Blog

Tapis dans l'ombre : les cinq principaux comportements malveillants de propagation latérale

Publié par Kevin Sheu le Jun 4, 2019 1:51:39 AM

Au fil de l'évolution du paysage des menaces, l'équipe de Vectra a pu constater qu'une part importante des budgets informatiques est consacrée à renforcer les équipes de sécurité et la protection du périmètre réseau. L'objectif des entreprises est d'améliorer la détection des menaces et d'accélérer le tri des alertes.

Malheureusement, cette démarche est fondée sur un postulat erroné.

C'est d'ailleurs un constat sur lequel s'accordent les professionnels de la sécurité, comme en atteste une recommandation technique récente de Gartner. Dans cet article de son blog, Gartner souligne que « pendant de nombreuses années, la détection des menaces réseau a reposé presqu'exclusivement sur les systèmes de détection et de prévention des intrusions (IDPS) ». 

Lire la suite »

Les sujets : cyberpirates, cyberattaquants


Visibilité, détection et aide à la résolution des incidents avec une architecture sans outil SIEM

Publié par Chris Morales le Apr 30, 2019 4:37:46 AM

Lorsqu'elles élaborent leur programme de résolution des incidents, les équipes de sécurité sont confrontées à un défi de taille : trouver le juste milieu entre l'impératif de visibilité, de détection et de résolution des incidents d'une part, et le coût et la complexité du développement et de la gestion d'un dispositif de sécurité fonctionnel et performant d'autre part.

Lire la suite »

Les sujets : Cognito, azure


Apprentissage automatique : la pierre angulaire de l'analyse du trafic réseau

Publié par Eric Ogren, 451 Research le Apr 25, 2019 1:59:16 AM

Imaginez un outil de sécurité qui pense exactement comme vous lui apprenez à penser, qui agit au moment opportun et selon les modalités que vous lui avez enseignées. Plus besoin d'adapter vos habitudes de travail à des règles génériques définies par quelqu'un d'autre. Plus besoin de vous demander comment pallier les failles de sécurité qui ne sont pas couvertes par ces règles.

Pierre angulaire de l'analyse du trafic réseau, l'apprentissage automatique est une technologie qui agit à votre place pour accroître votre visibilité sur l'infrastructure, optimiser la détection des menaces actives et simplifier la reprise des activités en cas d'incident. 

Lire la suite »

Les sujets : détection des menaces, apprentissage automatique


Enquête de la conférence Black Hat 2018 : le temps et les compétences avant tout

Publié par Chris Morales le Sep 20, 2018 5:54:02 AM

La conférence Black Hat est formidable. Il n'existe pas de meilleur endroit pour découvrir la réalité de notre secteur, notamment ce qui préoccupe vraiment les professionnels de la sécurité des informations. Comme nous voulons toujours être en phase avec nos clients, il nous a semblé que la conférence Black Hat offrait l'occasion idéale de leur demander ce qui leur importe.

Nous avons mené l'enquête

Pour mieux comprendre ce qui compte pour nos clients, nous avons mené une simple enquête axée sur quatre questions à la conférence Black Hat.

Lire la suite »

Les sujets : centres SOC, cybersécurité, intelligence artificielle


L’IA empêche les Cryto-mineurs d’utiliser les ressources d’ordinateurs zombies

Publié par Gregory Cardiet le Sep 3, 2018 1:00:38 AM

En recherche de nouvelles sources de revenus, la société américaine éditrice de média, Salon, vient de lancer une pratique pluôt inhabituelle et qui fait débat. En effet, au mois de février, le magazine a annoncé que les lecteurs utilisant des bloqueurs de publicités se verraient interdire l’accès au contenu à moins d’accepter que Salon ne se serve de leur ordinateur pour miner la cryto-monnaie Monero.

Ceux qui mettent en doute la rentabilité d’une telle initiative font fausse route. L’objectif commercial sous-jacent n’est pas de transformer, à leur insu, les visiteurs en chercheurs d’or virtuels, mais de les dissuader d’utiliser des logiciels de blocage de publicités.

Lire la suite »

Les sujets : bitcoin, crypto-monnaies, cybercriminels, crypto, crypto-criminels


L'explosion alarmante du minage de cryptomonnaie sur les campus universitaires

Publié par Christophe Jolly le Apr 6, 2018 3:47:42 AM

En 2017, pendant que les ransomwares NotPetya et WannaCry faisaient les gros titres et raflaient d'importantes sommes d'argent, le minage de cryptomonnaie progressait, lentement mais sûrement, au classement des comportements opportunistes à visées financières.

Le message reddit ci-dessous révèle l'ampleur du problème auquel font face les universités. Sur les campus, certains étudiants particulièrement entreprenants minent des cryptomonnaies au moyen d'ordinateurs de pointe ou d'armées de botnets.

Lire la suite »

Les sujets : bitcoin, Cyberattaques, cybersécurité, cyberpirates, crypto


L’analyse comportementale, dernière pierre à l’édifice

Publié par Christophe Jolly le Feb 25, 2018 11:28:53 PM

Entre les équipements en charge de la protection et ceux en charge de la réponse à incident incluant le forensic, des retours d’expérience montrent que les services de sécurité peuvent être aveugles et ce, pendant longtemps. En effet, si l’attaque n’est pas détectée dès son démarrage, c’est une moyenne de 99 jours qui peut s’égrener avant que ne soit repérée la présence hostile. Quand des attaques ciblées de type APT sont à fortiori discrètes, cela pose question…

C’est pourquoi les équipes de sécurité se concentrent de plus en plus sur le trafic réseau. C’est dans cette couche précise de l’informatique que se distingue des comportements auxquels les cyber attaquants ne peuvent déroger, quand ils espionnent, propagent des attaques ou volent des données. Cette analyse du comportement repose sur un sous-ensemble de l’intelligence artificielle qu’on appelle du « machine learning ». 
Lire la suite »

Les sujets : machine learning, APT, AI


Vos outils d’administration sont exploités par les cyberpirates

Publié par Cognito le Jan 30, 2018 5:45:00 AM

Dans mon dernier article, j'ai évoqué un test d'intrusion réalisé par un client du secteur financier. À cette occasion, j'ai expliqué comment j'avais aidé l'équipe de sécurité à détecter la présence d'une menace. Je vous reviens aujourd'hui avec un nouvel exercice de terrain.

Il s'agit cette fois d'un client du secteur industriel. Il souhaite lui aussi rester anonyme afin de ne pas dévoiler aux cybercriminels ses nouvelles capacités en matière de sécurité. Pour rester le plus performant possible, ce client organise régulièrement des exercices de simulation d'attaque où s'affrontent une équipe d'attaquants et une équipe de sécurité.

Lire la suite »

Les sujets : cloud, sécurité réseau, Cyberattaques, cybersécurité, détection des menaces, SOC, Internet des objets, IA, comportements d'attaque, équipe d'attaquants, équipe de sécurité, centre de données


Vectra seul éditeur « visionnaire » du MQ 2018 de Gartner dans la catégorie IDPS

Publié par Chris Morales le Jan 17, 2018 10:47:03 PM

Vectra®est le seul éditeur qualifié de « visionnaire » dans le Magic Quadrant 2018 de Gartner, dans la catégorie Systèmes de détection et de prévention des intrusions (IDPS). Cette annonce me ravit.

Au fil du temps, les solutions de détection des intrusions (IDS) ont été intégrées aux systèmes de prévention des intrusions (IPS) et sont désormais désignées collectivement par le terme IDPS (ou IDS/IPS). Ce rapprochement s'est imposé à une époque où le secteur de la sécurité informatique concentrait ses efforts essentiellement sur la prévention des attaques externes.

Toutefois, comme le fait justement remarquer Gartner, les évaluations de sécurité ponctuelles et les décisions initiales de blocage/autorisation sont insuffisantes : elles laissent la porte ouverte aux attaques jour zéro et ciblées, au vol d'identifiants et aux menaces internes.[i] 

Lire la suite »

Les sujets : centres SOC, IDPS, visionnaire, prévention des intrusions


Piratage du protocole BGP : le trafic redirigé vers la Russie

Publié par Francis Ia le Dec 21, 2017 9:20:12 AM

Ce 13 décembre, le trafic entrant et sortant d'importants sites Internet a été brièvement redirigé vers un FAI russe, par un acteur inconnu. Pour les chercheurs, cette action à la fois suspecte et délibérée constitue probablement le signe avant-coureur d'une attaque.

D'après BGPMON, qui a détecté l'événement à partir de 4h43 (UTC), 80 préfixes normalement annoncés par plusieurs grandes organisations ont été détectés dans les tables de routage BGP mondiales avec un AS (Autonomous System) d'origine 39523 (DV-LINK-AS), émanant de Russie.

Ce comportement d'attaque n'a duré que six minutes et les chercheurs ignorent tout des motivations de cet incident. Il nous rappelle toutefois à quel point Internet est fragile et combien il est facile de l'exploiter. 

Lire la suite »

Les sujets : cyberpirates, BGP hijack, HTTPS, espionage, BGP, Russie