Vectra automatise encore davantage la réponse automatique aux menaces réseaux avec sa solution phare Vectra Cognito
juillet 2020 par Marc Jacob
Vectra® AI ajoute de nouvelles capacités de réponses aux menaces réseaux de sa plateforme Cognito. Grâce à son intégration avec Microsoft Defender ATP (Advanced Threat Protection), Vectra affine davantage encore les capacités à répondre automatiquement aux menaces. Cette capacité de blocage automatique s’ajoute à une autre fonctionnalité déjà présente dans Vectra Cognito qui offre une réponse automatisée aux attaques ciblées sur les comptes utilisateurs : « Account Lockdown ».
L’intégration en profondeur avec Microsoft Defender ATP permet à Cognito de fournir des réponses instantanées et coordonnées directement au niveau des endpoints. Les clients de la plateforme ont ainsi la possibilité de bloquer et d’isoler les cyberattaquants, et non les ressources, ce qui réduit considérablement le temps d’exposition des entreprises aux attaques. Cette nouvelle capacité de Vectra Cognito élimine ainsi le risque de propagation d’une attaque sans toutefois perturber le déroulement normal des opérations de l’entreprise.
Aller encore plus loin dans l’automatisation
La technologie et les processus qui sont à la base de la sécurité de l’entreprise, reposent sur la qualité et le volume des anomalies de sécurité remontées. Il est donc nécessaire d’éviter les faux positifs qui brouillent les alertes et impactent l’efficacité du travail d’analyse au sein du SOC, du fait de la difficulté à hiérarchiser les réponses. Cela est encore plus important lorsque l’on automatise les réponses, car des alertes erronées entrainent la mise en place de mauvaises mesures de sécurité, qui sont sources de perturbations, d’interruptions inutiles, etc.
Pour remédier au problème, Cognito se concentre sur l’identification des attaques réelles et génère ainsi des détections prioritaires, de haute-fiabilité, basées sur les privilèges et les comportements observés dans le Cloud et les réseaux de datacenter. Ces capacités de détections permettent à Cognito de mettre en œuvre des réponses automatisées et précises, en fermant automatiquement les comptes impliqués dans une attaque. Grâce à cette intégration avec Microsoft Defender ATP, les réponses automatisées vont encore plus loin, et Cognito Lockdown intervient immédiatement sur les endpoints ciblés par une attaque.
L’automatisation aide les clients à améliorer l’efficacité de leurs opérations de sécurité sans perturber l’activité de l’entreprise
Les analystes peuvent ainsi consacrer leur temps et leurs ressources aux investigations portant sur les incidents les plus critiques.
Vectra adopte une approche de pointe sur le marché, en alignant les comportements Cloud et réseaux au sein du cadre MITRE ATT&CK. La plateforme Cognito fournit ensuite, de manière automatisée, une vue globale sur des événements isolés. Les équipes de sécurité ont ainsi la capacité d’enquêter sur une chaine d’événements regroupés au sein d’un incident unique, mais également de prioriser les réponses en fonction du niveau de privilèges, des risques et de la probabilité de la menace. Dans le domaine de la sécurité, les dernières avancées technologiques basées sur les anomalies ont engendré d’importants volumes d’alertes ingérables et souvent non pertinentes. Les faux positifs sont autant de temps et de ressources en moins dédiés à la lutte contre les menaces réelles.
Vectra est le premier éditeur de solution NDR, à réunir un contrôle automatisé basé sur une analyse de haute-fiabilité et priorisée du comportement des attaquants, et des actions très ciblées basées sur l’identité. L’entreprise est ainsi protégée des accès malveillants à l’encontre des ressources essentielles à son activité.
Vectra a par ailleurs été invité à rejoindre l’association Microsoft Intelligent Security, une communauté d’éditeurs de logiciels indépendants spécialement créée pour lutter contre l’essor des cybermenaces.
Grâce à la plate-forme ouverte et au vaste écosystème technologique de Vectra, les équipes chargées des opérations de sécurité bénéficient d’une charge de travail réduite, d’un contexte plus riche, et d’une réponse plus rapide et précise.