La startup de sécurité d'exécution Oligo Security Ltd. a dévoilé aujourd'hui Runtime Exploit Blocking, une nouvelle fonctionnalité qui arrête les tentatives d'exploitation au niveau de la couche application en temps réel sans tuer de conteneurs ou de processus ni perturber les applications en cours d'exécution.
La nouvelle version cherche à combler une lacune fondamentale dans la manière dont les organisations abordent la sécurité des applications. Cela arrive à un moment où les attaquants s’appuient sur des techniques d’exploitation reproductibles pour infiltrer les organisations. Un récent rapport Mandiant indique que l'exploitation est restée le principal vecteur d'accès initial pendant six années consécutives, et plus récemment, le lancement du projet Glasswing par Anthropic PBC montre comment les attaquants basés sur l'IA peuvent trouver et exploiter le jour zéro avec plus de rapidité et de précision que jamais.
La société affirme que la plupart des programmes de sécurité s’appuient sur la priorisation des vulnérabilités et expositions communes et sur les retards de vulnérabilité plutôt que sur l’arrêt des attaques au fur et à mesure qu’elles se produisent. La nouvelle offre d'Oligo protège plutôt contre des classes de techniques d'attaque plutôt que contre des CVE individuels, ce qui signifie qu'une seule règle de protection peut couvrir des catégories entières de vulnérabilités, y compris zéro jour.
« Les attaques modernes reposent sur des techniques reproductibles qui s'exécutent au moment de l'exécution, ce qui signifie que le seul moyen de les arrêter efficacement est d'observer l'exécution du code au moment de l'exécution », a déclaré le co-fondateur et directeur général Nadav Czerninski. « Grâce à cette fonctionnalité, nous permettons à nos clients d'arrêter les exploits avancés avec une précision unique et sans perturber la disponibilité. »
Le blocage des exploits d'exécution fonctionne en corrélant les appels de fonction de la couche d'application avec l'activité au niveau du système. Des actions individuelles peuvent sembler normales, mais des séquences spécifiques révèlent une tentative d'exploitation active. Une fois identifié, Oligo bloque l'appel système sous-jacent tout en permettant au reste de l'application de continuer à fonctionner normalement.
La nouvelle offre offre quatre fonctions principales. L'un d'entre eux est la visibilité de l'exécution à l'exécution via les piles d'appels, les appels de fonction et les flux de données. Parallèlement, il existe une détection des exploits d'exécution en corrélant l'activité au niveau de l'application et du système, ainsi qu'un blocage sans interruption qui arrête l'attaque pendant que l'application continue de s'exécuter. Enfin, il offre une protection basée sur des techniques qui couvre les classes de vulnérabilité plutôt que les CVE individuels.
La société affirme que cette approche comble l’écart entre l’exposition théorique et l’exploitation réelle en faisant de l’exécution de l’application le point central pour arrêter les attaques modernes.
