buchachon - Fotolia
Vectra Networks ajoute du contexte avec le renseignement sur les menaces
Son moteur d’analyse pourra assure un premier niveau de corrélation automatique autre anomalies détectées et menaces connues afin d’accélérer le travail des analystes dans la contextualisation des incidents.
Vectra vient de décider de donner un coup de pouce aux analystes s’appuyant sur son moteur Cognito pour la recherche d’anomalies au sein des flux réseau : ses utilisateurs vont pouvoir l’alimenter de flux de renseignements sur les menaces et d’indicateurs de compromission (IoC), « sectoriels et locaux », au format STIX 1.2.
Pour mémoire, Cognito étudie le comportement des hôtes, et s’appuie ensuite sur des algorithmes d’apprentissage automatique pour déceler les attaques dites actives, à savoir durant les phases de reconnaissance interne, de mouvement latéral, d’acquisition ou d’extraction de données.
Et les IoC n’ont pas là vocation à l’aider. En fait, il s’agit surtout d’associer des éléments de contexte connus à des anomalies détectées par les algorithmes de Cognito, en plus d’un score de risque « qui facilite la hiérarchisation de la réponse ». Pour celle-ci, Vectra a d’ailleurs récemment annoncé miser sur l’intégration avec la plateforme d’orchestration de Phantom.
Mais Vectra a commencé à regarder au-delà du seul trafic réseau générique. L’équipementier s’est intéressé aux points de terminaison en nouant avec partenariat avec Carbon Black. Mais il accorde aussi désormais une attention toute particulière aux contrôleurs Active Directory.
De fait, Cognito est désormais doté d’algorithmes dédiés à la détection de comportements d’attaque visant les protocoles LDAP et Kerberos. Et ce n’est pas un luxe… Lors du Forum International de la Cybersécurité (FIC), fin janvier dernier à Lille, un membre de la red team de BlueCyForce, confessait qu’il n’est pas rare de découvrir, en entreprise, des serveurs AD autorisés à communiquer directement avec l’extérieur.
La dimension critique de ces serveurs n’a pas échappé à plusieurs acteurs, comme Skyport, qui mise sur une architecture validée et contrôlée à tous les étages pour enfermer les applications dans des enclaves hautement sécurisées : son premier cas d’usage n’était autre que les serveurs AD.
Mais il faut aussi compter avec le français Alsid, qui a remporté cette année le prix de l’innovation et du public des Assises de la Sécurité. Créée en 2016 par deux anciens de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), cette jeune pousse s’est fait une spécialité de la surveillance en continu de la conformité de l’infrastructure Activez Directory, pour ne rien rater, donc, de son cycle de vie.
Dernière nouveauté apportée par Vectra à Cognito, une fonction de création de liens de partage à durée limitée vers des pages de détection et d’hôtes spécifiques : cette fonction vise à accélérer les échanges entre les équipes de sécurité et des tiers susceptibles de pouvoir apporter un éclairage sur la situation ou une aide pour la remédiation.