beebright - stock.adobe.com
Cybersécurité : BluVector passe dans le giron de Comcast
Sa plateforme Cortex vise à détecter les signaux faibles sur l’infrastructure à l’aide de neuf moteurs d’analyse. La jeune pousse apparaît appelée à poursuivre son développement de manière autonome.
BluVector vient d’annoncer son rachat par Comcast, à l’occasion de la conférence RSA qui se déroule cette semaine à San Francisco. Le calendrier apparaît difficilement innocent : BluVector figurait parmi les finalistes de l’Innovation Sandbox de l’édition précédente de cette grand messe de la sécurité informatique.
A l’époque, Kris Lovejoy, alors Pdg de la jeune pousse, expliquait être régulièrement confrontée à Darktrace ou encore FireEye, en matière de concurrence. De fait, La plateforme Cortex a été conçue pour détecter les menaces les plus avancées sur l’infrastructure, le plus rapidement possible, avec un haut niveau de confiance, tout en intégrant des capacités de remédiation.
Pour cela, Cortex exécute en parallèle neuf moteurs de détection, dans des conteneurs, dont certains sont propriétaires et couverts par des brevets. C’est notamment le cas du premier, basé sur un modèle établi par apprentissage automatique supervisé et dédié à la détection des maliciels polymorphiques cachés dans des fichiers. Pour élaborer ce modèle, « nous avons travaillé pendant dix ans avec la communauté du renseignement et de la défense », expliquait l’an dernier Kris Lovejoy.
Un second moteur procède à une exécution spéculative du code. Il s’agit là de détecter les maliciels dits fileless dans le trafic réseau : « shell code et scripts sont extraits du flux et l’on émule leur comportement en cas d’exécution. Cela permet d’évaluer le potentiel malicieux et de détecter, quasiment en temps réel, les attaques sans fichier avec un niveau de faux positif très bas. En laboratoire, il est proche de zéro ».
Les sept autres moteurs recouvrent notamment l’analyse comportementale par apprentissage automatique, pour détecter les anomalies, ou encore la corrélation entre analyse des flux réseau et renseignements sur les menaces.
Les résultats produits par les neuf moteurs « sont transmis à moteur probabiliste : il assure la corrélation et orchestre la collecte de données contextuelles – on parle de targeted logging et un brevet couvrant le procédé nous a été accordé ». Un score de probabilité est alors établi, renseignant sur le caractère malicieux ou non de l’événement traité.
La plateforme Cortex offre de vastes capacités d’intégration, avec des solutions de gestion du renseignement sur les menaces, d’orchestration de la réponse à incident, ou encore de gestion des informations et des événements de sécurité (SIEM), mais également de contrôle d’accès réseau (NAC), de détection et remédiation sur les hôtes (EDR), etc.
BluVector n’apparaît pas voué à disparaître du marché à l’occasion de son acquisition par Comcast. Dans un communiqué de presse, les deux entreprises indiquent qu’elles « vont travailler ensemble pour faire croitre l’activité de BluVector et collaborer au développement de nouvelles technologies de cybersécurité ».
Mais Kris Lovejoy ne sera pas de l’aventure. Cette ancienne patronne des services de sécurité managés d’IBM a tout récemment quitté BluVector pour piloter les activités cybersécurité d’EY. Eric Malawer la remplace. Cet ancien du renseignement américain n’est pas étranger aux techniques d’intelligence artificielle appliquées à la cybersécurité : il a participé à la création, en 2016, d’Echelon AI, une jeune pousse misant sur le traitement du langage naturel et l’apprentissage profond pour détecter des menaces, notamment, et avant cela à DeepMile Networks, une entreprise spécialisée dans l’analyse de données à partir des mêmes techniques.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
Le groupe Vinci appuie son SOC sur un Microsoft Sentinel un peu particulier
-
Ransomware : qu’on l’appelle BabLock ou Rorschach, il est rapide
-
Avec SecurityTrails, Recorded Future s’intéresse à la surface d’attaque des entreprises
-
Comment Sekoia veut rendre opérationnel le renseignement sur les menaces