SkyRecon protège les PC des exécutions
Publié le
et mis à jour le
Rubrique Internet
Le logiciel StormShield s'appuie sur l'analyse comportementale des applications pour bloquer les attaques.
L'explosion du nomadisme aura permis aux éditeurs de profiter d'un marché juteux : la protection du poste client. La société française SkyRecon Systems propose StormShield, un logiciel qui bloque les exécutions malveillantes sur les postes Windows.
« Nous sommes complémentaires des antivirus à base de signatures. Nous utilisons de notre côté une protection comportementale », affirme Philippe Honigman, directeur général de SkyRecon Systems.
Une surveillance en tâche de fond
StormShield appartient à la catégorie des IPS pour poste client. Le déploiement est effectué de façon centralisée : l'administrateur invite le client à télécharger le programme sur le réseau.
Le cas échéant, il définit une politique de sécurité. Il peut ainsi interdire l'utilisation d'applications de messagerie instantanée, ou ne pas permettre à Outlook la manipulation de fichiers MPEG ou MP3.
Cette première étape n'est que la mise en place du logiciel. L'essentiel du travail effectué par StormShield consiste à faire l'apprentissage du comportement des applications du poste client : « Le système apprend par exemple qu'une application exploitant Visual Basic utilise tel type de connexion réseau, de port ou de protocole », précise Philippe Honigman.
Lorsque cet apprentissage est effectué, StormShield surveille le système en tâche de fond : il s'assure de l'origine des demandes de redémarrage, vérifie l'occupation du processeur et l'injection de fichiers DLL, surveille les médias amovibles, s'assure du privilège d'une station. Si une attaque est détectée, elle est bloquée par un coupe-feu intégré au logiciel.
La console d'administration dispose d'outils de reporting pour décrire le réseau, proposer des statistiques et générer des graphiques. Elle permet aussi d'exporter les logs vers d'autres bases.
La connexion entre la console et le serveur s'effectue en SSL. Pour l'heure, l'administrateur ne peut contrôler l'activité de l'agent sur le poste distant, mais cette fonction sera proposée dans la prochaine version.
« Nous sommes complémentaires des antivirus à base de signatures. Nous utilisons de notre côté une protection comportementale », affirme Philippe Honigman, directeur général de SkyRecon Systems.
Une surveillance en tâche de fond
StormShield appartient à la catégorie des IPS pour poste client. Le déploiement est effectué de façon centralisée : l'administrateur invite le client à télécharger le programme sur le réseau.
Le cas échéant, il définit une politique de sécurité. Il peut ainsi interdire l'utilisation d'applications de messagerie instantanée, ou ne pas permettre à Outlook la manipulation de fichiers MPEG ou MP3.
Cette première étape n'est que la mise en place du logiciel. L'essentiel du travail effectué par StormShield consiste à faire l'apprentissage du comportement des applications du poste client : « Le système apprend par exemple qu'une application exploitant Visual Basic utilise tel type de connexion réseau, de port ou de protocole », précise Philippe Honigman.
Lorsque cet apprentissage est effectué, StormShield surveille le système en tâche de fond : il s'assure de l'origine des demandes de redémarrage, vérifie l'occupation du processeur et l'injection de fichiers DLL, surveille les médias amovibles, s'assure du privilège d'une station. Si une attaque est détectée, elle est bloquée par un coupe-feu intégré au logiciel.
La console d'administration dispose d'outils de reporting pour décrire le réseau, proposer des statistiques et générer des graphiques. Elle permet aussi d'exporter les logs vers d'autres bases.
La connexion entre la console et le serveur s'effectue en SSL. Pour l'heure, l'administrateur ne peut contrôler l'activité de l'agent sur le poste distant, mais cette fonction sera proposée dans la prochaine version.