Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vectra intègre à ses algorithmes d’IA, de nouveaux flux de threat intelligence et des capacités de détections dédiées aux services Active Directory

novembre 2017 par Marc Jacob

Vectra annonce la possibilité pour ses clients d’intégrer des flux de threat intelligence (renseignement sur les menaces) et d’indicateurs de compromission (IoC) à sa plate-forme Cognito. La plate-forme détecte également à présent les activités de reconnaissance des attaquants ciblant les services d’Active Directory via les protocoles LDAP et Kerberos. Cognito permet également d’utiliser des liens à durée limitée pour simplifier le partage d’informations critiques lors d’investigation post-attaque.

Cognito enrichit ses capacités de détection avec la threat intelligence et les IoC
La plate-forme Cognito de Vectra renforce ses capacités de détection automatisée en permettant à ses clients d’importer des indicateurs de compromission (IoC) sectoriels et locaux, comme des adresses IP, noms de domaine, URL ou agents utilisateur malveillants, sous forme de fichiers STIX (Structured Threat Information eXpression) version 1.2.

Les détections basées sur les IoC comprennent un fichier de capture de paquets (PCAP) et sont corrélées avec toutes les autres détections de comportements malveillants de Cognito, pour fournir un contexte riche. Elles s’accompagnent en outre d’un score de risque qui facilite la hiérarchisation de la réponse. L’API Cognito automatise le chargement des fichiers STIX, comme les flux de renseignement sur les menaces du FS-ISAC (Financial Services Information Sharing and Analysis Center), et chaque fichier se voit attribuer une catégorie de phase d’attaque (commande et contrôle, reconnaissance, mouvement latéral ou exfiltration).

Vectra Cognito intègre la détection des activités de reconnaissance ciblant les Active Directory

Les attaques les plus sophistiquées débutent souvent par une phase de reconnaissance de l’infrastructure Active Directory (AD) de l’entreprise ciblée. Cette phase permet aux pirates d’identifier les comptes dotés de privilèges administratifs pour accéder à des systèmes hébergeant des données sensibles. Vectra a enrichi sa plate-forme Cognito de nouveaux algorithmes de détection des comportements d’attaque via les protocoles LDAP et Kerberos.

Requêtes LDAP suspectes : un attaquant peut découvrir l’appartenance aux groupes, la structure de répertoires, ainsi que les comptes et groupes privilégiés en envoyant des requêtes LDAP judicieusement sélectionnées au serveur AD. Ces informations permettent aux attaquants de déterminer quelles informations d’identification ils doivent se procurer pour naviguer plus profondément dans le réseau et accéder à des zones restreintes. L’algorithme de détection des requêtes LDAP suspectes surveille les communications LDAP afin de détecter la présence de requêtes LDAP inhabituelles dans l’environnement local qui pourraient s’apparenter à une attaque.

Attaques Kerberos par force brute : bien que directes et peu sophistiquées, les attaques par force brute et par dictionnaire peuvent être utilisées pour obtenir un accès non autorisé aux systèmes chargés de l’authentification, que ce soit en local ou via le protocole d’authentification réseau Kerberos. L’algorithme surveille tous les événements d’authentification Kerberos sur le réseau, évalue les volumes types pour chaque compte et déclenche une alerte en cas d’activités assimilables à une tentative d’attaque par force brute. Pour fournir à l’équipe de sécurité un maximum de contexte, le volume, le client, le compte et le contrôleur de domaine impliqués dans la tentative d’authentification détectée sont indiqués.

Ces nouveaux algorithmes de détection décèlent les premiers signes d’utilisation abusive d’informations d’identification d’administration et de mouvements latéraux liés à l’utilisation abusive de protocoles d’administration. La détection combinée de ces activités de reconnaissance et de mouvement latéral permet à Cognito d’attribuer un score de risque élevé aux incidents en vue d’une vérification et d’une résolution prioritaires.

Cognito prend désormais en charge la création de liens de partage à durée limitée vers des pages de détection et d’hôte spécifiques. L’équipe de sécurité peut ainsi rapidement et facilement prendre contact avec les membres du département informatique dépourvus de compte Cognito, ce qui réduit le délai de confirmation et de neutralisation d’une cyberattaque active. Le partage simplifié d’informations avec les autres fonctions informatiques permet aux équipes de sécurité de clarifier le comportement observé, accélère la compréhension des menaces par l’ensemble des personnes impliquées dans les activités d’investigation et réduit le délai de résolution.


Voir les articles précédents

    

Voir les articles suivants