MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
ExtraHop® annonce Reveal (x)TM Summer 2018 qui marque une nouvelle étape dans l’analyse du trafic réseau à l’échelle de l’entreprise. Cette dernière version présente de nouvelles fonctionnalités, conçues pour moderniser les opérations de sécurité des entreprises avec l’analyse du comportement des actifs critiques qui fait émerger instantanément les menaces à risques les plus élevés, y compris celles qui se cachent dans le trafic crypté. Grâce à ces renseignements parfaitement fidèles, les équipes en charge des opérations de sécurité peuvent se concentrer sur les filtres de menaces critiques et examiner les causes profondes en quelques secondes, là où il fallait parfois plusieurs jours.
Entre 2017 et 2018, la durée de vie de la menace dans l’entreprise est montée à 101 jours, selon le rapport M-Trends 2018 de FireEye. Le rapport Verizon Data Breach Investigations souligne que « dans de nombreux cas, la violation n’est pas repérée par l’entreprise elle-même, mais souvent par une tierce partie comme une instance judiciaire ou un partenaire. Pire encore, de nombreuses violations sont repérées par les clients. »
La version Reveal (x) Summer 2018 réduit considérablement la durée d’une menace en mettant en exergue l’activité de la dernière phase de l’attaque, mettant en lumière le « darkspace » de l’entreprise - ces zones du réseau difficiles d’accès dans le cas de circulation est-ouest. Reveal (x) fournit une visibilité en temps réel et un aperçu très fidèle des menaces qui visent les actifs critiques dans les entreprises hybrides, grâce à une analyse complète du trafic réseau. La nouvelle organisation des titres du tableau de bord accorde la priorité à la rapidité et à la précision. Les incendies allumés par les « fake news » en provenance d’autres outils sont éliminés en mettant en corrélation les détections des risques majeurs avec les renseignements de « threat intelligence » externes et sectoriels. Parmi les nouvelles fonctionnalités clés de la version Summer 2018, citons :
Le support de TLS 1.3 : En 2017, 41% des cyberattaques1 utilisaient le cryptage pour échapper à la détection. La détection des menaces dans le trafic crypté est d’autant plus critique. Dans sa dernière version, Reveal (x) est la seule solution qui offre un décryptage hors bande jusqu’à 100 Gbps et supporte les exigences du nouveau protocole TLS 1.3 ainsi que le décryptage de confidentialité persistante (PFS).
Le décryptage pour enquête : Respecter la vie privée devient facile maintenant que les chasseurs de menaces et les enquêteurs ‘forensic’ peuvent disposer de droits pour examiner les paquets suspects (contenus et informations utilisateurs compris) pour obtenir des preuves recevables, tandis que les autres analystes ne voient que les détections et les aperçus de métadonnées provenant du trafic décrypté.
La détection d’une escalade des privilèges réseau : Reveal (x) identifie les changements de comportement, indiquant qu’un pirate a compromis un périphérique, utilise des droits d’accès privilégiés pour explorer et attaquer l’entreprise. Reveal (x) reconnaît désormais automatiquement une tentative d’escalade sur les actifs critiques à partir des changements de comportement, de commande et d’utilisation de protocole. Ceci permet aux équipes de sécurité de détecter les attaques en cours et de les contenir avant que des dommages ne soient causés.
La détection des anomalies par comparaison : Pour évaluer avec plus de précision les comportements anormaux, Reveal (x) corrèle désormais automatiquement le comportement du périphérique avec celui de périphériques comparables, en exploitant la découverte automatique et la classification des actifs critiques. Cette solide validation des anomalies affine la détection de menaces internes et de compromissions d’hôtes et enrichit les workflows de recherche de Reveal (x) avec un contexte d’actifs critiques qui aide les responsables de la sécurité à collaborer avec les équipes informatiques contrôlant les terminaux et les data centers.
L’intégration des flux sur les menaces : La nouvelle version intègre des renseignements sur les menaces - URI, hôtes ou adresses IP suspects - en format STIX (Structured Threat Information Expression) et met en évidence des corrélations avec les détections provenant du trafic réseau. Les équipes SecOps peuvent utiliser les flux STIX dans Reveal (x) et un flux secondaire peut être ajouté pour approfondir les informations. Les analystes peuvent s’intéresser à des détails dans le flux de travail via un accès facile aux données enrichies et retracer plus aisément les interactions des attaques impliquant des acteurs externes, y compris les activités de Command and Control et d’exfiltration.
Intégration de tierces parties : Les équipes opérationnelles de sécurité doivent travailler en coopération avec d’autres équipes informatiques de l’entreprise et utiliser leurs outils pour évaluer, mesurer la portée, juguler et effectuer la mitigation, dans les processus approuvés. Les API REST d’ExtraHop fournissent des intégrations formelles pour une interaction automatisée avec les plateformes de Threat Intelligence, d’investigation et de réponse les plus performantes du marché, notamment Anomali, Palo Alto Networks, Phantom, ServiceNow et Splunk. Ces intégrations bidirectionnelles injectent des informations Reveal (x) et des données filaires permanentes dans d’autres outils et permettent à Reveal (x) d’interagir dans le cadre de workflows d’investigation et de réponse, y compris les paquets pour une analyse forensique.
« Aujourd’hui, les auteurs des menaces profitent de vastes surfaces d’attaque qui s’étendent à tous les points terminaux et qui vont de la filiale au data center ou au cloud. Et ils passent souvent inaperçus », souligne Jesse Rothstein, CTO et cofondateur d’ExtraHop. « Nous avons passé des années chez ExtraHop à développer une technologie capable d’analyser l’ensemble du réseau en temps réel - chaque actif critique et chaque transaction de sorte qu’il n’y ait pas d’angle mort. Avec Reveal (x) Summer 2018, nous avons appliqué cette expertise approfondie aux opérations de sécurité, en comblant le manque de visibilité et en faisant ressortir des informations précises et ciblées qui permettent aux équipes SecOps d’agir rapidement et en toute confiance. »
« Les centres d’opérations de sécurité - les SOC - gèrent les activités de sécurité, en maintenant la fiabilité de l’infrastructure de sécurité, en triant les événements et les alertes informationnels critiques et en travaillant avec l’organisation informatique pour résoudre les problèmes de sécurité », explique Eric Ogren, analyste senior chez 451 Research. « L’analyse du trafic réseau est appelée à jouer un rôle central dans la modernisation des opérations de sécurité. ExtraHop Reveal (x) est un pionnier sur ce segment de marché émergent avec la capacité de fournir une large visibilité du réseau, la priorisation des actifs critiques et des analyses comportementales avancées pour réduire et potentiellement éliminer le « dark space » dans l’entreprise. »
