’intelligence artificielle ne peut se passer d’une touche humaine pour fonctionner de façon optimale. Cet outil n’a pas été conçu pour remplacer les équipes IT mais pour les aider au quotidien dans la prise de décision ».