Si SS8 a développé à l’origine sa plate-forme d'inspection et d'analyse des paquets réseau à l’intention des agences de renseignement pour traquer les communications des criminels et des terroristes, elle propose aujourd’hui une déclinaison destiner à lutter contre les intrusions et vols de données dans les entreprises. Baptisé BreachDetect, le logiciel recueille de manière détaillée les données issues des applications et des postes de travail transitant sur le réseau pour les analyser et trouver des anomalies qui indiquent un usage anormal.
La plate-forme stocke également les informations qu'il recueille de sorte qu’elles peuvent être analysées à plusieurs reprises afin d’identifier de nouvelles menaces. Les chercheurs en sécurité découvrent en effet des APT ou des malwares qui peuvent être passés inaperçus pendant des mois et chercher à savoir depuis quand il sont présents.
Une concurrence déjà nombreuse
Des approches similaires, avec des variantes, sont utilisées par DarkTrace (qui avait d’ailleurs aussi travaillé pour les service secrets britanniques), Brainwave, Balabit, TaaSERA, Cybereason, Damballa, LightCyber et Vectra ainsi que des fournisseurs avec des portefeuilles plus larges tels que Carbon Black, Black Ensilo, FireEye, Guidance, Promisec, Résolution1 Security et Tanium. L'idée maîtresse est de rapidement trouver les comportements suspects afin de la bloquer sans attendre.
La solution que SS8 vend aux agences de renseignement et aux forces de police peut traiter plusieurs térabits par seconde, mais la déclinaison BreachDetect a été rognée pour descendre à quelques gigabits par seconde. L’éditeur a également rationalisé les flux de travail intégrés pour rendre les analyses plus simples à appréhender pour des utilisateurs peu expérimentés.
Apprentissage machine comme il se doit
La fonction d’analyse en temps quasi réel peut corréler toutes les activités suspectes à la volée pour stopper les violations de données, tout comme les tentatives de reconnaissance et d’exfiltration. Les capteurs sont déployés aux points cardinaux du réseau pour contrôler les accès à Internet afin de classer le trafic en fonction des protocoles, mais son chemin vers le bas pour inspecter le contenu de flux. Les clients peuvent en outre indéfiniment stocker les données recueillies afin d’améliorer l'apprentissage de l’Analytic Engine de BreachDetect grâce à l’analyse de menaces réelles. SS8 appelle cette capacité une machine à remonter le temps pour la détection d’intrusions.
SS8 facture les clients en fonction de deux facteurs: le taux mensuel moyen à laquelle il analyse les données et combien de temps les données sont stockées. Un taux moyen de 100 Mbps coûte 1 200 $ par mois. Les données associées sont stockées moyennant 400 $ par mois. BreachDetect est vendu soit comme une plate-forme sur site ou un service cloud en ligne.