Protéger les réseaux de l'enseignement supérieur contre les cybermenaces

L'enseignement supérieur est confronté à des cybermenaces importantes en raison de réseaux ouverts et de données de grande valeur

Selon The Privacy Rights Clearinghouse, l'enseignement supérieur se classe au deuxième rang, derrière le secteur médical, en ce qui concerne le nombre de violations de données.

L'un des principaux objectifs des établissements d'enseignement supérieur est de faciliter le libre échange d'informations. Par conséquent, les systèmes informatiques des campus sont relativement ouverts et prennent en charge des milliers d'utilisateurs autorisés, dont la plupart apportent leurs propres appareils sur le campus. Les étudiants (et de nombreux membres du personnel) ont tendance à adopter les applications et les technologies les plus récentes, à utiliser les médias sociaux et à partager de nombreux fichiers.

En outre, l'enseignement supérieur génère et recueille un large éventail de données auprès des étudiants, des enseignants, du personnel et des visiteurs. Il s'agit notamment d'informations personnelles identifiables (IPI) telles que les noms, les dates de naissance et les numéros de sécurité sociale ; de données financières relatives aux frais de scolarité et aux prêts étudiants ; d'informations de santé protégées (ISP) ; de données d'entreprise ; et de données opérationnelles, telles que les systèmes de gestion des notes et la recherche.

Avec leurs réseaux ouverts, leurs grands volumes de données et leur liberté d'accès, les établissements d'enseignement supérieur présentent une surface d'attaque étendue et poreuse qui les expose à une variété de cybermenaces et de risques. On estime qu'un établissement d'enseignement supérieur est victime d'une intrusion chaque semaine.

Les criminels organisés sont à l'origine de la plupart des violations, bien que des étudiants et d'autres parties attaquent parfois des institutions pour nuire à leur réputation ou mettre en évidence des faiblesses en matière de sécurité. En outre, des criminels organisés, des États-nations et des entreprises sans scrupules se livrent à l'espionnage international et industriel.

Les institutions de recherche ont une propriété intellectuelle considérable à braconner, comme des données qui pourraient conduire à un nouveau produit de grande valeur (par exemple, un nouveau médicament) ou qui ont une valeur significative pour les agences gouvernementales. Par exemple, le département d'ingénierie de l'université d'État de Pennsylvanie a été la cible d'une cyberattaque pluriannuelle liée à un acteur étranger qui cherchait à acquérir des travaux de recherche utilisés par la marine américaine. À un moment donné, l'attaque a paralysé le réseau de l'université pendant trois jours.

L'escalade des attaques pose de sérieux défis à l'enseignement supérieur. Le personnel chargé de la sécurité et des technologies de l'information est contraint de gérer des priorités essentielles qui se disputent le temps et les ressources. Les équipes de sécurité doivent à la fois rester à l'affût des cyberattaquants tout en maintenant un accès ouvert et en répondant à une série d'exigences réglementaires et de conformité.

Vectra AI offre aux établissements d'enseignement supérieur une nouvelle catégorie de solution de sécurité entièrement automatisée qui détecte les cyberattaquants à l'intérieur des réseaux en temps réel avant qu'ils n'infligent des dommages. Combinant la science des données, les techniques modernes d'apprentissage automatique et l'analyse comportementale basée sur l'intelligence artificielle, la plateforme de détection et de réponse automatisée aux menaces Vectra AI détecte chaque phase d'une cyberattaque en cours. Vectra AI renforce également le personnel de sécurité en fournissant une analyse et des renseignements automatisés de niveau 1 qui révèlent les comportements réels des attaques afin que les équipes de sécurité puissent agir rapidement au lieu de rechercher manuellement les menaces.

PRINCIPAUX FAITS MARQUANTS

• Avec leurs réseaux ouverts, leurs grands volumes de données et leur liberté d'accès, les établissements d'enseignement supérieur présentent une surface d'attaque étendue et poreuse qui les expose à une variété de cybermenaces et de risques. On estime qu'un établissement d'enseignement supérieur est victime d'une intrusion chaque semaine.
• Les équipes de sécurité informatique ont besoin d'un système de chasse aux menaces automatisé et en temps réel qui offre une visibilité sur l'ensemble du trafic et des appareils hôtes sur le réseau - y compris les appareils BYOD et IoT - et qui peut détecter toutes les phases d'une cyberattaque, telles que la communication C&C, la reconnaissance interne, le mouvement latéral et l'exfiltration.
• Grâce à l'intelligence artificielle qui combine de manière unique la science des données, l'apprentissage automatique et l'analyse comportementale, Cognito détecte toutes les phases d'une attaque, y compris la communication C&C, la reconnaissance interne, le mouvement latéral, l'exfiltration de données et la monétisation du réseau de zombies.

Les défis auxquels sont confrontés les établissements d'enseignement supérieur

Les campus de l'enseignement supérieur ressemblent à de petites villes, avec de nombreux étudiants vivant sur le campus, une variété de fournisseurs fournissant des services et de nombreux visiteurs. Cet environnement offre aux cyberattaquants de nombreux moyens d'infiltrer avec succès les réseaux de l'enseignement supérieur.

Dans une analyse récente des violations de données qui ont révélé des informations personnelles, le secteur de l'éducation a représenté 1,35 million d'identités exposées au cours d'une seule année civile.

Les institutions, grandes et petites, publiques et privées, ont été ciblées dans le monde entier. Par exemple, l'Université de Californie à Berkeley a signalé une violation majeure au début de l'année 2016 concernant les données financières de 80 000 étudiants, anciens étudiants, employés actuels et anciens, et fournisseurs dont les informations se trouvaient dans le système. Il s'agissait de la troisième violation de l'école en 18 mois.

L'Université de Floride centrale a également été victime d'une violation de données à grande échelle en 2016, qui a compromis les informations personnelles de quelque 63 000 étudiants, professeurs et membres du personnel, anciens et actuels. L'analyse médico-légale effectuée après la violation a montré que les attaquants cherchaient à collecter des numéros de sécurité sociale.

Parmi les institutions qui ont subi d'importantes violations en 2015 figurent l'université de Harvard, l'université de l'État de Washington, l'université Johns Hopkins, l'université du Connecticut et l'université de Virginie.

Les menaces les plus graves sont les suivantes :

• Les attaques persistantes qui s'infiltrent dans les réseaux pour voler ou endommager des données sensibles, notamment des informations confidentielles, des renseignements personnels et des données de cartes de paiement, ainsi que des données relatives à la propriété intellectuelle et à la recherche.
• Malwarey compris les ransomwares.
• Communication cachée de commande et de contrôle (C&C) par des attaquants distants.
• Les réseaux de zombies, les attaques de zombies et autres vecteurs de menace.

Les cyber-attaquants réussissent à infiltrer les réseaux de l'enseignement supérieur de diverses manières, notamment :

• Attaques directes contre les étudiants, les universitaires, les administrateurs, les employés et les actifs, y compris les appareils BYOD et IoT.
• Grâce aux smartphones et aux ordinateurs que les visiteurs apportent sur place.
• Par l'intermédiaire de fournisseurs tiers, tels que les services de restauration et les sociétés d'entretien, qui passent des contrats avec des établissements d'enseignement supérieur.

Les cyberattaques se poursuivront car elles sont lucratives pour les attaquants. Malheureusement, elles coûtent cher aux établissements d'enseignement supérieur, avec une moyenne de 225 dollars par dossier compromis, selon l'institut Ponemon.

Principaux vecteurs d'attaque

Un simple coup d'œil à certaines violations récentes montre l'ampleur des défis auxquels sont confrontés les établissements d'enseignement supérieur.

Phishing Les escroqueries se multiplient

Les établissements d'enseignement supérieur et les universités signalent une augmentation des incidents de type "spear-phishing ", dans lesquels les pirates envoient des courriels personnalisés, d'apparence légitime, contenant des liens ou des pièces jointes préjudiciables.

Par exemple, au début de l'année 2016, des employés actuels et anciens du Tidewater Community College (TCC) en Virginie se sont fait voler leurs informations personnelles dans le cadre d'une escroquerie à la saison des impôts ( phishing ). Un employé du service financier de l'établissement a reçu une demande provenant d'une fausse adresse électronique du TCC et demandant toutes les informations W-2 des employés.

Ne réalisant pas que l'e-mail était un faux, l'employé a répondu en fournissant des informations sensibles, notamment des noms, des revenus et des numéros de sécurité sociale. Par conséquent, au moins 16 employés de TCC ont signalé que de fausses déclarations d'impôts avaient été remplies sous leur numéro de sécurité sociale .

Attaques par ransomware

Pour les criminels, les rançongiciels constituent une attaque rapide et facile qui rapporte davantage que le vol d'informations confidentielles ou de cartes de crédit, qui perdent toutes deux de leur valeur au fil du temps. Les pirates utilisent de plus en plus les ransomwares pour verrouiller les données d'une organisation et les conserver jusqu'à ce qu'une rançon soit payée, souvent en bitcoins presque intraçables.

Une nouvelle étude sur la propagation des ransomwares dans quelque 20 000 organisations de différents secteurs d'activité a révélé que l'éducation est actuellement la plus grande cible, avec une organisation sur dix touchée par un ransomware. Plus de 11 % d'entre eux ont été touchés par Nymaim et 4 % par Locky.

Les rançongiciels sont un phénomène mondial. Par exemple, l'année dernière, les universités anglaises ont été durement touchées par les ransomwares ; l'université de Bournemouth, qui abrite un centre de cybersécurité, a été touchée 21 fois au cours d'une période récente de 12 mois .

Rapides, faciles et offrant un gain immédiat aux attaquants, les attaques par ransomware devraient augmenter de 250 % en 2016, selon le rapport Beazley Breach Insights 2016.

Vulnérabilités du BYOD L'une des plus grandes sources de risque pour l'enseignement supérieur est le volume considérable d'ordinateurs portables, de tablettes, de smartphones et d'autres appareils personnels que les étudiants, les professeurs, les fournisseurs et les visiteurs apportent avec eux sur le campus. De nombreux établissements d'enseignement supérieur tentent d'imposer aux étudiants l'utilisation d'un logiciel antivirus, par exemple, mais c'est un combat difficile. Le risque qu'un appareil infecté par malware se connecte au réseau est élevé.

Exploits de l'IdO

Outre le BYOD, le personnel de sécurité de l'enseignement supérieur doit faire face au nombre croissant d'appareils compatibles IP qui se connectent à leurs réseaux. Comme de nombreuses entreprises, les établissements d'enseignement supérieur cherchent à exploiter l'intelligence des appareils de l'Internet des objets (IoT) pour rationaliser la gestion des installations et réduire les coûts.

Par exemple, les compteurs d'eau et d'énergie intelligents et les systèmes de chauffage et de climatisation peuvent réduire les coûts énergétiques et fournir un accès à distance qui peut rationaliser les réparations. Pour améliorer la sécurité des campus, de nombreux établissements déploient des équipements de sécurité tels que des caméras, des contrôles d'accès et d'autres dispositifs de surveillance qui se connectent au réseau.

En outre, les étudiants apportent des appareils IoT sur le campus, notamment des consoles de jeu et des décodeurs tels que les Apple TV, ainsi que des appareils personnels tels que des iWatches et des Fitbits.

Malheureusement, ces appareils IoT constituent un point d'entrée facile pour les cyberattaquants qui peuvent ensuite se déplacer latéralement dans un réseau de campus à la recherche de PII, PHI, de données de recherche sensibles et d'autres actifs cibles.

Détecter les cyberattaques dans le réseau éducatif

L'attaque persistante et interne du réseau est devenue la norme, et les produits, les équipes et les processus de sécurité doivent s'adapter en conséquence. Étant donné la rapidité avec laquelle les auteurs modifient leur site malware et lancent d'autres menaces persistantes avancées (APT), les établissements d'enseignement supérieur ont besoin d'une solution de sécurité réseau qui identifie et arrête les attaques en cours. Les équipes de sécurité informatique ont besoin d'un système de chasse aux menaces automatisé et en temps réel qui offre une visibilité sur l'ensemble du trafic et des appareils hôtes sur le réseau - y compris les appareils BYOD et IoT - et qui peut détecter toutes les phases d'une cyberattaque, telles que la communication C&C, la reconnaissance interne, le mouvement latéral et l'exfiltration.

Les outils de prévention au périmètre du réseau, tels que les pare-feu de nouvelle génération, les IDS/IPS et les bacs à sable malware , contribuent tous à prévenir l'infection ou la compromission. Mais des attaquants sophistiqués ont montré à plusieurs reprises qu'ils pouvaient échapper à ces produits de sécurité périmétrique, dont la technologie de base date de plus de 25 ans.

Pour aggraver les choses, une fois que les attaquants ont pénétré dans le réseau, ces solutions sont aveugles à la reconnaissance, au mouvement latéral et aux autres comportements menaçants que les cybercriminels utilisent pour cartographier les actifs ciblés et se propager à d'autres hôtes.

De même, les technologies de sandbox malware constituent une approche incomplète de la gestion des APT, car elles ne recherchent que brièvement les comportements infectants dans un environnement virtuel. Ce dont les équipes de sécurité ont besoin, c'est d'une solution qui surveille et analyse en permanence tous les comportements sur le réseau.

La détection des signes révélateurs des cyberattaquants est d'une importance capitale lorsqu'il s'agit d'appareils IoT, qui peuvent servir de proxys pour acheminer le trafic d'un attaquant vers, depuis et à travers le réseau. Et comme mentionné précédemment, les appareils IoT ne peuvent pas exécuter les agents de sécurité endpoint et ne seront pas protégés par les signatures IPS.

Défi : Répondre aux exigences de conformité et de réglementation

Les établissements d'enseignement supérieur sont soumis à diverses réglementations en matière de protection de la vie privée et à d'autres règles de conformité, notamment :

• Le Family Educational Rights and Privacy Act (FERPA) est une loi fédérale qui protège la confidentialité des dossiers éducatifs des étudiants. La FERPA s'applique à toutes les écoles qui reçoivent des fonds dans le cadre d'un programme applicable du ministère américain de l'éducation.
• La loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA), qui oblige les institutions à signaler toute violation des données PHI.
• Les réglementations relatives à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) s'appliquent aux établissements d'enseignement supérieur qui acceptent les cartes de paiement.
• La Safeguards Rule, établie par la Federal Trade Commission, impose aux institutions fournissant des produits ou des services financiers d'établir un programme écrit complet de sécurité de l'information contenant des mesures de protection administratives, techniques et physiques afin de protéger les informations personnelles des clients. La FTC a le pouvoir d'enquêter et de prendre des mesures d'exécution contre les entités qui n'ont pas respecté les normes de sécurité des données conformément à la Safeguards Rule.

Compte tenu de leur environnement ouvert, les établissements d'enseignement supérieur de tous types sont confrontés à des défis considérables en matière de confidentialité des données et de conformité.

Les établissements d'enseignement supérieur ont besoin d'une plateforme de sécurité qui leur permette de répondre rapidement et facilement à des questions de conformité uniques.

Une visibilité complète du comportement de l'ensemble du trafic réseau associé aux dispositifs hôtes est nécessaire pour documenter la conformité d'un large éventail de contrôles techniques - du suivi des actifs et de la notification des incidents de sécurité à la prévention des pertes de données - et pour prouver que les contrôles fonctionnent.

Les équipes chargées de la sécurité et de la conformité devraient rechercher une solution de sécurité qui surveille en permanence l'ensemble du trafic réseau, à la fois interne et vers/depuis Internet, à partir de tous les appareils, y compris le BYOD et l'IoT, et qui leur permet d'extraire à la demande les données de conformité demandées.

Défi : Protéger les actifs à l'ère du chiffrement

En raison du besoin critique de protection de la vie privée, les établissements d'enseignement supérieur chiffrent un volume croissant de trafic sur leurs réseaux, y compris les dossiers des étudiants, les informations confidentielles, les informations personnelles et les données de paiement. Si le chiffrement offre une couche de protection pour le trafic sensible, il masque également le trafic à de nombreuses solutions de sécurité basées sur le réseau, ce dont les attaquants sont bien conscients.

Malheureusement, les attaquants sophistiqués emploient également une variété de méthodes de cryptage, allant du protocole SSL/TLS standard à des schémas plus personnalisés, pour dissimuler leur code et leurs activités malveillantes, en particulier leur C&C et leur trafic d'exfiltration. En outre, l'utilisation de tunnels cachés est en hausse, les cybercriminels préférant HTTPS à d'autres protocoles pour dissimuler leurs communications d'attaque.

Bien que certaines organisations utilisent des techniques de type "man-in-the-middle" pour décrypter le trafic sortant à des fins d'inspection, les universités et les établissements d'enseignement supérieur n'ont souvent pas cette possibilité en raison de lois strictes sur la protection de la vie privée qui interdisent l'inspection d'enregistrements cryptés et d'autres types de trafic sensible. Le décryptage du trafic pèse également lourdement sur les performances des applications, ce qui le rend impopulaire auprès des utilisateurs.

En outre, de nombreux fournisseurs de services en ligne, dont Google, compromettent l'utilisation de l'épinglage de certificats, une technique que les entreprises utilisent de plus en plus pour contrecarrer les attaques de type "man-in-the-middle" sur les sessions web.

Pour tenter de dissuader les attaquants qui ont volé des certificats valides, Google et d'autres fournisseurs choisissent de ne faire confiance qu'aux certificats provenant d'une autorité de certification racine spécifique et fiable, au lieu de n'importe quelle autorité de certification reconnue. Cela permet de casser les méthodes de décryptage de type "man-in-the-middle" utilisées par de nombreuses équipes de sécurité.

Pour faire face aux menaces cryptées, les équipes de sécurité ont besoin d'un moyen de détecter les comportements d'attaque malveillants sans avoir à décrypter les paquets et à inspecter la charge utile. Cela nécessite une nouvelle approche de la sécurité des réseaux basée sur l'analyse du comportement et des modèles de trafic dans toutes les applications, tous les systèmes d'exploitation et tous les appareils afin de révéler les actions fondamentales des attaquants dans le trafic du réseau, même le trafic crypté.

L'intelligence artificielle qui exploite la science des données, l'apprentissage automatique et l'analyse comportementale est nécessaire pour identifier et surveiller les tunnels cachés, les données qui quittent l'environnement, malware qui reçoit des instructions C&C, les attaquants extérieurs qui utilisent des outils d'accès à distance et les attaquants qui diffusent des mises à jour malware .

L'analyse comportementale permet de faire rapidement la distinction entre le trafic d'origine humaine et le trafic d'origine mécanique. Cette capacité peut permettre de repérer un attaquant utilisant un outil d'administration à distance en révélant que ce qui semble être une connexion d'utilisateur final est en fait une connexion contrôlée à distance par une personne extérieure.

Défi : Les équipes de sécurité ont beaucoup à faire

La majorité des produits de sécurité alourdissent la charge de travail du service informatique, en obligeant le personnel à passer au crible des milliers d'alertes pour identifier les véritables menaces. Dans de nombreux réseaux, il est courant de recevoir 50 alertes par minute.

Face à des équipes de sécurité réduites, il n'est pas humainement possible de passer au crible et d'interpréter ces énormes volumes de données, d'identifier les menaces les plus sérieuses et d'atténuer les attaques avant qu'elles ne se propagent et ne fassent des dégâts.

Dans le rapport 2016 de Vormetric sur les menaces pesant sur les données, une enquête menée auprès de plus de 1 100 cadres supérieurs de la sécurité dans le monde entier, 57 % des personnes interrogées ont cité la complexité comme le principal obstacle à une adoption plus large des outils et des techniques de sécurité des données.

Le manque de personnel est le deuxième obstacle le plus important, cité par 38 % des personnes interrogées. L'étude poursuit en soulignant que "la pénurie chronique et croissante de personnel de sécurité qualifié" est un problème qui touche l'ensemble du secteur.

Les établissements d'enseignement supérieur ont besoin d'une solution de sécurité réseau qui allège le travail du personnel informatique surchargé au lieu d'en créer davantage.

Cela nécessite une solution complète, facile à déployer et qui automatise la détection et le signalement des menaces en temps réel.

En particulier, les équipes de sécurité ont besoin d'une solution qui rationalise les opérations en condensant les énormes quantités de données liées à la sécurité en informations simples et exploitables, et qui concentre l'attention du personnel sur les attaques réelles en cours en localisant les dispositifs physiques au centre d'une attaque et en alertant le personnel lorsqu'il y a une activité à haut risque.

Vectra AI détecte les attaques en cours et rationalise les opérations

Vectra AI permet aux établissements d'enseignement supérieur de détecter les menaces et d'y répondre rapidement, avant qu'elles ne fassent des dégâts. Reprenant là où la sécurité périmétrique s'arrête, Vectra AI fournit une analyse approfondie et continue du trafic interne et Internet et détecte les actions et comportements fondamentaux que les attaquants doivent effectuer lorsqu'ils espionnent et se répandent à l'intérieur du réseau à la recherche de biens précieux à voler.

Grâce à l'intelligence artificielle qui combine de manière unique la science des données, l'apprentissage automatique et l'analyse comportementale, Vectra AI détecte toutes les phases d'une attaque, y compris la communication C&C, la reconnaissance interne, le mouvement latéral, l'exfiltration de données et la monétisation du réseau de zombies.

Le Vectra Threat Certainty Index™ consolide automatiquement toutes les détections et attribue des scores qui indiquent en temps réel quels hôtes représentent la plus grande menace. Les équipes de sécurité peuvent ainsi se concentrer immédiatement sur les détections présentant les risques les plus élevés.

Vectra AI apprend également à connaître les modèles de comportement naturels dans le réseau d'une organisation et fournit une carte visuelle de la relation entre les menaces, les hôtes et les actifs clés tels que les informations confidentielles contenues dans les dossiers des étudiants.

Avec Vectra AI, les établissements d'enseignement supérieur peuvent rapidement et facilement relever les défis en matière de sécurité, de conformité et de main-d'œuvre. Par exemple, Vectra AI a aidé l'université de Barry à stopper une attaque en cours lorsque l'institution a été victime d'une campagne phishing .

Lorsque des personnes ont cliqué sur les courriels malveillants, le personnel informatique a commencé à recevoir des alertes de protection sur le site endpoint . Vectra AILa surveillance en temps réel de la société a révélé qu'une attaque ciblée était en cours, ce qui a permis à l'équipe chargée des opérations de sécurité de mettre fin à l'attaque et d'empêcher le vol de données.

Répondre au paysage dynamique des menaces d'aujourd'hui

Vectra AI surveille l'ensemble du trafic réseau provenant de tous les appareils - le trafic interne au réseau ainsi que le trafic en provenance et à destination d'Internet. Il fonctionne également avec toutes les applications et tous les systèmes d'exploitation, ainsi qu'avec les appareils BYOD et IoT.

Combinant l'apprentissage automatique, la science des données et l'analyse comportementale, Vectra AI détecte les comportements d'attaque des menaces connues et inédites à n'importe quel stade de la surface d'attaque d'une organisation. Les détections de menaces sont automatiquement corrélées, notées et hiérarchisées afin que les équipes de sécurité puissent rapidement stopper les attaques et en atténuer l'impact.

Vectra AI est unique en ce sens qu'il met en évidence les comportements fondamentaux des cyberattaques, tels que la reconnaissance interne, la diffusion interne de malware, l'abus des identifiants de compte, l'exfiltration de données, l'activité des ransomwares et une grande variété de C&C et d'autres communications cachées.

Par exemple, Vectra AI propose plusieurs moyens d'identifier les ransomwares en action, notamment la détection :

• Communication C&C.
• La mise à jour des binaires de ransomware sur les hôtes infectés à l'adresse malware .
• La recherche et l'analyse internes des partages de fichiers.
• Le vol des informations d'identification de l'administrateur en vue d'une escalade des privilèges.
• L'activité de cryptage de fichiers du ransomware elle-même.

Comme Vectra AI reconnaît les modèles de trafic, il n'est pas nécessaire d'ouvrir les paquets pour voir ce qu'ils contiennent, ce qui préserve la confidentialité des données pour le trafic crypté. Vectra AI utilise des modèles mathématiques et effectue une analyse très sophistiquée du trafic réseau pour détecter la présence de tunnels cachés dans le trafic HTTP, HTTPS et DNS.

De même, Vectra AI utilise la science des données, l'apprentissage automatique au niveau des paquets et l'analyse comportementale pour identifier la présence d'un accès à distance externe, même les outils d'accès à distance malveillants qui sont personnalisés ou inconnus de l'industrie de la sécurité.

Rationaliser les opérations et faire gagner du temps au personnel

Sachant que le temps des analystes de sécurité est compté, Vectra AI est conçu pour être facile à déployer et à utiliser. L'automatisation joue un rôle essentiel.

Vectra AI automatise le travail manuel fastidieux associé au travail d'un analyste de sécurité de niveau 1 et consolide de vastes quantités de données sur les menaces en réponses simples et exploitables qui permettent d'économiser du temps, des efforts et de l'argent.

Cette automatisation présente deux avantages : le personnel peut effectuer des enquêtes en moins de temps et le personnel non expert peut traiter davantage d'enquêtes. Les clients de Vectra ont fait état d'une réduction de 75 à 90 % du temps consacré aux enquêtes sur les menaces et ont réussi à confier l'analyse à des généralistes de l'informatique au lieu de confier les enquêtes simples à des experts mieux rémunérés.

Vectra AI identifie les hôtes physiques au cœur d'une attaque et suit et évalue automatiquement les menaces dans leur contexte pendant toute la durée de l'attaque. L'indice de certitude des menaces de Vectra affiche des alertes afin que les équipes de sécurité sachent instantanément quels sont les hôtes du réseau présentant des indicateurs d'attaque qui représentent le plus grand risque avec le plus haut degré de certitude.

Les détails d'une attaque sont accessibles en un seul clic, de sorte que le personnel peut facilement visualiser les métadonnées des paquets exacts entre l'hôte compromis et d'autres actifs internes qu'il attaque ou des parties externes avec lesquelles il communique, et réagir en conséquence.

‍

Vectra AI permet également aux équipes de sécurité de marquer les bases de données propriétaires, les dossiers médicaux, les bases de données de cartes de crédit et d'autres actifs critiques afin qu'elles puissent voir les menaces dans le contexte des actifs ciblés et prédire l'impact potentiel d'une attaque.

En outre, Vectra AI facilite le partage des informations sur les menaces avec d'autres membres de l'équipe et d'autres systèmes. Les équipes de sécurité peuvent être automatiquement informées par courrier électronique lorsque des dispositifs atteignent des seuils de menace ou de certitude spécifiés.

Enfin, une API robuste permet à Vectra AI de s'intégrer à d'autres solutions de sécurité tierces, telles que les SIEM, la sécurité endpoint de nouvelle génération, l'optimisation du trafic et les pare-feu de nouvelle génération. Par exemple, l'intégration des journaux syslog et Common Event Format (CEF) fournit aux SIEM des détections Vectra précorrélées et des scores d'hôte.

Déploiement interne passif

• Tirer parti de TAP ou SPAN
• Visibilité E-O et N-S du trafic
• Observe toutes les phases du comportement

Suivi permanent de tous les appareils

• Tout système d'exploitation, BYOD, IoT

Protège sans faire levier

• Les modèles comportementaux détectent les menaces sans s'intéresser à la charge utile.
• Détecter les menaces dans le protocole SSL sans décryptage

"L'avantage de Vectra est que nous obtenons plus d'informations sur les menaces et des données automatisées et exploitables. Nous ne disposons pas de 30 à 40 ingénieurs en sécurité, nous devons donc être intelligents". Bryan McClenahan Analyste principal de la sécurité de l'information, Université de Santa Clara

Fournir des données de conformité à la demande

Avec une visibilité totale sur l'ensemble du trafic réseau et la capacité de détecter toutes les phases d'une attaque en cours, Vectra AI est une plateforme idéale pour documenter la conformité d'un large éventail de contrôles techniques.

Vectra AI fournit une analyse claire et intuitive avec un accès en un clic à toutes les preuves à l'appui, ce qui permet au personnel de répondre rapidement et facilement à toute demande de données de la part des régulateurs.

En suivant en permanence tous les actifs cibles et en établissant des rapports à leur sujet, Vectra AI facilite le maintien d'une piste de conformité. De même, comme Vectra AI surveille et détecte les tunnels cachés et les comportements d'exfiltration de données utilisés par les attaquants, il est facile de documenter les efforts de conformité pour la prévention de la perte de données.

Avec Vectra AI, un puissant moteur de rapports permet aux équipes de sécurité de générer des rapports à la volée et de programmer des rapports spécifiques à compiler régulièrement. Les rapports peuvent porter sur n'importe quelle période, section du réseau, hôte ou détection. Des fonctions de filtrage avancées permettent de mettre en évidence des données spécifiques, telles que tous les hôtes dont le score de menace est supérieur à 50.

Les établissements d'enseignement supérieur resteront la cible privilégiée des cyberattaquants

Vectra AI arme les équipes de sécurité avec une solution automatisée qui fonctionne en temps réel pour détecter rapidement les cyberattaques connues et inconnues à l'intérieur de n'importe quel réseau dans un paysage de menaces en constante évolution.

Grâce à sa capacité unique de détecter et d'atténuer les cyberattaques de réseau pendant qu'elles se produisent, Vectra AI permet aux équipes de sécurité de réagir avec une rapidité, une précision et une efficacité sans précédent, bien avant que les malfaiteurs ne puissent voler des dossiers sensibles ou des recherches essentielles.

De même, Vectra AI offre aux équipes de sécurité une visibilité réseau inégalée sur les comportements d'attaques malveillantes et automatise la chasse aux cyber-attaquants, tout en permettant aux organisations de répondre rapidement et facilement aux audits et de disposer de plus de temps pour se concentrer sur la sécurisation des actifs clés.