Cisco Tetration s’enrichit de capacités de détection d’activités malicieuses

Le virage de Tetration en direction de la sécurité n’est pas nouveau. En février 2017, Cisco lui a ajouté la capacité de faire appliquer des politiques de gestion du trafic entre applications s’exécutant dans le centre de calcul, et d’autres, dans le Cloud.

Avec la dernière mise à jour de Tetration, Cisco vient d’enrichir sa plateforme analytique pour identifier les tentatives d’exploitation de vulnérabilités logicielles, les activités anormales, et bloquer les communications non autorisées entre applications. Cela s’applique aux applications s’exécutant dans le centre de calcul comme sur une infrastructure en mode Cloud.

Cisco explique que ces nouvelles fonctionnalités, présentées cette semaine, doivent équiper Tetration pour lutter contre les plus récentes menaces de sécurité, dont l’exploitation des vulnérabilités Spectre et Meltdown. Car la plateforme s’appuie sur le catalogue de vulnérabilités courantes, le CVE, tenu à jour avec le soutien du ministère américain de l’Intérieur, pour identifier les applications potentiellement vulnérables dans l’infrastructure et évaluer la criticité de la menace.

Les administrateurs peuvent ensuite choisir leur réponse à la menace en définissant des politiques déclenchant certaines actions spécifiques, comme la mise en quarantaine d’applications trop exposées. Et cela tant via la console d’administration de Tetration que via ses API.

La plateforme doit aussi aider à débusquer les processus malicieux en construisant un inventaire de ceux qui se sont exécutés ou sont en train de le faire. Des détails sur ces processus sont conservés, comme leurs paramètres d’exécution, les utilisateurs concernés, et les éléments chronologiques associés.

Enfin, Cisco a ajouté à Tetration une technologie qui crée un modèle de référence du comportement des applications, sur la base de son fonctionnement usuel. La plateforme peut dès lors identifier les déviations et alerter les administrateurs des anomalies : élévation de privilèges, exécution de code shell, ou encore attaques sur des canaux dérobés. Autant de techniques classiques utilisées par les maliciels.

Au passage, l’équipementier a ouvert Tetration à plus de sources de données. La plateforme est ainsi désormais capable de collecter des informations auprès de conteneurs, de vCenter Server de VMware, ou encore des équilibreurs de charge s’exécutant sur AWS.