Tierney - stock.adobe.com
Comment Infocyte veut rendre plus accessible la chasse aux menaces
La jeune pousse a développé une plateforme combinant agents locaux et analyse de journaux d’activité pour donner les moyens aux analystes de chercher aisément les menaces. Et cela à petit prix.
C’est au printemps 2014 que Christopher Gerritz et Ryan Morris se sont lancés dans l’aventure Infocyte. Avant cela, tous deux étaient passé par l’armée de l’air américaine. Christopher Gerritz y est resté une dizaine d’année, dont près de 4 au sein du Cert de l’US Air Force. Les deux associés ont joué là un rôle important dans la mise en place d’une équipe de chasse aux menaces.
Mais comme le souligne Curtis Hutcheson, patron d’Infocyte, l’activité était alors encore très largement manuelle. D’où la volonté de créer une plateforme visant à automatiser l’essentiel du travail pour permettre des chasses à grande échelle et, surtout, rendre cette activité accessible à un plus grand nombre d’organisations.
Baptisée Hunt, la plateforme d’Infocyte se concentre sur des activités très précisément définies : la recherche de mécanismes de persistance sur les hôtes, d’élévation de privilèges, de contournement des défenses, de vol d’identifiants, de reconnaissance, de déplacement latéral, de collecte et d’exfiltration de données, ou encore de commande et de contrôle.
Pour cela, la plateforme s’appuie sur la collecte de données de l’environnement à partir des hôtes, un point d’observation privilégié où, en particulier, « ce qui est caché dans un flux réseau chiffré devient visible », relève Curtis Hutcheson. Disponible pour Windows, Linux, et depuis peu macOS, l’agent peut être déployé à la demande de manière ponctuelle ou laissé en fonctionnement continu.
Mais la plateforme Hunt peut également être alimentée sans agent, à partir de journaux d’activité, tels que les logs des systèmes de sécurité réseau ou des serveurs. Une interconnexion avec AWS est en préparation ; il faut également compter avec un plugin pour Azure.
Au quotidien, la plateforme Hunt s’utilise via une interface Web, conçue pour les analystes – mais avec des capacités de génération de rapports pensées pour les RSSI. Le point d’entrée est une matrice des environnements surveillés. De là, il est possible d’accéder à l’ensemble des hôtes de l’environnement pour en constater l’état, mais également de générer des requêtes à la volée – certaines pouvant être planifiées.
En tout et pour tout, rien moins que 25 000 sources d’indicateurs potentiels sont collectées. De quoi se pencher sur les menaces identifiées selon de multiples angles, des communications réseau aux comptes utilisateurs compromis. Un algorithme d’apprentissage automatique, appelé Synapse, est mis à contribution pour produire un score de malveillance. Une matrice renseigne également sur l’étendue de la détection par les moteurs partenaires de Virus Total.
Les capacités de la plateforme d’Infocyte Hunt peuvent également être mises à profit pour découvrir les actifs de l’infrastructure ainsi que leur exposition potentielle à l’exploitation de vulnérabilités applicatives, liées en particulier à des correctifs non déployés.
Infocyte commercialise sa plateforme par le biais de partenaires, comme Check Point, mais également directement, à partir de 2 $ par mois et par nœud de l’infrastructure considérée.