Rapid7 dévoile InsightIDR, une plateforme de détection et réponse aux incidents, garantissant un temps record entre la compromission d’un réseau et le confinement des failles

InsightIDR offre de nouvelles capacités analytiques avancées de collecte de données contextuelles et des temps de recherche considérablement accélérés.

Rapid7, Inc., éditeur majeur de solutions de sécurité analytique des données, annonce le lancement de Rapid7 InsightIDR, sa nouvelle offre de détection et de réponse aux incidents. La plateforme InsightIDR permet de détecter et d’investiguer les incidents de sécurité pour les contenir rapidement et ainsi minimiser leur impact sur l’entreprise et ses clients. La solution Rapid7 InsightIDR combine de manière unique l’analyse comportementale et des capacités de recherche, avec la collecte de données contextuelles, pour détecter les attaques les plus furtives. La plateforme réduit, au minimum par un facteur de 10, les temps d’investigation, pour permettre aux responsables de la sécurité de contenir une attaque.

Rapid7 InsightIDR offre ainsi une réponse adaptée comblant les lacunes des technologies de détection, telles que les SIEM ou IPS.  Rapid7 InsightIDR est enrichie par la plateforme de centralisation des logs et de recherche développée par Logentries, société acquise par Rapid7 en octobre 2015.

L’une des difficultés majeures pour les entreprises a toujours été leur incapacité à détecter très tôt les attaques : selon le Verizon Data Breach Investigations Report 2014/2015, près de 33 % des attaques sont détectées entre un mois et plus d’un an après leur lancement.

Rapid7 InsightIDR répond à cette problématique en s’appuyant sur l’analyse comportementale des utilisateurs, la détection des postes de travail, des intrusions et d’autres techniques propriétaires pour détecter les indicateurs les plus pertinents, au travers d’un grand nombre d’alertes de sécurité. La solution offre ainsi des capacités de détection fiables, et les anomalies pouvant indiquer la présence d’un attaquant actif dans le réseau de l’entreprise pour fournir aux équipes de sécurité une visibilité unique et pertinente afin de réagir efficacement.

Lee Weiner, Senior Vice President, Products & Engineering de Rapid7 déclare : « Les technologies de détection actuelles – SIEM, IPS, etc. – submergent d’alertes les équipes de sécurité et manquent d’indicateurs de compromission. Chez Rapid7, nous pensons que la clé est de permettre aux professionnels de la sécurité d’exploiter les données au sein de leurs environnements IT grâce à des capacités puissantes d’analytique et de recherche, afin qu’ils puissent rapidement et plus facilement trouver les informations dont ils ont besoin. Nos équipes ont travaillé sur des centaines de failles de sécurité et ont utilisé les connaissances résultant de leurs études sur les attaques et les incidents pour concevoir cette nouvelle plateforme. Cette connaissance, combinée avec nos capacités avancées d’analytique et de recherche, permettent de réduire considérablement le temps requis pour une investigation, de plusieurs mois et jours, à plusieurs heures voire minutes ».

Détecter les indices pertinents trahissant une attaque, grâce à l’analyse comportementale

Rapid7 InsightIDR exploite l’analyse comportementale pour détecter et identifier l’activité de l’attaquant, réduisant ainsi considérablement le nombre de faux positifs, et le temps passé par les équipes de sécurité sur la gestion des alertes.

En complément, Rapid7 InsigthIDR :

« Courier New »;mso-fareast-font-family:« Courier New »; color:#595959;mso-themecolor:text1;mso-themetint:166;mso-ansi-language:FR »o   Traque les indicateurs de compromission d’identifiants, repère les mouvements d’actifs dans le réseau et place automatiquement des pièges pour les intrus.

« Courier New »;mso-fareast-font-family:« Courier New »; color:#595959;mso-themecolor:text1;mso-themetint:166;mso-ansi-language:FR »o   Surveille en continu les postes de travail – même les postes de travail distants inconnus du réseau – et détecte les comptes compromis, les procédés malveillants et les manipulations de logs. Cela permet de connaître les lieux utilisés par les attaquants pour se cacher et permet de détecter les menaces plus rapidement.

« Courier New »;mso-fareast-font-family:« Courier New »; color:#595959;mso-themecolor:text1;mso-themetint:166;mso-ansi-language:FR »o   Tire profit de systèmes experts pour faire évoluer la solution en permanence, tout comme évoluent les comportements des attaquants, alors que les solutions traditionnelles sont statiques, surveillant seulement les indicateurs de compromission connus et deviennent rapidement obsolètes.

« Courier New »;mso-fareast-font-family:« Courier New »; color:#595959;mso-themecolor:text1;mso-themetint:166;mso-ansi-language:FR »o   Utilise automatiquement des pièges, pour détecter les attaquants lorsqu’ils procèdent au repérage du réseau, avant qu’ils n’aient engendré des dégâts.

Investiguer les incidents plus rapidement avec la détection et la recherche sur les postes de travail

Rapid7 InsightIDR élimine toute collecte manuelle des données. La solution exploite les données à travers toute l’entreprise et connecte automatiquement les événements, plus spécialement l’utilisateur et l’actif impliqués. Cela permet aux équipes de rechercher très rapidement dans le système, les preuves d’une compromission, et de confiner très rapidement les failles.

En complément, Rapid7 InsigthIDR:

« Courier New »;mso-fareast-font-family:« Courier New »; color:#595959;mso-themecolor:text1;mso-themetint:166;mso-ansi-language:FR »o   Rapproche l’utilisateur, les actifs et les données comportementales pour générer une vision unique, évitant ainsi aux équipes de sécurité d’utiliser et de recouper les sources de plusieurs outils.

« Courier New »;mso-fareast-font-family:« Courier New »; color:#595959;mso-themecolor:text1;mso-themetint:166;mso-ansi-language:FR »o   Fournit une capacité de recherche avancée sur les données machines, qui permet aux équipes de sécurité de valider rapidement un incident et de définir son périmètre, afin de le contenir très vite.

« Courier New »;mso-fareast-font-family:« Courier New »; color:#595959;mso-themecolor:text1;mso-themetint:166;mso-ansi-language:FR »o   Offre des capacités de recherche approfondie sur les postes de travail, permettant de collecter les informations de connexion, de processus, et toutes autres informations à inclure dans le  procédé d’investigation et de confinement. 

La collecte des données contextuelles

Rapid7 InsightIDR est une solution unique couvrant un périmètre de données et une visibilité sur le réseau, les postes de travail et les applications Cloud, très large, en automatisant tout de la conformité PCI à l’analyse comportementale, en passant par la détection des postes de travail et la recherche. 

A l’inverse des SIEM ou autres technologies qui ont été conçues initialement pour la conformité aux normes de sécurité, Rapid7 InsightIDR étend la collecte des données et la détection aux postes de travail ainsi qu’aux applications Cloud telles que Amazon Web Services, Box, Microsoft Office 365, Okta, Salesforce, etc. La solution ajoute ensuite automatiquement le contexte et trouve les relations entre les jeux de données, éliminant le besoin de recourir à la collecte manuelle des données et la corrélation des logs, VPN, Active Directory, etc.

En complément, Rapid7 InsightIDR :

« Courier New »;mso-fareast-font-family:« Courier New »; color:#595959;mso-themecolor:text1;mso-themetint:166;mso-ansi-language:FR »o   Fournit une visibilité immédiate sur l’intégralité du réseau, et sur les compromissions potentielles, sans attendre que les équipes de sécurité écrivent et valident des règles complexes.

« Courier New »;mso-fareast-font-family:« Courier New »; color:#595959;mso-themecolor:text1;mso-themetint:166;mso-ansi-language:FR »o   Génère automatiquement une visualisation temporelle des événements les plus  saillants, à laquelle il est possible d’appliquer un contexte des processus métiers. Cela permet aux équipes de sécurité de valider un incident rapidement.

Des évolutions importantes pour la plateforme Rapid7 Insight

En complément de la disponibilité de la nouvelle plateforme Rapid7 Insight IDR, Rapid7 annonce également des évolutions majeures pour sa plateforme Insight qui est utilisée par les solutions de sécurité analytique et de sécurité des données en mode Cloud, de l’éditeur.

La plateforme intègre désormais les fonctionnalités d’agrégation de données machine et de recherche de Logentries, automatise la collecte des données dans l’intégralité de l’environnement IT – incluant les données des postes de travail, du réseau, des applications Cloud et des terminaux mobiles – et ajoute des éléments importants de contexte. Ses capacités intuitives de visualisation et de consolidation de données en rapports concis permettent aux utilisateurs de tirer profit de l’analytique afin de prendre des décisions business plus pertinentes et d’obtenir de meilleurs résultats.

Les solutions de sécurité analytiques complémentaires de Rapid7 vont être mises à jour avec des nouvelles capacités innovantes dès cette année. La première de ces mises à jour concernera l’outil d’analyse comportementale des utilisateurs de Rapid7 (UBA) désormais appelé Rapid7 InsightUBA. Une nouvelle version sera présentée au premier semestre 2016. 

Le portefeuille de solutions Rapid7 pour la détection et la réponse aux incidents

Rapid7 InsightIDR fait partie de la famille de produits et services de Rapid7 pour la détection et la réponse aux incidents. La plateforme inclut toutes les technologies issues de la solution Rapid7 InsightUBA, en y ajoutant la centralisation des logs, la détection des postes de travail et la recherche, l’interrogation des postes de travail et les rapports de conformité.

Rapid7 offre également :

• Analytic Response, un service managé dédié à la détection et la réponse aux incidents.
• Incident Response, des services de réponse aux failles.
• Incident Response Program Development, un programme de formation et d‘évaluation.