Warakorn - Fotolia

Aperçu de la plateforme de détection et réaction de Cybereason

L’expert Dan Sullivan examine la manière dont la plateforme de Cybereason utilise l’analyse Big Data pour identifier les événements malicieux et mieux sécuriser les entreprises.

L’analyse Big Data s’appuie sur un ensemble de technologies permettant aux organisations de collecter et d’intégrer de vastes volumes de données, avant de les traiter pour discerner des anomalies et, partant, déclencher des activités d’investigation et de correction. L’intégration des données constitue l’une des principales difficultés de ces projets. Comment, par exemple, déterminer si deux événements en apparence bénins ne sont pas en fait liés à une activité malicieuse ?

Ce type d’analyse particulièrement complexe fut, jusqu’à récemment, le domaine exclusif d’experts en investigation hautement expérimentés. Désormais, les avancées de l’apprentissage automatique et de la statistique permettent d’automatiser certains aspects de l’intégraton de données de sécurité.

La plateforme de Cybereason met à profit un moteur d’analyse Big Data pour effectuer des tâches telles que l’analyse comportementale de menaces potentielles. Cybereason utilisent plusieurs méthodes d’intégration de données pour identifier et corréler les événements malicieux et aider les entreprises à mieux sécuriser leur infrastructure.

Des agents pour la collecte des données

La plateforme analytique de Cybereason utilise des agents collecteurs qui s’exécutent dans l’environnement utilisateur du systèmes d’exploitation des points de terminaison. En évitant le recours à des privilèges élevés, du niveau du noyau, ces agents limitent leur impact sur les performances du terminal – 1 à 3 % d’utilisation CPU – et sur sa posture de sécurité. Les agents collectent un vaste éventail de données : traces d’accès aux fichiers, activités des processus, changements de configuration et événements réseau. Les données sont stockées dans une base de données centralisée, en mode graphe, et directement en mémoire vive. De quoi offrir performances d’analyse élevées et la flexibilité nécessaire pour supporter la modélisation d’entités de natures variées, et aux relations diverses.

Techniques de détection

 La plateforme d’analyse Big Data utilise trois classes de techniques de détection : renseignement sur les menaces, culpabilité par association, et apprentissage automatique.

Le renseignement sur les menaces est utilisé pour détecter les activités et logiciels malveillants connus, comme les communications avec des adresses IP utilisées par des acteurs malicieux. La seconde technique, basée sur les interactions d’événements et processus avec des processus connus comme malveillants, est un bon indicateur d’opérations malicieuses. Cette heuristique, connue sous l’expression coupable par association, permet d’étendre la liste d’agents et logiciels malveillants connus. Par exemple, si une adresse IP malicieuse établit une session sur un port qui n’est pas généralement utilisé par des protocoles légitimes, le logiciel peut lister ce port comme malicieux. Enfin, les techniques d’apprentissage automatique sont utilisées pour développer des mécanismes de classification capables de distinguer les événements normaux de ceux qui sont anormaux voire potentiellement malicieux.

Le composant analytique Big Data, le moteur Malop (pour malicious operations) Hunting Engine, est au cœur de la plateforme de Cybereason. Il assure la collecte en temps réel des données générées par les agents installés sur les points de terminaison. Ces données sont signées et stockées pour alimenter les modèles d’analyse comportementale.

Interface

Toutes les données collectées et analysées sont accessibles aux professionnels de la sécurité via une interface centralisée à partir de laquelle ils peuvent conduire leurs investigations.

Cette interface est conçue pour tirer profit des compétences de professionnels non-experts. Ceux-ci sont susceptibles de ne pas avoir les connaissances de leurs collègues expérimentés, mais la plateforme vise à les décharger de certains aspects de la collecte et de l’analyse de données.

Baptisée Incident Response Console, cette interface est conçue pour permettre une navigation facile dans les cinq dimensions d’une attaque : la chronologie, la cause initiale, l’activité de l’adversaire, communications, et utilisateurs et terminaux affectés. En plus des données principales de l’attaque, la console peut intégrer des éléments contextuels relatifs aux événements.

Conclusion

La plateforme analytique de Cybereason se concentre sur la détection automatique d’activités malicieuses, l’industrialisation de l’analyse et des investigations, et l’aide à la collaboration entre professionnels de la sécurité. Cette plateforme est bien adaptée aux grandes et moyennes entreprises, ainsi que celles aux besoins de sécurité informatique élevés. La combinaison de multiples techniques de détection permet de contenir les faiblesses inhérentes à chaque technique unique. Pour les déploiements à grande échelle, consulter un partenaire Cybereason peut s’avérer judicieux.  

Adapté de l’anglais.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)