Selon le rapport 2015 sur les violations de données de Verizon[1], 60 % des organisations victimes d’une attaque l’ont été en l’espace de quelques minutes, mais la plupart d’entre elles ont mis nettement plus longtemps à détecter l’intrusion. LogRhythm, spécialiste de la Security Intelligence, permet aujourd’hui aux organisations de détecter plus rapidement les intrus au niveau des points d’accès potentiels avec le lancement de Endpoint Threat Analytics. Avec l’intégration de ce nouveau module, la suite Holistic Threat Analytics est capable de détecter toute anomalie comportementale au niveau des points de terminaison et utilise de nouvelles techniques d’analyse automatique afin d’identifier les systèmes victimes d’attaques « zero-day » et de malwares personnalisés. Le module Endpoint Threat Analytics, combiné aux modules d’analyse des menaces réseaux et utilisateurs de LogRhythm, offre aux organisations une visibilité holistique des menaces et intrusions à travers l’ensemble de la surface d’attaque.
De nombreuses violations débutent par l’intrusion d’un pirate informatique au niveau d’un point de terminaison grâce à une technique de phishing ciblé. Une fois à l’intérieur du réseau, le hacker peut alors s’introduire dans d’autres systèmes et accéder aux comptes utilisateurs. Dans beaucoup de cas, des centaines de systèmes et comptes utilisateurs seront piratés avant même qu’une violation de données n’ait lieu. Cependant, comme l’indique le rapport de Verizon, même lorsque l’intrusion est généralisée, la plupart des organisations ne disposent pas des outils leur permettant de détecter rapidement les activités d’un hacker expérimenté opérant au sein de leur environnement.
La suite Holistic Threat Analytics de LogRhythm détecte les menaces avancées en étant capable d’identifier une grande variété de comportements anormaux dans l’intégralité de l’environnement IT. Cette approche offre une visibilité holistique de l’activité des intrus potentiels dès qu’un comportement anormal est repéré, tel que la tentative de piratage des points de terminaison, des applications ou encore des comptes utilisateurs.
La suite Holistic Threat Analystics de LogRhythm est composée de trois modules d’analyse pouvant être déployés conjointement ou de façon individuelle selon les besoins du client en matière de détection des menaces, et en fonction du niveau de risque global :
Le nouveau module Endpoint Threat Analytics exploite le capteur du System Monitor de LogRhythm afin d’acquérir des données forensic en temps réel et de bénéficier d’une visibilité totale de l’activité au niveau des points de terminaison. Ce module détecte des menaces telles que des intrusions par malware personnalisé, les activités suspicieuses au niveau des processus et des utilisateurs, ainsi que les exfiltrations de données locales.
Le module User Threat Analytics offre une plus grande visibilité de l’activité des utilisateurs et détecte les attaques sur des comptes ainsi que les autres activités utilisateurs suspicieuses, y compris les menaces internes.
Le module Network Threat Analytics exploite le capteur du Network Monitor de LogRhythm afin de générer en temps réel des données SmartFlow de couche 7, offrant ainsi une visibilité accrue des communications réseaux au niveau des applications. Ce module identifie les menaces telles que les attaques « zero-day » à distance, les scans et les balayages internes, les communications suspicieuses au niveau des applications ainsi que les exfiltrations de données basées sur le réseau.
Ces modules reposent sur la technologie brevetée AI Engine de LogRhythm, qui applique l’apprentissage automatique et autres techniques d’analyse aux données machine et log hautement contextualisées. Lorsque les trois modules sont installés, les clients peuvent corréler les menaces avancées sur toute la surface d’attaque holistique, renforçant ainsi leur capacité d’analyse et de détection des attaques.
« Une intrusion n’aboutit pas forcément à une violation de données si vous parvenez à détecter l’intrus au début du cycle de vie de la menace et à limiter la durée de son action, déclare Jon Oltsik, Senior Principal Analyst au sein d’Enterprise Strategy Group. La suite Holistic Threat Analytics, enrichie avec la capacité de détecter les comportements anormaux au niveau des points de terminaison, offre l’approche globale nécessaire pour repérer et arrêter les hackers avant qu’ils ne parviennent à opérer un vol de données préjudiciable. »
« Les auteurs de menaces avancées exploitent tous les angles possibles afin de pouvoir s’immiscer dans leur environnement cible, et rares sont ceux qui échouent, déclare Chris Petersen, Directeur de la technologie, premier Vice-président des produits et cofondateur de LogRhythm. Pour être sûres de détecter immédiatement chaque intrusion, les organisations doivent disposer d’une parfaite visibilité de tous les vecteurs d’entrée possibles et des points ayant déjà été attaqués. Pour ce faire, il est primordial qu’elles analysent en permanence les changements de comportements au niveau des comptes clients, du réseau et des points de terminaison. »
La suite Holistic Threat Analytics de LogRhythm, à présent dotée des modules User Threat Analytics, Network Threat Analytics et du nouveau Endpoint Threat Analytics, ainsi que les services de support technique de LogRhythm, sont disponibles dès aujourd’hui pour tous les clients de LogRhythm.
[1] Data Breach Investigation Report - DBIR
De nombreuses violations débutent par l’intrusion d’un pirate informatique au niveau d’un point de terminaison grâce à une technique de phishing ciblé. Une fois à l’intérieur du réseau, le hacker peut alors s’introduire dans d’autres systèmes et accéder aux comptes utilisateurs. Dans beaucoup de cas, des centaines de systèmes et comptes utilisateurs seront piratés avant même qu’une violation de données n’ait lieu. Cependant, comme l’indique le rapport de Verizon, même lorsque l’intrusion est généralisée, la plupart des organisations ne disposent pas des outils leur permettant de détecter rapidement les activités d’un hacker expérimenté opérant au sein de leur environnement.
La suite Holistic Threat Analytics de LogRhythm détecte les menaces avancées en étant capable d’identifier une grande variété de comportements anormaux dans l’intégralité de l’environnement IT. Cette approche offre une visibilité holistique de l’activité des intrus potentiels dès qu’un comportement anormal est repéré, tel que la tentative de piratage des points de terminaison, des applications ou encore des comptes utilisateurs.
La suite Holistic Threat Analystics de LogRhythm est composée de trois modules d’analyse pouvant être déployés conjointement ou de façon individuelle selon les besoins du client en matière de détection des menaces, et en fonction du niveau de risque global :
Le nouveau module Endpoint Threat Analytics exploite le capteur du System Monitor de LogRhythm afin d’acquérir des données forensic en temps réel et de bénéficier d’une visibilité totale de l’activité au niveau des points de terminaison. Ce module détecte des menaces telles que des intrusions par malware personnalisé, les activités suspicieuses au niveau des processus et des utilisateurs, ainsi que les exfiltrations de données locales.
Le module User Threat Analytics offre une plus grande visibilité de l’activité des utilisateurs et détecte les attaques sur des comptes ainsi que les autres activités utilisateurs suspicieuses, y compris les menaces internes.
Le module Network Threat Analytics exploite le capteur du Network Monitor de LogRhythm afin de générer en temps réel des données SmartFlow de couche 7, offrant ainsi une visibilité accrue des communications réseaux au niveau des applications. Ce module identifie les menaces telles que les attaques « zero-day » à distance, les scans et les balayages internes, les communications suspicieuses au niveau des applications ainsi que les exfiltrations de données basées sur le réseau.
Ces modules reposent sur la technologie brevetée AI Engine de LogRhythm, qui applique l’apprentissage automatique et autres techniques d’analyse aux données machine et log hautement contextualisées. Lorsque les trois modules sont installés, les clients peuvent corréler les menaces avancées sur toute la surface d’attaque holistique, renforçant ainsi leur capacité d’analyse et de détection des attaques.
« Une intrusion n’aboutit pas forcément à une violation de données si vous parvenez à détecter l’intrus au début du cycle de vie de la menace et à limiter la durée de son action, déclare Jon Oltsik, Senior Principal Analyst au sein d’Enterprise Strategy Group. La suite Holistic Threat Analytics, enrichie avec la capacité de détecter les comportements anormaux au niveau des points de terminaison, offre l’approche globale nécessaire pour repérer et arrêter les hackers avant qu’ils ne parviennent à opérer un vol de données préjudiciable. »
« Les auteurs de menaces avancées exploitent tous les angles possibles afin de pouvoir s’immiscer dans leur environnement cible, et rares sont ceux qui échouent, déclare Chris Petersen, Directeur de la technologie, premier Vice-président des produits et cofondateur de LogRhythm. Pour être sûres de détecter immédiatement chaque intrusion, les organisations doivent disposer d’une parfaite visibilité de tous les vecteurs d’entrée possibles et des points ayant déjà été attaqués. Pour ce faire, il est primordial qu’elles analysent en permanence les changements de comportements au niveau des comptes clients, du réseau et des points de terminaison. »
La suite Holistic Threat Analytics de LogRhythm, à présent dotée des modules User Threat Analytics, Network Threat Analytics et du nouveau Endpoint Threat Analytics, ainsi que les services de support technique de LogRhythm, sont disponibles dès aujourd’hui pour tous les clients de LogRhythm.
[1] Data Breach Investigation Report - DBIR
Autres articles
-
L’avènement de la Security Intelligence
-
LogRhythm obtient un brevet pour son moteur d’analyse avancé Advanced Intelligence Engine
-
Le Big Data dans le SIEM* : matraquage publicitaire ou réel atout ?
-
Logrhythm lance le tout premier outil SIEM d'analyse comportementale multidimensionnelle pour gros volumes de données