Détection automatique des cyber-attaques


Vectra_logo

La société américaine Vectra, fondée en 2012, est devenue le leader mondial dans l’utilisation de l’intelligence artificielle pour détecter des cyber-attaquants en temps-réel et repérer les menaces avant qu’elles ne fassent des dommages.

En s’appuyant sur l’intelligence artificielle, la plateforme Cognito Detect™ permet aux entreprises de détecter automatiquement les cyber-attaques cachées et offre aux équipes de sécurité des outils puissants afin de réaliser des investigations complètes sur les incidents. Pour cela, la solution mêle intelligence artificielle, data science, machine learning et analyse comportementale pour surveiller et analyser en continue le trafic réseau des entreprises, des data centers et des environnements cloud.

Les équipes de Vectra sont composées de chercheurs en menaces, « white hats », data scientists, ingénieurs sécurité et designers en interface utilisateur. L’équipe de vétérans en reverse engineering, développement d’exploit, et réponse sur incident, provient d’organisations de recherche en sécurité telles que IBM, eEye Digital Security, Juniper, ISS, et du département U.S. de la défense.

Le Vectra Threat Labs, qui créé les algorithmes de détection, opère à la croisée de la recherche en sécurité et de la science des données. Les chercheurs du laboratoire sélectionnent des phénomènes non expliqués dans les réseaux clients et creusent pour trouver les raisons sous-jacentes au comportement observé. Puis à partir de ces analyses, ils exploiteront des modèles mathématiques qui permettent de généraliser la détection d’une menace approchante dans un environnement client.

Rien que sur l’année 2018, Vectra a reçu plus d’une dizaine de recommandations et prix de la part de du secteur de la Sécurité pour sa technologie innovante.


SolutionS associées

Solution Vectra Cognito

Cognito Detect™ est la plate-forme de détection des menaces et d’aide à la résolution des incidents de Vectra®.

Description

La solution Cognito Detect assure une visibilité complète sur les comportements liés aux cyberattaques, que leur cible soit le cloud, les centres de données, les appareils connectés ou les terminaux des utilisateurs. Indépendamment de l’ampleur et de la distribution géographique des attaques, Cognito offre une couverture de détection homogène, sans angle mort, qui vise à ne laisser aucune chance aux cyberpirates.

Son rôle principal est d’automatiser la détection des attaques et l’évaluation du risque associé en limitant au maximum les faux positifs. Tout cela afin de pouvoir donner la capacité aux analystes et experts sécurité de se concentrer sur les incidents critiques et réels en ne les noyant pas dans un océan d’alertes.

Architecture

Cognito Detect possède un centre névralgique (« cerveau ») et de nombreux capteurs destinés à l’alimenter en données.

Le centre névralgique (Brain), exécuté sur une appliance physique, reçoit les données des capteurs (sensors).

Les capteurs sont facilement déployés sur des sites distants et sur les segments du réseau interne. A l’aide d’un TAP ou d’un port mirroring qui dupliquent le trafic, les capteurs peuvent effectuer une surveillance passive du trafic réseau, extraire les métadonnées importantes et les transmettre au cerveau dans un but d’analyse et de détection des menaces.

Les capteurs virtuels (vSensor) s’exécutent dans VMware ESXi, ce qui permet d’étendre très facilement la couverture de détection des menaces de Cognito à l’ensemble du réseau physique et aux centres de données virtualisés.

Capture d’écran 2020-07-29 à 21.26.32

Principe de détection des attaques

Grâce à sa technologie d’intelligence artificielle, Cognito analyse automatiquement les menaces, les trie, les corrèle et les classe par ordre de priorité. Toutes ces opérations sont exécutées en temps réel à l’échelle de l’entreprise, réduisant ainsi considérablement la charge des analystes en sécurité.

Les trois étapes principales de la phase automatisée de détection

Etape 1. Cognito détecte des comportements d’attaques unitaires et indépendants. Il associe un score de risque et de probabilité à chaque comportement détecté.
Quelques exemples de comportements détectés : Accès distant externe, Tunnel DNS dissimulé, peer-to-peer, activité Tor, scan de port, connexion RDP suspecte, attaque de mot de passe par force brute, client Kerberos suspect, etc….

Etape 2. Cognito donne un score de Sévérité à chaque machine. Ce score est dépendant des multiples comportements d’attaque qui vont lui être associés au fil du temps. Les comportements sont catégorisés par la phase d’attaque (Command&Control, Reconnaissance, Déplacement latéral, Exfiltration, etc…) à laquelle ils appartiennent. L’ensemble nous permet de connaitre rapidement l’état d’avancement de l’attaque et donc de savoir très rapidement les incidents à traiter en priorité.

Etape 3. Cognito va automatiquement rassembler plusieurs incidents de plusieurs machines différentes au sein d’une même « campagne » lorsqu’il estime que ces incidents ont un lien ensemblesont liés.

Il présente tout cela au sein d’un tableau de bord qui nous permettra de sélectionner en priorité les incidents les plus critiques.

Capture d’écran 2020-07-29 à 21.28.26

Une solution ouverte

La solution a été conçue dès le début afin d’être ouverte via des APIs et pouvoir interagir avec un grand nombre de partenaires. Cognito a déjà des intégrations avec de nombreuses solutions du marché telles que :

SIEM : Cognito met à disposition des apps pour Splunk, un content pack pour Arcsight, un DSM pour Qradar et des parseurs pour LogRhythm.

Orchestration : App pour les plateformes d’orchestration de la sécurité Phantom et Demisto permettant d’automatiser facilement la réponse sur incident.

Endpoint : Intégration avec Crowstrike et Carbon black pour enrichir Cognito avec des informations complémentaires en provenance des machines.

Virtualisation : Intégration avec Vmware pour récupérer des informations de contexte sur les machines hébergées sur l’hyperviseur.