Reveal(x) propose également de nouvelles détections pour les outils de cybersécurité à double usage que les pirates utilisent fréquemment dans leurs attaques, et il signale les menaces de sécurité auxquelles les experts doivent accorder la priorité.

En outre, les germanophones et les francophones pourront utiliser plus facilement Reveal(x), car l’interface utilisateur, les Threat Briefings et d’autres documents sont désormais traduits dans leur langue. Plusieurs ajouts importants dans la version 9.4 sont détaillés ci-dessous.

Nouveau capteur NetFlow

NetFlow, un protocole réseau utilisé pour collecter des informations sur le trafic IP à partir d’appareils Cisco, est une exigence de conformité pour de nombreuses organisations. Le nouveau capteur NetFlow offre une visibilité élargie de la surface d’attaque, en tirant parti de l’analyse du trafic réseau pour une sécurité basée sur les flux, et des flux de travail de surveillance des performances du réseau pour les utilisateurs de Reveal(x). Plus précisément, le nouveau capteur peut détecter et résoudre les problèmes de réseau et orienter les utilisateurs vers des solutions rapides, ce qui leur permet d’allouer efficacement les ressources du réseau.

Le capteur peut également détecter les violations potentielles de la sécurité et des règles sur le réseau. Le capteur étend les données NetFlow aux cas d’utilisation de la sécurité et rassemble tous ses résultats dans une console unique et unifiée. Les données NetFlow peuvent ensuite être utilisées pour l’analyse de sécurité au sein de la plateforme Reveal(x) afin d’identifier et de surveiller rapidement les attaques par déni de service et l’exfiltration de données.
Ce nouveau capteur offre une analyse NetFlow améliorée pour les flux de sécurité et de performance afin de collecter facilement des données à partir des versions 5 et 9 de Cisco NetFlow et d’IPFIX. Le capteur donne aux utilisateurs le contexte du réseau pour identifier de manière proactive les problèmes et répondre aux comportements malveillants.

Localisation en Français et en Allemand
L’interface utilisateur, les détections, la documentation et d’autres éléments de Reveal(x) sont désormais disponibles en français et en allemand. Grâce à la prise en charge élargie des langues, les utilisateurs pourront passer instantanément d’une langue à l’autre. Tous les outils d’interface utilisateur et de navigation seront traduits, ainsi que les Threat Briefings, les contenus de détection étendus et certaines détections d’apprentissage automatique.
Les traductions devraient faciliter considérablement la formation et la mise en œuvre pour les utilisateurs francophones et germanophones.

Détection des outils Dual-Use

Reveal(x) propose désormais une identification élargie des outils de cybersécurité à double usage que les pirates déploient pour échapper à la détection des terminaux. Ces outils à Dual-Use, notamment les logiciels d’accès à distance et d’analyse de réseau, peuvent être déployés dans les environnements informatiques des entreprises à des fins légitimes, mais les cybercriminels les utilisent également pour faire passer leurs activités malveillantes pour des activités légitimes.

Les outils à double usage que Reveal(x) peut détecter comprennent Advanced IP Scanner, Advanced Port Scanner, SoftPerfect Network Scanner et PingCastle. Bien que l’apparition de l’un de ces outils ne signifie pas nécessairement qu’une organisation est compromise, la détection de l’outil peut donner aux analystes une raison d’enquêter sur les raisons de sa présence.

Reveal(x) détecte les cas inhabituels d’outils à double usage apparaissant sur les réseaux des clients. Les détections haute-fidélité de ces outils sont conçues pour aider les utilisateurs à identifier les brèches et à réagir plus rapidement.

Nouveau filtrage intelligent

Une nouvelle fonctionnalité de Reveal(x) envoie automatiquement aux analystes de sécurité les détections classées par ordre de priorité. Cette fonction, basée sur l’analyse contextuelle des détections et des actifs dans l’environnement du client, est conçue pour aider les utilisateurs de Reveal(x) à éviter la surcharge de décisions et de choix. Connue sous le nom de Smart Triage, cette fonction aidera les analystes de la sécurité à décider où concentrer leur attention lorsqu’ils analysent d’éventuels incidents de sécurité.

Avec Smart Triage, Reveal(x) recommandera des détections à traiter en priorité en fonction de plusieurs facteurs, notamment la présence d’un appareil présentant une activité de menace importante, la présence d’un actif de grande valeur et la rareté du type spécifique de détection dans l’environnement du client.

La fonctionnalité de triage couvre plusieurs types de détections, et les clients peuvent filtrer les détections en fonction de la recommandation de triage.

Identification des scanners de vulnérabilité pour les services cloud

La dernière version de Reveal(x) réduit le bruit des scanners de vulnérabilité pour les utilisateurs en identifiant les scanners de vulnérabilité externes ciblant les services cloud. Beaucoup de ces scanners de vulnérabilités externes ont des utilisations légitimes pour aider les organisations à comprendre leur dispositif de sécurité, mais d’autres sont utilisés par des pirates pour s’infiltrer dans le réseau d’une organisation.

Les utilisateurs peuvent désormais identifier les services cloud ciblés par ces scanners de vulnérabilité, et la fonctionnalité permet aux utilisateurs de filtrer et de paramétrer uniquement les scanners de vulnérabilité de confiance.

Reveal(x) peut identifier une cinquantaine de scanners de vulnérabilité connus, dont Shodan et Censys.

Nouveaux détecteurs and MOVEit Threat Briefing

Reveal(x) disposera d’une couverture de détection élargie des outils et techniques des pirates, y compris Brute Ratel, Emotet et 21 nouvelles familles de ransomwares. Sont également incluses 11 détections améliorées de ransomwares basées sur des modèles et la détection de 104 extensions de ransomwares.

En outre, un rapport sur les menaces concernant les vulnérabilités critiques du programme de transfert de fichiers MOVEit a été publié au début de l’année. Le Threat Briefing couvre les multiples vulnérabilités d’injection SQL dans MOVEit, et fournit aux clients une vue d’ensemble des dispositifs sur leurs réseaux qui utilisent MOVEit. Le Threat Briefing permet aux utilisateurs d’identifier rapidement les appareils vulnérables et d’appliquer un correctif fourni par Progress Software, le fournisseur de MOVEit.

Le Threat Briefing permet également aux clients d’examiner les connexions effectuées au service MOVEit cloud avant le 16 juin, date à laquelle Progress Software a publié son correctif.