Après avoir lancé sa propre solution de SIEM au début de l’été, l’éditeur Elastic complète son offre de sécurité sur la protection des postes de travail avec le logiciel Endpoint Security. Celui-ci est issu de l’acquisition d’Endgame opérée en juin et qui vient tout juste d’être finalisée pour un montant total de 234 M$. La société dirigée par Shay Banon, le créateur du moteur de recherche Elasticsearch, n’aura donc pas tardé pour intégrer à son offre cette technologie basée sur la matrice Mitre Att&ck et évaluée par des laboratoires indépendants comme NSS Labs, SE Labs ou Mitre. Elle est désormais combinée à son SIEM pour contrer les menaces en temps réel, sur site, dans le cloud et dans les environnements hybrides.
« Les utilisateurs méritent plus des outils qu’ils déploient », affirme Shay Banon dans un billet en expliquant que la pile Elastic diversifie ainsi les cas d’usage pour lesquels on peut l’exploiter. L’annonce de Endpoint Security s’accompagne aussi d’un changement de modèle de tarification. Le logiciel ne sera pas facturé par terminal mais en fonction du volume stocké. De façon plus générale, quelle que soit la solution Elastic utilisée par les entreprises - Logs, APM, SIEM, App Search, Site Search, Enterprise Search ou Enterprise Security - celle-ci sera désormais facturée en fonction d’une capacité de ressources « selon une grille tarifaire cohérente et transparente », promet Elastic.
Le moteur de détection MalwareScore à l'oeuvre
Endpoint Security combine la prévention, la détection et la réponse aux menaces au sein d’un même agent autonome qui ne requiert pas d’entraînement pour fonctionner, explique Elastic sur son site. L’éditeur entend ainsi prendre sa part pour protéger les entreprises contre les attaques par ransomware, phishing ou malware susceptibles de s’incruster dans les systèmes et d’y installer des portes dérobées. Le moteur de détection MalwareScore développé par Endgame recourt à l’apprentissage machine et repose sur un ensemble de couches étroitement intégrées de mécanismes de protection comportementale qui couvre les différentes approches des attaques potentielles. MalwareScore a été intégré au service en ligne VirusTotal. Pour prévenir l’action d’un ransomware, Endpoint Security combine cette détection comportementale avec une technologie de prévention d’exploit. Sur les outils bureautiques, l’outil utilise le machine learning pour empêcher les documents Office et PDF malveillants de s’exécuter. Sur les tentatives d’intrusion ne passant pas par un fichier, il détecte les scripts Powershell malveillants et les attaques in-memory.