A l’ère des capteurs et des réseaux , capter des données n’est plus un problème. Mais s’ils sont noyés dans un flot continu d’informations, les analystes cyber-sécurité ne parviennent pas à exploiter les données de manière efficace et peuvent passer à côté de leur objectif : détecter une cyber-attaque dès qu’elle apparaît !
Si une attaque n’est pas détectée rapidement, elle peut rester larvée dans les systèmes et créer de gros dégâts sur le long terme. C’est notamment le cas pour les APT. Les menaces persistantes avancées (Advanced Persistent Threats ou APT) sont des cyber-attaques apparues au cours des 10 dernières années. Plus insidieuses et plus dangereuses que les attaques classiques, elles représentent une importante menace pour les systèmes d’informations de part leurs caractéristiques : Elles sont ciblées, avancées, furtives et étalées dans le temps.
Dans le contexte de l’Apprentissage Machine qui offre la capacité de construire des Systèmes de Détection d’Anomalies (Anomaly Detection System ou ADS), les APTs sont un défi très intéressant, mais aussi très difficile, pour les ADS. En effet, les caractéristiques des APTs mentionnées précédemment obligent les systèmes d’apprentissage automatique à posséder, en plus des propriétés classiques des spécificités toute particulières.
Et un malware peut revêtir les memes attributs que des fichiers légitimes. Il peut aussi passer inaperçu dans des flux de trafic chiffré. Dès lors, pour pouvoir l’identifier et l’isoler, il faut d’avantage regarder son comportement. Et son comportement est à comparer avec le comportement normal du réseau. La cartographie des comportements normaux constitue les métadonnées issues du Machine learning.
LE RÉSEAU. INTUITIF.
Cisco Stealthwatch propose une nouvelle approche de la sécurité qui doit permettre de détecter tous types de menace (attaques DDoS, malware, ransomware, exfiltration de données) en se basant non plus sur des éléments connus (signature, virus, règles de filtrage, etc.) mais sur le comportement du réseau.
Car aucun réseau ne ressemble à un autre, Cisco Stealthwatch cartographie chaque réseau et chaque type d’éléments du réseau de manière unique et distincte.
La solution traque plusieurs types d’attribut (Echange TCP, temps de réponse serveur, round trip time, etc.) pour créer une base line, soit un “comportement de référence” différencié pour chaque équipement.
Les métadonnées ainsi collectées sont enrichies par des informations complémentaires issues de l’integration avec d’autres solutions (ISE, Anyconnect, Proxyweb, Firewall, etc..) de façon à obtenir une connaissance contextuelle de l’attaque au moment de l’investigation.
Stealthwatch intègre aussi une composante dédiée à la sécurité dans les environnements cloud public ou privé : Stealthwatch Cloud s’intègre aux environnements Amazon Web Services (AWS) et Microsoft Azure.
La solution embarque aussi la nouvelle fonctionnalité ETA (Encrypted Trafic Analysis) pouvant détecter des menaces de type malware ou zero-day qui pourraient transiter dans des flux chiffrés.