Vectra innove avec la détection et la prédiction des campagnes de cyberattaques et renforce sa solution pour les datacenters et le Cloud
septembre 2017 par Marc Jacob
Vectra améliore la détection automatique des menaces en permettant la détection et la prédiction des campagnes d’attaques. La plate-forme Vectra Cognito va encore un peu plus loin dans ses capacités de détection automatisée automatise en révélant les relations entre la détection d’une attaque sur différentes charges de travail et différents appareils, afin de mieux comprendre l’activité et l’étendue des campagnes d’attaques.
La hausse de la demande en solutions de détection automatisée et les récents progrès de l’entreprise ont abouti à une augmentation de 208 % des nouveaux revenus récurrents annuels de Vectra sur le deuxième trimestre 2017 par rapport à l’année précédente.
D’après une étude de Vectra sur le comportement des attaquants réalisée auprès de 200 grandes entreprises, 841 événements de sécurité surviennent chaque trimestre par tranche de 1 000 charges de travail ou appareils sur un réseau, mais seuls les événements concernant cinq charges de travail ou appareils représentent un risque critique ou très sévère. Les comportements des cyberattaquants qui déclenchent ces événements font souvent partie de la même campagne d’attaques. Auparavant, les analystes de sécurité devaient identifier manuellement la relation entre les comportements détectés, ce qui rendait les réponses en temps réel quasiment impossibles.
Les cyberattaquants prenant le contrôle des appareils à distance, se livrant à des activités de reconnaissance et se déplaçant de manière latérale sur le réseau, Vectra Cognito présente une vue synthétique de l’ensemble de la campagne d’attaques en corrélant les détections de comportements d’attaquants liées sur tous les hôtes concernés. Les entreprises qui utilisent Vectra Cognito peuvent par ailleurs accéder à des informations détaillées sur les hôtes ou les détections de campagne liées pour analyser l’historique de la campagne et mieux comprendre la durée de vie d’une attaque. En identifiant les connexions sur plusieurs machines faisant partie d’une même campagne d’attaques, une attaque entière peut être stoppée dès les premiers signes de détection.
Les améliorations de Vectra Cognito pour les datacenters et le Cloud :
Vectra a mis au point la première solution spécialement conçue pour détecter les cyberattaques les plus poussées dans les datacenters Cloud. Vectra Cognito s’intègre nativement avec la plate-forme de virtualisation et introduit des modèles de détection exclusivement conçus pour offrir une visibilité en temps réel sur le comportement des cyberattaquants dans les datacenters Cloud. Les nouveaux comportements d’attaque détectés incluent désormais les éléments suivants :
o Analyse poussée du protocole RDP (Remote Desktop Protocol) : RDP fournit à l’utilisateur une interface graphique pour se connecter à un autre ordinateur via une connexion réseau. Ce protocole est souvent exploité par les attaquants, car il leur permet de prendre le contrôle d’un système à distance simplement en dérobant des informations d’identification. En outre, les serveurs RDP sont souvent utilisés par les cyberattaquants pour s’infiltrer dans le datacenter en se faisant passer pour des administrateurs normaux. Cognito inclut désormais plusieurs algorithmes de détection qui apprennent à l’aide d’informations les méthodes d’exploitation du protocole RDP dans un environnement. La solution identifie ainsi les changements survenus au niveau du système à l’origine de la connexion qui indiquent que la session est contrôlée par un attaquant, ainsi que les tentatives de localisation et de compromission des serveurs RDP.
o Analyse des comptes SMB : les cyberattaquants les plus expérimentés ciblent souvent les comptes locaux, qui ne nécessitent aucune authentification via Active Directory (AD), car ils sont furtifs et leur évitent d’être détectés par les outils d’analyse comportementale des utilisateurs et de SIEM qui analysent les journaux AD. Ce nouvel algorithme de détection permet à Vectra Cognito de détecter les attaquants effectuant une reconnaissance interne via le protocole SMB pour s’authentifier localement auprès d’un serveur afin de déterminer la liste des comptes disponibles sur ce dernier.
Vectra étend la couverture Cloud avec AWS vSensor
Un nouveau vSensor pour AWS étend ces nouvelles fonctionnalités de détection des comportements d’attaquants aux charges de travail Cloud exécutées dans Amazon Web Services. Les clients de Vectra bénéficient ainsi d’une visibilité sur les campagnes d’attaques dans les charges de travail dans le Cloud et les datacenters en plus des équipements d’utilisateurs et IoT, ce qui élimine toute cachette potentielle pour les cyberattaquants.