Darktrace renforce sa solution de détection d’anomalies, avec une pensée pour les analystes
La quatrième version de sa plateforme d’analyse du trafic réseau et de détection d’anomalies embarque un outil d’automatisation des investigations. Elle affine également les capacités de configuration d’Antigena, notamment.
Quasiment deux ans, jour pour jour, Darktrace vient de présenter la nouvelle version de sa solution de détection d’anomalies par analyse du trafic réseau (NTA) – en environnement physique, virtualisé ou cloud –, son Enterprise Immune System.
La première nouveauté est appelée Cyber AI Analyst. Darktrace décrit une fonctionnalité dont il revendique qu’elle doit permettre de réduire les délais de triage d’alertes d’un maximum de 92 %. Fruit de trois ans de recherche et développement, cette fonctionnalité met à profit des algorithmes d’apprentissage automatique – supervisé et non supervisé – , le deep learning, et l’expérience acquise à partir de la base installée de Darktrace. Dans la pratique, il s’agit d’automatiser les principales tâches d’investigation sur les incidents, jusqu’à la production de recommandations de remédiation, pour enfin présenter l’ensemble d’une manière qui se veut accessible aux décideurs dans l’entreprise, au-delà des plus techniques.
Les revendications de Darktrace avec son Cyber AI Analyst ne sont pas sans rappeler celles d’autres acteurs, comme Jask, Exabeam, Siemplify ou encore SecBI : il ne s’agit pas d’épauler les analystes à grands renforts d’automatisation à base de scripts et autres playbooks, mais à partir de technologies d’intelligence artificielle.
Chez Darktrace, l’automatisation c’est également Antigena, une solution de riposte automatique aux attaques en phase active. Lancée au printemps 2017, elle est arrivée en version 2 l’an dernier. Avec la version 4 de l’Enterprise Immune System de Darktrace, Antigena gagne des contrôles plus granulaires sur les actions à prendre, notamment au niveau des équipements réseau, mais également des systèmes de messagerie.
La plateforme de Darktrace supporte désormais la surveillance du trafic réseau avec AWS VPC Traffic Mirroring et les vTAP d’Azure. Le support des environnements Docker et Kubernetes est également amélioré, Darktrace revendiquant de meilleures capacités de modélisation des conteneurs individuels et les traitements éphémères.
En toute logique, l’application mobile de Darktrace profite d’une mise à jour pour supporter les nouveaux rapports générés par Cyber AI Analyst. Mais elle se dote également de notification push en temps réel et d’une configuration simplifiée. Darktrace revendique en outre l’apport de nouveaux rapports devant aider à la communication entre les équipes de sécurité et les directions – ils ont été établis à partir des retours d’expérience de la base installée.
Enfin, Darktrace annonce la possibilité d’injecter les incidents identifiés par Enterprise Immune System dans un système de gestion de tickets ServiceNow, pour ensuite basculer dans son module de visualisation de menaces afin de commencer directement à enquêter. Un tableau de bord est prévu pour la boutique applicative de ServiceNow.