Sécurité : présentation de l’EDR « made in France » de Nucleon Security

I. Présentation de la société

Nucleon Security est une entreprise française spécialisée dans la protection des postes de travail et des serveurs grâce à sa solution Nucleon Smart Endpoint. Cette solution combine Zero-Trust Multi-layer et Machine Learning.

L’entreprise est fondée par trois ingénieurs en cybersécurité qui ont évolué dans différents domaines, notamment le test d’intrusion, la rétro-ingénierie et la supervision de la sécurité. Après trois années intenses de R&D, la solution est commercialisée depuis plusieurs années maintenant et compte certains grands groupes parmi ses clients, depuis 2018.

Pour la petite histoire, deux des trois fondateurs de cette société, Antoine et Sébastien, sont deux amis et anciens camarades de classe en Bac Pro et BTS 😉

La solution EDR Nucleon Smart Endpoint est basée sur un agent unique installé sur chaque machine à protéger, ce qui permet ensuite un pilotage à partir d'une console centralisée. Grâce aux différentes technologies utilisées, cette solution permet de bloquer les attaques comme les ransomwares, prévenir les fuites de données et gérer les vulnérabilités. Outre les capacités de détection, la plateforme facilite également la réponse à incident et la remédiation. Cet EDR s'appuie sur l'apprentissage automatique et une gestion des droits d'accès aux fichiers très précise pour offrir un niveau de sécurité élevé sur les nœuds à protéger.

L'agent installé sur une machine s'appuie sur trois composants : un driver qui sert à capturer les événements des processus, un service qui contrôle les requêtes interceptées et se charge des échanges avec le serveur de gestion, et une interface graphique qui affiche les notifications et l'état de santé de l'agent. Cet agent se met à jour à distance directement à partir de la console d'administration.

Ce serveur de gestion est proposé en mode SaaS, mais il peut aussi être intégré on-premise sur l'infrastructure du client. Il est à noter que Nucleon Security s'appuie sur un hébergeur français pour l'intégralité de son infrastructure.

En plus de sa solution 100% française, cette société propose également des services de supervision sécurité afin de déléguer la gestion de la sécurité à nos équipes spécialisées, ainsi qu’un service de « Threat hunting » qui consiste à identifier une menace plus précise grâce à notre CTI (Cyber Threat intelligence).

II. Qu'est-ce que le Zero Trust Multi-Layer

Le paradigme Zero-Trust consiste à ne faire confiance à aucune entité interne ou externe pour accéder à une information. Lors d’un accès à une donnée, il faut authentifier et identifier la source demandant cet accès, et l’autoriser seulement si des critères définis sont respectés. Cela permet de gagner en visibilité et de contrôler chaque périphérique, applications, utilisateurs.

L’approche Multi-layer apportée par Nucleon Smart Endpoint permet d’appliquer ce paradigme au plus bas niveau du système, et à tout type d’événement en vérifiant l’identité des programmes. L’agent est capable de contrôler les événements d’accès fichier (lecture, écriture, renommage, suppression), mais aussi les accès réseau, les exécutions de programmes, ainsi que les accès entre les programmes.

Les contrôles sont régis par une politique de sécurité qui définit les autorisations des programmes, les accès aux données, ainsi que des blocages spécifiques pour améliorer la sécurité du système d’exploitation et ses applications.

La solution propose par défaut des politiques de sécurité Zero-Trust Multi-Layer qui assure la sécurité du système ainsi que 70 applications déjà configurées. Pour les modèles d'applications prédéfinis, nous retrouvons par exemple : FileZilla, Discord, Docker, Deezer, Dashlane, OneDrive, OpenVPN, PowerShell, Steam, Slack, VLC ou encore SAP.

Par exemple, si vous utilisez le gestionnaire de mots de passe Keepass, il sera autorisé à accéder aux fichiers ".kdbx" en lecture et écriture, mais Word ne sera pas autorisé : il n'y a aucune raison à ce que Word ait besoin d'accéder à un fichier Keepass. De la même façon, au niveau des flux réseau l'outil Keepass pourra seulement communiquer avec les serveurs de Keepass pour vérifier les mises à jour, vers le domaine "keepass.info" notamment. À la manière d'un pare-feu UTM, la dernière règle refuse tous les accès aux fichiers KDBX.

Lors de l’installation de la solution sur un parc de machines, le mode « Learning » est activé sur la politique afin d’en apprendre plus sur les usages des utilisateurs et créer automatiquement des politiques de sécurité liées au contexte du périmètre à protéger. De cette façon, il ne reste qu’à contrôler les règles d’autorisations créées, puis passer en mode « Protection ». Cela facilite grandement la configuration de cette fonctionnalité, sinon le travail serai titanesque : imaginez regarder le comportement de chaque application pour créer les règles manuellement.

Cette méthode de sécurisation des postes de travail a fait ses preuves et est très efficace contre les attaques d’aujourd’hui, car elle permet d’intervenir a chaque étape de la « kill chain » pour assurer une défense en profondeur efficace.

III. Machine Learning

En plus de la sécurité effectuée sur le contrôle des événements, l’agent Nucleon Smart Endpoint est capable de demander des analyses sur les fichiers inconnus lorsqu'ils ne sont pas identifiés par les politiques Zero Trust.

Pour détecter les logiciels malveillants de type « Malware », Nucleon Security utilise son propre modèle de machine learning. Ce moteur de machine learning s’entraine en permanence sur un « dataset » composé de millions de fichiers, en provenance de plusieurs sources. La finalité étant de proposer un système de détection complet. Grâce à ce modèle collaboratif, le moteur d’analyse est capable de détecter facilement les souches malveillantes même récemment sorties.

La solution EDR assure la sécurité du poste de travail au travers de ces deux concepts complémentaires. Différentes fonctionnalités sont proposées en complément afin de couvrir tous les besoins des entreprises actuelles en termes de sécurité et réponse à incident.

IV. Démonstration avec un ransomware

Si vous souhaitez faire une pause dans la lecture cet article, nous vous proposons de voir en action l'EDR, notamment pour se protéger contre un ransomware et la remédiation. Démonstration par Antoine, directement.

V. Quelles sont les fonctionnalités proposées ?

Je vous propose ci-dessous une synthèse des fonctionnalités proposées par l'EDR de Nucleon Security.

➡ Investigations détaillées : grâce à la collecte d’événements, différents outils sont à dispositions pour comprendre la vie d’un fichier ou d’un programme, qu’il soit malveillant ou non. Les recherches peuvent-être affinées, et fournisse toutes les métadonnées nécessaires, qui peuvent ensuite être envoyées dans un autre système tel qu’un SIEM (Security Event Information Management). La collection d'informations à distance est possible, par exemple pour réaliser un dump mémoire ou récupérer un fichier.

➡ Métriques : l’agent collecte en permanence des informations sur les processus exécutés. Ces métriques utiles à la supervision du système d'information sont disponibles sur la console d’administration, et permettent également d’envoyer des notifications lors de l’utilisation anormale de ressources sur la machine.

➡ Contrôles périphériques : au travers des politiques de sécurité Zero-Trust Multi-Layer, des règles de sécurité sont disponibles pour répondre à tous les besoins de sécurité liés aux périphériques externes. Ainsi, il est possible d'empêcher l’écriture sur des clés USB, d'interdire l’exécution d'un programme depuis une clé USB, ou encore de bloquer totalement l’accès à ces périphériques.

➡ Identification de vulnérabilités : grâce aux informations remontées par l'agent et la corrélation à la volée de ces données avec les vulnérabilités connues (CVE), il est possible de connaitre en direct le niveau de sécurité du parc informatique et identifier facilement les machines à mettre à jour en priorité. 

➡ Worldmap : le contrôle des événements réseau permet une visibilité totale sur les communications effectuées au sein du réseau de l’entreprise, mais aussi vers l’extérieur. Ces données sont enrichies en information de géolocalisation afin d’afficher une cartographie complète de l’activité réseau, en temps réel.

➡ Isolation : en cas d’attaque non maîtrisée, ou de suspicion d’activité malveillante provoquée par un utilisateur, il est possible d’isoler une ou plusieurs machines du réseau à distance sans avoir à intervenir sur la machine. L'agent est également capable de se saboter lui-même.

➡ Smart scan : en complément des analyses déclenchées par les politiques de sécurité, l’agent peut effectuer des analyses totales sur les machines. Afin de ne pas perturber l’activité de l’utilisateur ou ralentir la machine lorsqu’elle est utilisée, les analyses sont effectuées uniquement lorsque l’utilisateur n’utilise pas sa machine après un certain temps.

➡ Rollback : les politiques de sécurité permettent une configuration de stratégie de rollback. Cela consiste à effectuer des snapshot de l’état du disque par l'intermédiaire de la fonctionnalité VSS de Windows. L'objectif étant de pouvoir revenir sur la version antérieure d’un fichier, ou même restaurer un fichier supprimé. Ce système est une barrière supplémentaire contre les ransomwares, les fichiers de données peuvent-être restaurés directement depuis la console d’administration. Autrement dit, un fichier chiffré par un ransomware peut être restauré à son état antérieur.

➡ Remédiation : en plus du système de rollback, le système de remédiation à distance permet de nettoyer le système et terminer les processus liés à une activité non désirée.

Nucleon Security tient à proposer une solution légère et efficace, en donnant une importance forte au contexte métiers dans lequel est intégrée sa solution. Quand une infection ou une attaque est détectée, tous les détails remontés jusqu'à la console d'administration permettent d'analyser finement le processus d'attaque et de remonter jusqu'au patient zéro.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Consultant chez Délibérata le jour, blogueur pour IT-Connect la nuit, je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 2370 posts and counting.See all posts by florian

2 pensées sur “Sécurité : présentation de l’EDR « made in France » de Nucleon Security

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.