Une détection temps réel des menaces connues et inconnues.

Des sondes Dualwatch & Trackwatch® au flux de Threat Intelligence MRTI LastInfoSec®, les solutions de détection Gatewatcher sont animées par la même philosophie : donner à leur utilisateur un temps d’avance contre l’attaquant.

Elles combinent de hautes performances avec des méthodes d’automatisation et d’apprentissage automatique, afin de rester efficaces face à un volume important de données. Elles sont scalables et immédiatement opérationnelles.

Les solutions de détection Trackwatch® ont la qualification élémentaire de l’ANSSI, ce visa de sécurité vous permet de mettre vos systèmes d’informations en conformité à la LPM.

REPÉRER EN TEMPS REEL UNE ATTAQUE PAR RANSOMWARE


Résumé

Comment opère un ransomware ?

Les attaques par ransomware font exécuter à la victime un logiciel chiffrant les données et demandant une rançon. Si reconnaître un ransomware est aisé lorsqu’il est passé à l’action, le déceler en amont est bien plus difficile. Les pirates camouflent systématiquement les différents composants de leur attaque afin de contourner les défenses en place.

Détecter les agissements qui trahissent un ransomware

La difficulté que posent les ransomwares réside dans deux facteurs : le silence qui précède le chiffrement des fichiers, et les multiples portes d’entrée qu’ils peuvent emprunter pour s’installer chez la victime. Un système de défense efficace doit pouvoir surveiller simultanément plusieurs points d’entrée (serveurs de messagerie etc…), et être capable de détecter les exploits que peuvent réaliser les attaquants pour télécharger chez la victime le logiciel malveillant qui exécutera le chiffrement. Les exploits menés, le logiciel et ses tentatives de communication avec l’extérieur sont autant d’éléments qui trahissent la présence du ransomware avant sa phase de malveillance.

Notre réponse : voir les révélateurs pour agir à temps avec Trackwatch®

Les modules au sein de Trackwatch® sont capables de détecter les éléments propres à ces attaques : récupération de la clé sur un C&C, identification de flux SMB suspicieux ou détection de pièces jointes malicieuses dans un courriel. La plateforme vous donne l’avantage pour réagir le plus tôt possible, tant sur l’aspect purement exploit de ces attaques que sur les malwares grâce aux analyses du moteur Malcore.

Points clés

Ressources

Produit :

Trackwatch® Full Edition

White papers :

Comment détecter les menaces avancées ?

Approfondir sur le blog :

Ransomwares : l’arme préférée des hackers ?

IDENTIFIER LES VIOLATIONS DES POLITIQUES DE SECURITE


Résumé

Pourquoi favoriser une approche déterministe de la détection ?

Une approche efficace de la détection sur réseau consiste à maximiser votre visibilité sur les actions malicieuses et suspectes en cours, en évitant un nettoyage chronophage des faux positifs engendrés par des outils non qualifiants. En partant du postulat que vous êtes la personne la mieux informée des risques pesant sur vos SI, une approche déterministe de la détection vis-à-vis d’un référentiel reste la méthode la plus certaine.

Le respect de la PSSI souvent contraint par le manque de visibilité

Les organisations font souvent face à la même problématique lorsqu’il s’agit de rédiger et de contrôler le respect de la PSSI : un manque de visibilité sur les assets et le réseau de manière plus générale. Ce manque de visibilité empêche une juste appréciation des risques, et résulte souvent sur le déploiement d’un système de détection trop peu paramétré en fonction du SI à surveiller. S’en suit un inévitable bruit dans les alertes et un système de détection souvent délaissé à long terme.

Notre réponse : détecter les violations de la PSSI avec Trackwatch®

Trackwatch® est l’outil idéal pour la mise en application et le contrôle de votre politique de sécurité de façon rigoureuse et déterministe. Trackwatch® vous apporte une cartographie et un inventaire de l’ensemble de votre trafic réseau. A partir de ces informations, votre équipe SSI peut établir les événements redoutés et mettre au point la politique de sécurité. L’implémentation dans Trackwatch® de votre politique se réalise par la rédaction d’un ensemble de règles issues de la cartographie. La mise en place est immédiate et permet un contrôle également immédiat.

Points clés

Resources

Produit :

Trackwatch® CIE et Full Edition

Approfondir sur le blog :

La gestion des vulnérabilités en entreprise : de la détection à l’analyse

OPTIMISER VOTRE CYBERSECURITÉ AVEC UN FLUX MRTI


Résumé

Pourquoi la Threat Intelligence est-elle complémentaire à vos solutions de cybersécurité?

Un parc de solutions de cybersécurité n’est jamais infaillible face à des menaces très récentes, ou résurgentes. Une source externe de Threat Intelligence permet d’apporter de nouvelles données, extérieures à celles de l’éditeur d’une solution et complémentaires par leur nature, leur source et leur contexte. Une Threat Intelligence complémentaire permet de surcroit de bénéficier d’informations sur les dernières menaces pesant sur une industrie en particulier.

Optimiser son parc avec un flux Machine Readible Threat Intelligence (MRTI)

Un flux de Threat Intelligence dit MRTI donne de l’information sur les menaces directement assimilable par vos équipements de détection (sondes, SIEM…). Cette Threat Intelligence dite « technique » permet d’augmenter simplement l’efficacité de vos solutions en améliorant la connaissance du paysage des menaces et en réduisant le bruit. Vous pouvez également automatiser votre threat hunting afin de réduire le temps de détection d’incidents. Elle augmente la contextualisation des informations et réduit les faux positifs sans modifier vos process en place.

Lastinfosec® : Un apport de Threat Intelligence souple et performant

Avec l’offre de flux LastInfoSec®, vous pouvez optimiser sans contrainte l’efficacité de détection de vos équipements sans modifier vos process existants : le flux est proposé dans un format très standardisé (StixV2) et vient s’intégrer directement dans vos équipements. Les bénéfices sont immédiats et la réactivité de la solution la place à la pointe du marché. Contextualisez vos alertes grâce à l’ajout de nouvelles informations extérieures, augmenter la capacité de détection via des IOC extra récents…

Points clés

Ressources

Produit :

LastInfoSec® Threat Feed

Approfondir sur le blog :

Cyber Threat Intelligence : mieux connaître son adversaire pour anticiper

Actualités :

Annonce du rachat de LastInfoSec® par Gatewatcher

METTRE EN CONFORMITÉ SES SIIV AVEC LA LOI DE PROGRAMMATION MILITAIRE


Résumé

Que demande la loi de programmation militaire aux OIV ?

L’Etat français définit les Organismes d’Importance Vitale comme des organisations publiques ou privées qui opèrent des activités indispensables au pays. Suite à l’entrée en vigueur de la Loi de Programmation Militaire, les OIV ont de nombreuses obligations, auxquelles ils doivent se plier sous peine de sanctions par l’ANSSI.

La Loi de Programmation Militaire exige de ces organisations qu’elles renforcent la sécurité de certains de ses systèmes d’information, appelés systèmes d’information d’importance vitale, notamment en installant des sondes de détection qualifiées sur ces derniers. Derrière cette obligation, transparait la volonté de créer une filière souveraine de la cyberdéfense en France, et d’augmenter la résilience des systèmes d’information des OIV qui hébergent des commandes et des données critiques.

Choisir une sonde qualifiée par l’ANSSI

Une sonde de détection qualifiée est un équipement de sécurité du réseau, « on-premise », pouvant d’analyser en temps réel l’activité du réseau afin d’y détecter des tentatives d’intrusion. L’ANSSI a conduit en laboratoire une série de tests de sécurité sur des équipements soumis par des éditeurs, et ceux qui réunissait les exigences de résilience du logiciel et du matériel présentés ont pu obtenir cette qualification. Pour choisir votre sonde, il vous faut prendre en considération la capacité de cette dernière à tenir la qualification sur le long terme tout en garantissant la meilleure performance de détection.

Notre réponse : Une conformité pérenne sans compromis de performance avec Trackwatch®

Intégrant des impératifs de durcissement logiciel et matériel dans la conception même de ses solutions, la solution de détection Trackwatch® possède la qualification élémentaire de l’ANSSI et vous permet de vous mettre en conformité avec la Loi de Programmation Militaire.

L’intégralité de la gamme Trackwatch® est qualifiée par l’ANSSI et nous garantissons cette qualification dans le temps. Le durcissement logiciel et matériel dont fait l’objet la solution n’impacte en rien ses performances. Trackwatch® offre des facilités d’intégration unique sur le marché : agrégation native RxTx, haute scalabilité et déploiement simple dans une architecture de type PDIS. Au-delà de vos besoins concernant la conformité, elle vous permet de bénéficier d’une qualité de détection parmi les plus pointues.

Points clés

Ressources :

Produit :

Trackwatch® Critical Infrastructure Edition

Guides pratiques :

Les obligations des OIV dans le cadre de la Loi de Programmation Militaire

Approfondir sur le blog :

Qu’est-ce qu’un Opérateur d’Importance Vitale (OIV ?)
Comprendre les obligations des OIV en trois points clés
Le référentiel PDIS : ce qu’il faut savoir
Pourquoi les visa de sécurité de l’ANSSI sont-ils importants ?

DÉTECTER L’EXPLOITATION D’UNE VULNÉRABILITÉ PAR UN SHELLCODE

Résumé

Qu’est qu’un shellcode ?

Un shellcode est une technique d’exploitation d’une vulnérabilité, consistant en une chaine de caractères formant un code binaire exécutable. Ce code fourni par l’attaquant va exploiter la vulnérabilité en forçant la machine à l’exécuter, généralement par le biais d’une injection dans sa mémoire au moyen d’un dépassement de tampon (buffer overflow). Le résultat dépendra de l’objectif visé par l’attaquant, et peut par exemple être la prise de contrôle d’une interface en ligne de commande.

Quels sont les dangers des shellcodes et de leurs évolutions contemporaines ?

Les shellcodes sont souvent l’élément commun invariable aux attaques dites 0-days, c’est-à-dire exploitant une vulnérabilité encore inconnue. Ces dernières sont indétectables en elles-mêmes, car imprédictibles. Ainsi la lutte la plus efficace consisterait à observer le payload originel, injecté pour exploiter la vulnérabilité. Le défi se corse lorsqu’on sait que les attaquants cherchent à contourner les anti-virus ou IDS traditionnels en personnalisant leurs shellcodes ou en les obfusquant : notamment au moyen d’un générateur de shellcodes polymorphiques.

Notre réponse : se prémunir contre les shellcodes encodés et polymorphiques grâce à Trackwatch®

La solution de détection Trackwatch® Full Edition est la seule du marché à fournir des modules de détection capables de repérer des shellcodes utilisant un encodage, d’émuler ce dernier et de le traduire de manière intelligible à un analyste. Notre moteur anti-shellcodes Codebreaker prend en charge tous les principaux encodages disponibles sur les plateformes type Metasploit, ainsi que les générateurs polymorphiques.

Points clés

Ressources :

Produit :

Trackwatch® Full Edition

White papers

Comment détecter les shellcodes encodés ?

Approfondir sur le blog

Améliorer la détection des shellcodes

Ce site utilise des cookies pour vous garantir la meilleure expérience sur notre site. En savoir plus.