La société dévoile ses capacités de recherche en sécurité ainsi que l’intégration d’un nouveau flux d’information dans ses solutions Pravail®
Arbor Networks, Inc., société leader dans la fourniture de solutions de sécurité et de gestion de réseaux d’entreprises et d’opérateurs, annonce un nouveau flux d’informations sur les menaces dans le cadre de son service ATLAS® Intelligence Feed (AIF). AIF est un flux de règles de sécurité produit par l’Arbor SERT destinées à actualiser les produits Arbor Pravail avec rapidité et précision qui permet d’identifier les menaces à partir de données concrètes en matière d’activité des attaques, de ‘réputation’ et de comportements.
Le lancement d’AIF arrive à l’heure où les entreprises se sentent mal préparées face aux menaces très diverses qui visent leurs réseaux. Selon une récente enquête internationale réalisée auprès de directeurs de la sécurité des systèmes d’information (RSSI) et d’autres hauts responsables informatiques par The Economist Intelligence Unit à la demande d’Arbor Networks, seuls 17 % des dirigeants d’entreprise s’estiment parfaitement prêts à affronter un incident. L’étude, intitulée « Cyber Incident Response: Are business leaders ready? », révèle également que 41 % de ces responsables pensent qu’une meilleure compréhension des menaces potentielles les prépareraient à mieux réagir à celles-ci. Le flux AIF contribue à résoudre ce problème de visibilité et d’absence de contexte concernant les menaces.
Des informations globales et dynamiques sur les attaques
Arbor Networks a bâti un réseau permettant de récolter d’énormes quantités d’informations sur l’internet mondial articulé autour d’ATLAS. C’est une collaboration unique en son genre avec près de 300 clients opérateurs qui ont accepté de partager des données anonymes de trafic avec Arbor Networks. Cette masse de données de trafic, totalisant 80 Gbit/s, est combinée à des informations provenant d’un réseau mondial de sondes de type « honeypot » dans l’espace d’adresses « Dark IP » ainsi que des partenariats stratégiques tels que l’alliance Red Sky.
Cette masse de données très riche est ensuite transformée en informations exploitables grâce aux recherches et analyses continuelles de l’équipe ASERT (Arbor Security Engineering & Response Team) d’Arbor Networks. ASERT est l’une des plus grandes organisations dédiées à la recherche dans le secteur de la sécurité, réunissant 25 experts aux compétences variées, qu’il s’agisse de membres de CERT (Computer Emergency Response Team) d’entreprises Fortune 25, d’anciens représentants des forces de l’ordre, de fournisseurs de solutions de neutralisation des menaces ou encore de chercheurs réputés dans le domaine des malwares. En observant le paysage des attaques sous cet angle de la sécurité et en s’appuyant sur des outils spécialisés pour l’indexation des malwares et la simulation des botnets, ASERT élabore des informations sur les menaces pour les clients d’Arbor Networks, enrichies des contextes de sécurité nécessaire à la détection et au blocage des menaces spécifiques et au renforcement constant de la sécurité de ces entreprises.
« Nombre d’acteurs du secteur peuvent identifier les attaques et créer des signatures permettant de les reconnaître et de les bloquer, cependant cette approche réactive est aujourd’hui dépassée. ASERT ne se contente pas d’identifier les attaques mais analyse et catalogue leurs infrastructures et leurs méthodes de sorte que nos clients puissent déployer des règles de sécurité de manière plus proactive. Le contexte a son importance. Nous ne nous bornons pas à examiner un botnet ou un échantillon de malware : nous étudions par rétro-ingénierie des familles entières de botnets et de malwares », explique Dan Holden, directeur de la recherche en sécurité pour Arbor Networks.
En dehors de la mise à jour des règles de sécurité pour les produits d’Arbor Networks, ASERT partage ses informations opérationnelles avec des centaines de CERT internationaux et des milliers d’opérateurs de réseaux à travers le monde. Des exemples de ses analyses détaillées exclusives sont disponibles sur le blog ASERT, concernant notamment les malwares sur le point de vente, les attaques DDoS par réflexion/amplification NTP et le cheval de Troie bancaire Zeus Gameover.
Une véritable analyse de réputation enrichit le flux AIF
Quotidiennement, ASERT collecte plus de 100 000 échantillons de malwares auprès d’ATLAS et d’autres sources, en s’intéressant plus spécialement aux menaces persistantes avancées (APT), aux campagnes géopolitiques, à la fraude financière et aux attaques DDoS. Les échantillons de malwares sont soumis à un système automatisé d’analyse des menaces, qui se charge de leur classement. Chaque attaque distincte est stockée dans une base de données regroupant des millions d’analyses de ce type. En cas de détection d’un nouveau botnet ou d’une nouvelle attaque applicative, une règle correspondante est créée, diffusée et installée dans les produits Arbor Pravail via le flux AIF.
A la différence de nombreuses autres solutions qui recourent à des signatures pour la création de règles, ASERT définit des règles de réputation en fonction des résultats effectifs de la rétro-ingénierie des malwares et de l’analyse des botnets. Plutôt que de s’en remettre exclusivement à des signatures ou des listes couramment utilisées dans le secteur, ASERT a mis au point une technique extrêmement précise et totalement fiable d’identification des menaces. Celle-ci repose sur la collecte de données de sécurité provenant de centaines de milliers d’échantillons de malwares et d’autres informations sur les menaces. Les données et indicateurs sont analysés au moyen d’un puissant système en instance de brevet, associant les technologies de partenaires extérieurs et des processus internes. Les principaux indicateurs d’une attaque sont extraits : adresses IP, ports, noms de domaines, URL, expressions régulières. Pour veiller à ce que l’analyse soit la plus complète possible, ASERT compare les indicateurs identifiés à d’autres études du secteur, ainsi qu’aux données de l’Alliance Red Sky. Puis l’équipe classe ces indicateurs par catégorie pour en tirer des règles qui sont chargées à distance, plusieurs fois par jour, sur les appliances Pravail via le flux AIF. Ce dernier fournit les données de sécurité vitales pour la détection rapide des attaques, assorties de détails précieux facilitant la fixation des priorités et les mesures de neutralisation.
La famille de produits Arbor Pravail
« Les entreprises sont en quête de solutions qui les aident à traiter le problème des menaces avancées tapies au cœur de leurs réseaux. Arbor Networks dispose d’une combinaison sans équivalent, réunissant NetFlow, des outils de capture de paquets et les informations sur les menaces globales issues de son infrastructure ATLAS, pour faire face aux plus récentes menaces dynamiques qui échappent aux solutions à base de signatures », souligne John Grady, directeur de recherche en produits de sécurité chez IDC.
Bénéficiant des connaissances et compétences d’ATLAS et d’ASERT, les produits Arbor Pravail sont conçus pour protéger les entreprises contre les menaces avancées et les attaques DDoS.
Pravail® NSI (Network Security Intelligence) fait office de système nerveux central pour les déploiements de sécurité. Implanté au cœur du réseau, il collecte des informations sur les schémas de trafic et les événements de sécurité observés sur ce dernier, alertant les équipes de sécurité sur ceux indiquant qu’une attaque ou une intrusion est en cours. Pravail NSI aide les entreprises à se protéger contre le vol ou la fuite de propriété intellectuelle et de données causés par un malware avancé, un abus interne sur le réseau ou par la connexion à celui-ci d’équipements mobiles infectés.
Pravail Security Analytics ajoute un contexte significatif à la masse de données collectées afin que les équipes de sécurité puissent se concentrer sur les flux les plus critiques, réagir plus rapidement et identifier les menaces pour leur environnement réseau avant que celles-ci n’aient un impact sur l’activité. Cet outil peut permettre de prendre en temps réel des décisions en réponse aux attaques. Il est également possible de refaire des analyses sur des données conservées pour des contrôles ultérieurs afin d’identifier des attaques non détectées jusque-là, grâce aux dernières informations en date sur les malwares. Pravail Security Analytics permet également de réaliser des investigations afin de déterminer l’efficacité des contrôles, de renforcer la sécurité et de satisfaire à diverses exigences de conformité.
Une démonstration gratuite de la solution cloud Pravail Security Analytics est disponible, exploitant des jeux de données préexistants. Les utilisateurs pourront ainsi tester cette solution par eux-mêmes pour en apprécier la puissance. Un essai gratuit de la solution cloud est également proposé, permettant aux utilisateurs d’analyser rapidement des paquets capturés sur leur propre réseau à la recherche de menaces, d’anomalies et d’abus, en téléchargeant jusqu’à 1 Go de données pendant 30 jours.
Pravail APS (Availability Protection System) contribue à sécuriser le périmètre de l’entreprise contre les menaces pour la disponibilité des applications et services vitaux pour son activité. Assurant plus particulièrement une protection contre les attaques DDoS applicatives, le produit est conçu pour bloquer promptement les attaques sans configuration préalable ni intervention de l’utilisateur. Il offre des capacités d’identification et de neutralisation DDoS qui peuvent être déployées rapidement, y compris pendant une attaque.