carloscastilla - Fotolia
La solution de protection d’Active Directory d’Alsid fait le plein de nouveautés
Plus proche du temps réel, elle se dote de fonctionnalités destinées à l’investigation, la chasse aux menaces, mais également aux red teams.
La jeune pousse française a profité des Assises de la Sécurité, qui se déroulent actuellement à Monaco, pour présenter la nouvelle mouture de sa solution de protection des infrastructures Active Directory.
Emmanuel Gras, son Pdg et co-fondateur, explique que cette nouvelle version 2.0 est « en quelque sorte la somme de tous les retours et de tous les travaux réalisés depuis deux ans avec nos clients ». Et cela se traduit par plusieurs changements qu’il présente comme majeurs, à commencer par une capacité à « s’approcher encore plus du temps réel. Si avant, nous étions sur des temps de réaction de l’ordre de quelques minutes, désormais nous utilisons un mécanisme, récemment découvert, qui nous permet de réagir à la seconde ». De quoi, pour Emmanuel Gras, apporter un niveau de réactivité cohérent avec les besoins des centres opérationnels de sécurité (SOC) : « technologiquement, nous sommes assez fiers de cette prouesse qui nous permet de coller à la détection d’une attaque au moment où elle se produit ».
Viennent ensuite de nouvelles fonctionnalités, avec une, en particulier, qui permet de « rejouer les différentes étapes » ayant conduit au déclenchement d’une alerte : « par exemple, soudain, un nouvel administrateur apparaît. Cela déclenche une alerte. Mais comment se fait-il que quelqu’un ait pu s’ajouter à un groupe d’administration, ce qui est normalement réservé à des personnels privilégiés. Avec cette nouvelle fonction, il devient possible de relier entre eux les différents événements qui ont conduit à ce résultat ». Ainsi, Alsid met donc un pied dans le domaine de l’investigation.
A cela viennent s’ajouter des fonctionnalités destinées à la recherche, la chasse aux menaces, sur les environnements « que l’on pense sains, mais pour lesquels on a des suspicions, d’où qu’elles viennent ». Pour cela, Alsid a développé « tout un moteur de requêtage avancé et de création de filtres pour essayer de faire le tri dans tous les informations remontées afin d'identifier des marqueurs spécifiques à des attaques éventuelles ».
Alsid 2.0 est en outre dotée de fonctionnalités s’adressant aux équipes de recherche de vulnérabilités et de vecteurs d’attaque, les fameuses red teams : « nous maintenons et continuons d’enrichir notre moteur de détection de défauts de configuration et de failles pour avertir ces personnes-là ». A charge pour elles d’en tester l’exploitabilité pour ensuite remonter l’information.
Emmanuel Gras souligne l’ampleur des évolutions : « par rapport à une version 1.0 qui s’adressait surtout aux RSSI avec l’ambition de donner une information sur la conformité par rapport à des objectifs adossés à l’état de l’art, on étend le spectre des cas d’utilisation en s’ouvrant aux équipes qui font de la réponse à incident, à celles qui font de la red team, et à celles qui font de la chasse ».
Alsid reste ainsi concentré sur le domaine des infrastructures Active Directory, mais avec un « spectre plus large et plus ouvert en termes de cas d’usage de notre solution ».
L’ensemble de ces fonctions est accessible via la console d’Alsid. Mais Emmanuel Gras souligne l’importance accordée à l’intégration : « l’ensemble de l’application peut être piloté par API, avec un système d’orchestration, par exemple ». C’est sans compter avec la capacité, déjà présente en version 1.0, à pousser des alertes vers les systèmes de collecte d’événements de sécurité (SIEM).