Vectra étend sa plateforme à la détection des détournements de privilèges
Le spécialiste de l’analyse du trafic réseau continue d’étendre le champ d’application de sa technologie, cette fois-ci pour détecter d’éventuels détournements de comptes à privilèges, ou des élévations de privilèges anormales.
Vectra vient d’annoncer le lancement de Privileged Access Analytics, une nouvelle fonction de sa plateforme d’analyse du trafic réseau (NTA) Cognito. Dans un communiqué de presse, il revendique ainsi une visibilité et un examen en continu des privilèges utilisés dans le cadre des interactions entre comptes d’utilisateurs ou de services, et les hôtes. Et cela non pas en fonction de privilèges attribués, mais de privilèges dits observés, à savoir déduits de l’observation des comportements, en « notant » leur dangerosité ainsi qu’un niveau de conviction. Pour Vectra, il s’agit de permettre aux équipes de sécurité de pouvoir réagir plus rapidement « à l’utilisation malicieuse de privilèges dans les environnements cloud et hybrides ».
Dans la fiche technique de cette nouvelle fonctionnalité, Vectra donne un exemple : « un administrateur de domaine peut avoir les droits d’accès à n’importe quel système de l’ensemble du réseau. Mais il ne le fait probablement pas de manière régulière. Dès lors son niveau de privilège observé peut être inférieur à celui d’un compte de service utilisé pour déployer des mises à jour de logiciels sur des milliers de systèmes du réseau ».
Cette nouvelle fonctionnalité est accessible aux utilisateurs du module Detect de la plateforme Cognito de Vectra, dans l’onglet Comptes. Mais elle est également mise à profit pour enrichir les métadonnées de trafic réseau disponibles via Cognito Stream, au format Bro/Zeek, ou au sein du module Recall, présenté au printemps 2018 et conçu pour permettre aux analystes de conduire des investigations complètes.
Cette extension du périmètre d’applications des capacités de détection d’anomalies de Cognito n’est toutefois pas surprenante. De fait, elle s’inscrit dans la continuité des efforts réalisés régulièrement par Vectra au cours des dernières années. Et l’on pense en particulier à l’intégration avec les outils de Carbon Black et de CrowdStrike, annoncée, pour cette dernière, début 2018.