ACTUALITES

On connaissait le principe de l'UTM (Unified Threat Management) sous forme d'appliance : un ensemble de composants de sécurité pré-installés, configurés, et administrables d'une seule console. Avec Endpoint Protection 11.0, Symantec adapte le concept avec un seul agent, uniquement logiciel, sous la charge d'une console de management centralisé. Et donne soudainement un coup de vieux à l'antivirus classique, solitaire et mono tâche. Voire au mieux doublé d'un antispyware ou inclus de force dans une suite composée d'outils hétéroclites dont le seul point commun est d'avoir leurs options de configuration sous une fenêtre commune. L'agent multi-fonctions de Symantec regroupe lui, au sein d'un seul et même moteur, un antivirus, un antispyware, un pare-feu, un système de prévention d'intrusion (IPS) et un contrôle des périphériques externes. En option, Symantec ajoute le contrôle d'accès au réseau via Network Access Control (NAC) 11.0

Symantec Endpoint Protection (SEP) 11.0 est le fruit de l'intégration des technologies de Sygate Technologies, WholeSecurity, et, dans une moindre mesure, de Veritas. Ces trois acquisitions datent de 2004 et 2005. L'attente fut longue, mais l'éditeur semble avoir réussi cette intégration et présente aujourd'hui la solution "endpoint security" qu'il attendait tant. Chacune des sociétés tombées sous sa coupe apporte son expertise à la solution. Ainsi Sygate vient renforcer l'offre de pare-feu personnel de Symantec au sein de SEP. La société de John Thompson se dote ainsi du meilleur pare-feu personnel du marché si on en croit diverses analystes, à commencer par ceux du Gartner. Gestion de règles en fonctions des types de connexion (VPN, Ethernet, Wi-Fi), filtrage du trafic chiffré, blocage des drivers non validés par l'entreprise - entre autres - figurent au nombre de ses caractéristiques. Les technologies de contrôle de périphériques externes proviennent aussi de Sygate. L'entreprise peut contrôler toute lecture/écriture/exécution sur des supports USB, Firewire, Bluetooth, et les interfaces PCMCIA, série, parallèle et SCSI.

WholeSecurity, spécialiste du contrôle comportemental, introduit cette fonctionnalité dans l'host IPS de la solution. Son moteur fonctionne en pondérant deux modules de détection. L'un mesure le comportement habituel d'une application afin d'en définir son profil, l'autre son comportement en temps réel afin d'identifier toute déviance par rapport au profil habituel (par exemple, si vous n'envoyez jamais 300 e-mails d'un coup, l'alerte sera donnée si Outlook s'emballe de la sorte après une infection non-détectée). L'ensemble se double d'un contrôle d'accès aux fichiers, à la base de registre, des chargements de DLLs. Toute application se voit contrôler ses permissions d'accès au réseau, de lecture/écriture/exécution. Un IPS réseau (Network IPS) est aussi inclus, basé sur des signatures d'exploit des vulnérabilités connues. Une technologie nommée Generic Exploit Blocking est également chargée (en théorie !) de détecter les variantes d'attaques connues avant qu'une nouvelle signature soit disponible pour chacun.

Veritas, la plus importante acquisition de Symantec à ce jour (13,5 milliards de dollars) n'est pas en reste dans l'apport à SEP. Certes, celui-ci est plus modeste. La technologie VxMS (Veritas Mapping Service) de Veritas sert à l'éradication des rootkits bas niveau. Symantec l'utilise pour cartographier la structure des données sur les disques durs et la compare à la structure des fichiers telle qu'elle apparaît à WIndows. Les différences sont isolées et les fichiers suspects sont automatiquement analysés à la recherche de rootkits. Le contrôle d'accès au réseau (Symantec NAC) est disponible en option, mais il est intégré à la solution. Le même agent SEP fait alors office de client NAC, et il devient inutile de déployer un client NAC supplémentaire. Rappelons qu'il s'agit d'autoriser l'accès au réseau en fonction de la conformité du poste client aux règles de sécurité édictées dans l'entreprise. Le cas échéant, il est possible de confiner le client sur une zone de quarantaine et de le mettre à jour.

Longtemps décrié pour sa gourmandise en ressources processeur et mémoire, Symantec promet avec SEP une réduction de charge de 84 %, en sommeil, par rapport à ses précédentes versions d'antivirus. La promesse est alléchante. Nous attendons avec impatience les premiers retours des utilisateurs afin de constater si elle a été tenue.