Vectra intègre à ses algorithmes d’IA, de nouveaux flux de threat intelligence et des capacités de détections dédiées aux services Active Directory
Paris, le 29 novembre 2017 - Vectra, acteur majeurde la détection automatisée des cyberattaques en temps réel basée sur l’intelligence artificielle, annonce aujourd’hui la possibilité pour ses clients d’intégrer des flux de threat intelligence (renseignement sur les menaces) et d’indicateurs de compromission (IoC) à sa plate-forme Cognito. La plate-forme détecte également à présent les activités de reconnaissance des attaquants ciblant les services d’Active Directory via les protocoles LDAP et Kerberos. Cognito permet également d’utiliser des liens à durée limitée pour simplifier le partage d’informations critiques lors d’investigation post-attaque.
Cognito enrichit ses capacités de détection avec la threat intelligence et les IoCLa plate-forme Cognito de Vectra renforce ses capacités de détection automatisée en permettant à ses clients d’importer des indicateurs de compromission (IoC) sectoriels et locaux, comme des adresses IP, noms de domaine, URL ou agents utilisateur malveillants, sous forme de fichiers STIX (Structured Threat Information eXpression) version 1.2.
Les détections basées sur les IoC comprennent un fichier de capture de paquets (PCAP) et sont corrélées avec toutes les autres détections de comportements malveillants deCognito, pour fournir un contexte riche. Elles s’accompagnent en outre d’un score de risque qui facilite la hiérarchisation de la réponse. L’API Cognito automatise le chargement des fichiers STIX, comme les flux de renseignement sur les menaces du FS-ISAC (Financial Services Information Sharing and Analysis Center), et chaque fichier se voit attribuer une catégorie de phase d’attaque (commande et contrôle, reconnaissance, mouvement latéral ou exfiltration).
Beau Canada, VP Information Security chez Ticketmaster déclare : « L'IA automatise la détection des menaces inconnues et les IoC permettent la détection des menaces connues. L'automatisation de la corrélation en temps réel, du scoring et de la hiérarchisation des deux types de menaces avec les PCAP améliorera l'efficacité des opérations de sécurité ».
Jon Oltsik, analyste principal chez ESG (Enterprise Strategy Group) déclare : « De nombreuses entreprises élaborent des programmes et processus internes pour collecter, analyser et exploiter les renseignements sur les menaces, et cette tendance devrait se poursuivre. Selon une étude d’ESG, 27 % des professionnels de la cybersécurité au sein des grandes entreprises indiquent que leur société augmentera considérablement le budget alloué aux programmes de renseignement sur les menaces dans les 12 à 18 prochains mois, et 45 % prévoient une légère hausse sur la même période ».
Kevin Kennedy, vice-président de la gestion des produits chez Vectra explique : « Les clients utilisent Cognito pour automatiser les processus manuels de détection, de tri et de corrélation des menaces en vue d’une réponse en temps réel aux attaques. Avec l’intégration de flux threat intelligence et d’indicateurs de compromission dans Cognito, les analystes de sécurité disposent d’informations contextuelles supplémentaires. Ils peuvent ainsi se concentrer sur les tâches critiques de confirmation et de neutralisation des cyberattaques avant que des données ne soient volées ».
Vectra Cognito intègre la détection des activités de reconnaissance ciblant les Active DirectoryLes attaques les plus sophistiquées débutent souvent par une phase de reconnaissance de l’infrastructure Active Directory (AD) de l’entreprise ciblée. Cette phase permet aux pirates d’identifier les comptes dotés de privilèges administratifs pour accéder à des systèmes hébergeant des données sensibles. Vectra a enrichi sa plate-forme Cognito de nouveaux algorithmes de détection des comportements d’attaque via les protocoles LDAP et Kerberos.
Requêtes LDAP suspectes : un attaquant peut découvrir l’appartenance aux groupes, la structure de répertoires, ainsi que les comptes et groupes privilégiés en envoyant des requêtes LDAP judicieusement sélectionnées au serveur AD. Ces informations permettent aux attaquants de déterminer quelles informations d’identification ils doivent se procurer pour naviguer plus profondément dans le réseau et accéder à des zones restreintes. L’algorithme de détection des requêtes LDAP suspectes surveille les communications LDAP afin de détecter la présence de requêtes LDAP inhabituelles dans l’environnement local qui pourraient s’apparenter à une attaque.
Attaques Kerberos par force brute : bien que directes et peu sophistiquées, les attaques par force brute et par dictionnaire peuvent être utilisées pour obtenir un accès non autorisé aux systèmes chargés de l’authentification, que ce soit en local ou via le protocole d’authentification réseau Kerberos. L’algorithme surveille tous les événements d’authentification Kerberos sur le réseau, évalue les volumes types pour chaque compte et déclenche une alerte en cas d’activités assimilables à une tentative d’attaque par force brute. Pour fournir à l’équipe de sécurité un maximum de contexte, le volume, le client, le compte et le contrôleur de domaine impliqués dans la tentative d’authentification détectée sont indiqués.
Ces nouveaux algorithmes de détection décèlent les premiers signes d’utilisation abusive d’informations d’identification d’administration et de mouvements latéraux liés à l’utilisation abusive de protocoles d’administration. La détection combinée de ces activités de reconnaissance et de mouvement latéral permet à Cognito d’attribuer un score de risque élevé aux incidents en vue d’une vérification et d’une résolution prioritaires.
Coordination simplifiée des efforts de sécurité grâce à des liens de partage à durée limitéeCognito prend désormais en charge la création de liens de partage à durée limitée vers des pages de détection et d’hôte spécifiques. L’équipe de sécurité peut ainsi rapidement et facilement prendre contact avec les membres du département informatique dépourvus de compte Cognito, ce qui réduit le délai de confirmation et de neutralisation d’une cyberattaque active. Le partage simplifié d’informations avec les autres fonctions informatiques permet aux équipes de sécurité de clarifier le comportement observé, accélère la compréhension des menaces par l’ensemble des personnes impliquées dans les activités d’investigation et réduit le délai de résolution.
A propos de Vectra :Vectra® est un spécialiste de l’intelligence artificielle qui bouleverse la cybersécurité. Les performances de sa plateforme Cognito offrent la meilleure façon de détecter et de répondre aux cyberattaques, en divisant la charge de travail des équipes sécurité par 168. Cognito détecte les attaques en temps réel en analysant l’ensemble des données du trafic réseau, les logs significatifs et les événements cloud pour détecter les comportements des attaquants dans le cloud, les datacenters, les terminaux et les objets connectés des utilisateurs. Cognito corrèle les menaces, priorise les hôtes selon le risque et fournit un contexte pour mieux répondre face aux nouveaux modes d’attaques. Cognito gère les postes de travail, NAC, firewall pour automatiser le confinement de l’attaque et fournit des éléments clés au travers des outils forensic et du SIEM.