Alors que la nouvelle réalité des dangers continus de la cyberguerre s'installe progressivement, les organisations du monde entier s'efforcent de renforcer leurs défenses. La plupart des cyberattaques sont bloquées par des mesures de protection préventives. Cependant, les attaquants très motivés ont tendance à trouver des moyens de franchir ces défenses.
Les acteurs étatiques (APT) utilisent parfois leur accès pour exploiter de nouvelles vulnérabilités (zero-days). Ils disposent de vastes ressources et peuvent faire de l'ingénierie sociale ou même accéder physiquement à leurs cibles. Les groupes cybercriminels organisés, quant à eux, peuvent essayer de s'appuyer sur des initiés au sein des organisations qu'ils ciblent pour monter leurs attaques.
Quel que soit l'acteur de la menace, le comportement des attaquants est similaire.
Lorsqu'un attaquant a réussi à prendre pied dans l'environnement cible, il est essentiel de le détecter avant qu'il ne compromette l'ensemble du système. Toute attaque commence par une compromission initiale, à l'issue de laquelle l'attaquant a probablement atteint les objectifs suivants :
- a obtenu la capacité de "vivre de la terre" dans un ou plusieurs dispositifs ou services au sein de l'environnement ;
- a eu accès à des informations d'identification valides ;
- ont échappé aux mesures défensives telles que la gestion de l'identité, les pare-feu, les IDS, les logiciels antivirus et même les solutions EDR ;
- ont commencé à progresser vers leurs objectifs ultimes en exécutant leur "chaîne de destruction cybernétique".
En fonction de l'organisation cible et de l'attaquant en question, l'objectif final peut être le suivant :
- le sabotage sous une forme ou une autre ;
- l'espionnage, le cryptage et/ou l'exfiltration de données ;
- voler des ressources ou commettre des fraudes.
Cependant, avant que l'attaquant ne puisse atteindre cette finalité, il doit invariablement - quels que soient ses objectifs - prendre les mesures suivantes pour atteindre son but :
- assurer la persistance dans l'environnement ;
- sécuriser une connexion à distance (C2) avec l'environnement ;
- effectuer une reconnaissance ;
- d'escalader les privilèges d'accès ;
- progresser latéralement vers les biens/données de grande valeur ciblés.
Les attaquants tentent évidemment de faire tout ce qui précède tout en échappant aux défenses et à la détection. Mais de telles actions le long de la chaîne d'exécution créent des activités à travers le réseau - qu'il s'agisse d'un réseau physique, cloud, ou virtuel.
L'IA a prouvé sa capacité à détecter les activités malveillantes à grande échelle et en temps réel.
Si les activités des attaquants sont difficiles à détecter et à distinguer des activités régulières et sûres, l'intelligence artificielle (IA) s'est avérée être un bon outil pour y parvenir - à grande échelle et en temps réel. Vectra AI y parvient en observant le réseau pour y déceler des modèles de comportement des attaquants - sur la base d'étapes individuelles ainsi que de la progression globale de l'attaque. Contrairement à d'autres solutions de cyberdéfense, Vectra peut mettre en évidence les attaquants en détectant ce qu'ils font sur les réseaux et les systèmes - non seulement en détectant des outils, des signatures, des IOC ou des anomalies, mais aussi leur comportement concret.
Vectra le fait à travers les réseaux sur site et cloud (IaaS, SaaS et PaaS), en s'appuyant sur l'apprentissage automatique et l'IA brevetés et conçus à cet effet - couvrant 97 % des techniques basées sur le réseau de MITRE ATT@CK.
Si vous souhaitez en savoir plus, contactez-nous et nous vous montrerons comment nous procédons et ce que vous pouvez faire. Nous pouvons également vous mettre en contact avec l'un de nos clients pour qu'il nous fasse part de son expérience avec notre solution.