Contre les attaques, LightCyber cherche les anomalies comportementales

C’est il y a quatre ans que Giora Engel et Michael Mumcuoglu, deux anciens de l’armée israélienne, ont fondé LightCyber. Tous deux y ont officié dans le domaine de la recherche et du développement. Ils ont également fondé ensemble MeterLive, une entreprise spécialisée dans l’analyse de l’audience des points de vente en s’appuyant sur le suivi passif des mouvements des téléphones mobiles des visiteurs.

LightCyber fait partie de ces jeunes pousses spécialisées dans l’analyse comportementale, mettant à profit l’apprentissage automatique non supervisé pour établir des profils comportementaux et détecter des anomalies susceptibles de trahir des activités malicieuses. Pour ses fondateurs, cette approche apparaît d’autant plus essentielle que, passée l’infiltration initiale, ce ne sont plus des logiciels malveillants qu’il faut chercher. Récemment, l’éditeur a d’ailleurs publié une étude pour étayer son propos : « 99 % de la reconnaissance réseau interne et des opérations de déplacement latéral provient d’applications légitimes ou à risque comme les scanners ».

La solution de LightCyber, la plateforme Magna, s’appuie sur la collecte de données relatives au trafic réseau mais également aux points de terminaison et aux utilisateurs. Ces données alimentent un moteur analytique s’appuyant sur des algorithmes d’apprentissage automatique (machine learning) pour construire des profils comportementaux de chaque actif de l’infrastructure et des utilisateurs, afin de faire ressortir d’éventuelles anomalies. Le moteur d’analyse est au passage épaulé par des flux de renseignement sur les menaces ainsi qu’un bac à sable d’analyse de fichiers suspects.

Les données réseau sont collectées par les modules Magna Detector à partir des ports TAP/SPAN des commutateurs, ainsi que par les sondes Magna Probe pour les implantations distantes. Celles-ci remontent leurs informations aux modules Detector. Ces derniers assurent également les échanges avec le service Pathfinder de surveillance des points de terminaison sans agent. C’est lui qui permet de replacer le trafic réseau observé dans le contexte des processus logiciels s’exécutant sur les postes de travail Windows et Linux, sur demande des Detector. De quoi identifier les processus à faible prévalence sur l’infrastructure et par exemple vérifier leur réputation – ou celle de domaines avec lesquels ils communiquent – en s’appuyant sur les données de renseignement sur les menaces.

La remédiation n’a pas vocation à être traitée directement par la plateforme Magna. Pour cela, LightCyber propose des capacités d’intégration avec des pare-feu, des systèmes de contrôle d’accès réseau (NAC), l’annuaire (pour bloquer des comptes utilisateur apparemment compromis) ou encore des systèmes de gestion des informations et des événements de sécurité (SIEM). Parmi ses partenaires technologiques, LightCyber compte notamment Check Point, HPE (pour ArcSight), Gigamon (pour la plateforme GigaSecure), et Palo Alto Networks. L’interfaçage avec la plateforme Magma peut se faire via une API REST.

Le module Detector de la plateforme est disponible sous la forme d’appliance physique, virtuelle, ou encore d’image AWS. Et il en va de même pour les sondes Probe. Le cœur de la plateforme, le module Magna Master, peut être installé comme une appliance dédiée ou virtuelle, voire même s’exécuter sur le même matériel que le module Detector dans les petits environnements. Il faut généralement compter deux à trois semaines de fonctionnement pour l’établissement des profils comportementaux de référence.

Mais outre la détection d’activités suspectes, la plateforme de LightCyber vise à limiter la quantité de faux positifs à traiter. L’éditeur revendique, à partir de sa base installée, la production de 1,09 alerte par jour pour 1000 points de terminaison. Selon ses clients, 62 % de toutes les alertes générées sont utiles, et jusqu’à 99 % de celles notifiées par l’outil comme relatives à des attaques « confirmées ». Les alertes sont assorties de toutes les informations relatives aux flux réseau suspects et aux processus associés pour simplifier les efforts d’investigation.