beebright - stock.adobe.com
Arista Networks s’invite dans l’analyse du trafic réseau
L’équipementier vient d’annoncer le rachat de la jeune pousse Awake Security qui développe depuis 2014 une plateforme de détection des menaces au cœur du trafic réseau.
Arista Networks vient d’annoncer le rachat d’Awake Security, un spécialiste de la détection des menaces dans le système d’information à partir de la collecte et de l’analyse en profondeur du trafic réseau.
La plateforme développée par Awake Security depuis l’automne 2014 peut rappeler celles de LightCyber, racheté par Palo Alto Networks, de Niara, racheté par HPE, ou encore de Darktrace et de Vectra.
La plateforme d’Awake Security s’appuie sur plusieurs briques. La première, EntityIQ, joue le rôle de moteur de recherche chargé de la collecte d’informations sur l’environnement, à partir par exemple de l’interface Tap ou Span d’un commutateur de cœur de réseau – sans agent, donc. Là, il s’agit d’identifier les hôtes impliqués, le type de trafic, les destinations, etc. Mais également de caractériser les relations entre les hôtes et leur comportement.
La seconde brique est un langage qui permet de lancer des requêtes sur toutes ces données, visant à exprimer les tactiques, techniques et procédures des assaillants. De quoi aller au-delà des simples indicateurs de compromission, nous expliquait Rudolph Araujo, vice-président d’Awake Security en charge du marketing, en juillet 2018.
La troisième brique, DetectIQ, « permet d’identifier les activités malicieuses sur l’environnement, sans qu’elles impliquent de logiciel malveillant, comme les requêtes PowerShell sur un contrôleur de domaine, les détournements d’identifiants, etc. », détaillait-il alors.
Pour cela, la plateforme d’Awake Security s’appuie, au moins figurativement, sur un calque de TTPs posé sur le trafic réseau analysé, ou plutôt un graphe relationnel qui en aura été déduit. Et cela notamment en référence à l’incontournable framework ATT&CK du Mitre. Des flux de renseignement sur les menaces peuvent être ingérés pour accompagner l’analyste dans son travail.
Avec cette approche, Rudlph Araujo estimait que la plateforme d’Awake Security pouvait afficher une différence par rapport à celles développées par les autres spécialistes de l’analyse comportementale appliquée au trafic réseau (NTA, network trafic analysis) : les anomalies comportementales peuvent être détectées, mais la détection des menaces peut commencer avant que ne soient pleinement établis les modèles comportementaux des hôtes de l’infrastructure – ce qui nécessite temps et apprentissage.
Dans un billet de blog, Jayshree Ullal, la PDG d’Arista Networks justifie cette entrée sur le terrain de la NTA en expliquant que « les opérateurs sont responsables pour détecter, enquêter et remédier aux brèches potentielles avant qu’elles ne se traduisent par des dommages aux marques, aux clients, à leurs finances ou à leur propriété intellectuelle ».
Surtout, « les menaces se moquent du périmètre et les frontières de confiance qui s’étendent du poste client et au cloud en passant par le campus. La capacité à distinguer les schémas de données est essentielle pour construire des espaces de travail cognitifs, et cela ne peut être fait qu’en utilisant la sécurité comme un outil proactif ». Et de revendiquer une importante complémentarité entre la plateforme d’Awake Security des produits d’Arista tels que Campus Flow Tracker.
Les conditions financières de l’opération n’ont pas été communiquées.