Company

Blogs

Vos outils d’administration sont exploités par les cyberpirates

Publié par Cognito le Jan 30, 2018 5:45:00 AM

Dans mon dernier article, j'ai évoqué un test d'intrusion réalisé par un client du secteur financier. À cette occasion, j'ai expliqué comment j'avais aidé l'équipe de sécurité à détecter la présence d'une menace. Je vous reviens aujourd'hui avec un nouvel exercice de terrain.

Il s'agit cette fois d'un client du secteur industriel. Il souhaite lui aussi rester anonyme afin de ne pas dévoiler aux cybercriminels ses nouvelles capacités en matière de sécurité. Pour rester le plus performant possible, ce client organise régulièrement des exercices de simulation d'attaque où s'affrontent une équipe d'attaquants et une équipe de sécurité.

Lire la suite »

Les sujets : cloud, sécurité réseau, Cyberattaques, cybersécurité, détection des menaces, SOC, Internet des objets, IA, comportements d'attaque, équipe d'attaquants, équipe de sécurité, centre de données


Vectra seul éditeur « visionnaire » du MQ 2018 de Gartner dans la catégorie IDPS

Publié par Chris Morales le Jan 17, 2018 10:47:03 PM

Vectra®est le seul éditeur qualifié de « visionnaire » dans le Magic Quadrant 2018 de Gartner, dans la catégorie Systèmes de détection et de prévention des intrusions (IDPS). Cette annonce me ravit.

Au fil du temps, les solutions de détection des intrusions (IDS) ont été intégrées aux systèmes de prévention des intrusions (IPS) et sont désormais désignées collectivement par le terme IDPS (ou IDS/IPS). Ce rapprochement s'est imposé à une époque où le secteur de la sécurité informatique concentrait ses efforts essentiellement sur la prévention des attaques externes.

Toutefois, comme le fait justement remarquer Gartner, les évaluations de sécurité ponctuelles et les décisions initiales de blocage/autorisation sont insuffisantes : elles laissent la porte ouverte aux attaques jour zéro et ciblées, au vol d'identifiants et aux menaces internes.[i] 

Lire la suite »

Les sujets : centres SOC, IDPS, visionnaire, prévention des intrusions


Piratage du protocole BGP : le trafic redirigé vers la Russie

Publié par Francis Ia le Dec 21, 2017 9:20:12 AM

Ce 13 décembre, le trafic entrant et sortant d'importants sites Internet a été brièvement redirigé vers un FAI russe, par un acteur inconnu. Pour les chercheurs, cette action à la fois suspecte et délibérée constitue probablement le signe avant-coureur d'une attaque.

D'après BGPMON, qui a détecté l'événement à partir de 4h43 (UTC), 80 préfixes normalement annoncés par plusieurs grandes organisations ont été détectés dans les tables de routage BGP mondiales avec un AS (Autonomous System) d'origine 39523 (DV-LINK-AS), émanant de Russie.

Ce comportement d'attaque n'a duré que six minutes et les chercheurs ignorent tout des motivations de cet incident. Il nous rappelle toutefois à quel point Internet est fragile et combien il est facile de l'exploiter. 

Lire la suite »

Les sujets : cyberpirates, BGP hijack, HTTPS, espionage, BGP, Russie


La triste vérité sur la détection des anomalies

Publié par Hitesh Sheth le Nov 27, 2017 6:59:45 AM

Ce billet de blog a initialement été publié sur LinkedIn.

Le secteur de la sécurité regorge d'éditeurs qui présentent la détection des anomalies comme la panacée contre les cyberattaques. Malheureusement, ce n’est pas l’essentiel.

Le principal défaut de la détection des anomalies est cette tendance à la caricature : tout comportement normal est inoffensif, et tout comportement anormal remonte une alerte de sécurité. 

Ceci sans tenir compte du contexte qui devra, dans les cas, être ajouté par une action humaine ultérieure. Or, dans la détection des anomalies, la distinction entre les comportements des utilisateurs légitimes et ceux des cyber-pirates est parfois très floue. 

Lire la suite »

Les sujets : sécurité réseau, intelligence artificielle, cyber sécurité, détection des menaces


Je suis Cognito, l'intelligence artificielle au service de votre SOC

Publié par Cognito le Nov 21, 2017 4:03:43 AM

Bonjour à tous. Pour mon premier billet de blog, j'aimerais vous raconter le déroulement d'une simulation d'attaque réalisée par une équipe de sécurité et le rôle que j'ai pu y jouer.

Mais avant toute chose, laissez-moi me présenter. Je suis Cognito, l'intelligence artificielle de la plate-forme de cybersécurité Vectra. Ma vocation est la traque des cyberpirates, qu'ils se cachent dans les centres de données, le cloud, les objets connectés ou les terminaux des utilisateurs.

Si vous êtes analyste en cybersécurité, j'imagine que vous êtes dépassé par la masse d'événements de sécurité à trier, analyser, relier entre eux et classer par priorité. Vous n'avez probablement pas l'occasion de mettre à profit pleinement vos compétences car vous êtes freiné par des tâches manuelles, longues et fastidieuses. 

Lire la suite »

Les sujets : centres SOC, cybersécurité, cyberpirates, simulation d'attaque, Cognito


Le grand défaut des SIEM: pas de délit sans preuves

Publié par Christophe Jolly le Nov 10, 2017 2:44:13 AM

La semaine dernière, j'ai déjeuné avec un client qui venait de déployer notre plate-forme Cognito™.
À cette occasion, il m'explique que le commercial de sa solution SIEM lui avait affirmé que « leur module d'analyse faisait la même chose que la solution Vectra ». Sans me démonter, je lui ai répondu que c'était impossible puisque sans preuve, c'est comme s'il n'y avait pas de délit.

Face à son air interloqué, me voilà lancé dans une petite explication.  Les SIEM solutions reçoivent les journaux de sécurité d'une série de systèmes très divers : ordinateurs, serveurs, systèmes d'authentification, pare-feux et bien d'autres encore (dont Vectra Cognito, analyste en sécurité).

Lire la suite »

Les sujets : SIEM, sécurité réseau, Cyberattaques, analyste en sécurité, journaux, cybersécurité


Une intégration étroite entre la sécurité des terminaux et celle du réseau permet de neutraliser les attaques

Publié par Kevin Kennedy le Oct 4, 2017 6:41:03 AM

De nombreuses équipes de sécurité sont dépassées par l'ampleur et l'agressivité des menaces numériques, de plus en plus furtives et destructrices. Les centres SOC sont submergés, accaparés par le temps passé à analyser et neutraliser les incidents.

L'intégration de la sécurité des terminaux et du réseau peut leur simplifier considérablement la tâche. Les outils de sécurité réseau offrent une vue fiable des activités intervenant dans le réseau d'une entreprise, des utilisateurs au centre de données en passant par le Cloud, et sur tous les types de terminaux, dont les appareils IoT. Quant aux solutions de sécurité pour terminaux, elles proposent une vue des activités survenant sur des terminaux critiques, comme les charges de travail cloud, les serveurs et les ordinateurs portables. En unifiant ces deux vues distinctes, vous pouvez donner aux équipes des SOC la possibilité de détecter et de bloquer plus rapidement les menaces.

Lire la suite »

Les sujets : sécurité réseau, terminaux, Cyberattaques, centres SOC


Le piratage dont a été victime le groupe bancaire UniCredit

Publié par Christophe Jolly le Aug 7, 2017 11:29:04 AM

Le groupe bancaire italien UniCredit vient de révéler plusieurs piratages successifs - depuis près de 10 mois - qui auraient impactés les données personnelles de près de 400 000 de ses clients. Un délai d’un an pour révéler une faille impliquant des données clients est un délai très (trop) long. Mais techniquement, les études démontrent qu’en moyenne, la détection de ce type de faille prend encore beaucoup de temps dans les entreprises, en moyenne 109 jours en Europe. De plus, les entreprises ont encore trop peur de la double peine, à savoir, le piratage en question et l’impact qu’elle pourrait avoir sur l’image et la réputation de leur société. Dans les deux cas, le Règlement Général sur la Protection des Données qui sera mis en application en mai 2018 devrait faire évoluer les choses, tout d’abord en obligeant les entreprises à alerter les autorités dans un délai de 72h puis en les menaçant d’une sanction financière lourde. Dans le cas d’UniCredit, à un an près la sanction aurait été très lourde (rappelons que les sanctions du RGPD pourront atteindre jusqu’à 20 millions d’euros et 4% du chiffre d’affaires global de l’entreprise). 
Lire la suite »

Les sujets : AI, piratage