Cymmetria adapte ses leurres à l’examen des événements suspects

Cymmetria vient d’annoncer le lancement d’ActiveSOC, une solution qui permet de déployer à la demande des leurres en fonction d’événements observés remontés par un système de gestion des informations et des événements de sécurité (SIEM), une plateforme de gestion des renseignements sur les menaces, ou d’autres contrôles de sécurité.

L’idée est simple : déployer dynamiquement et sélectivement des éléments de leurre à l’occasion d’événements apparemment anodins afin de produire des informations affinées sur des choses qui pourraient sinon passer inaperçues ou provoquer de lourds efforts d’examens. Au final, la solution vise à réduire tant la charge sur les analystes en centre opérationnel de sécurité (SOC) que les faux positifs et faux négatifs.

Dans un billet de blog, Gadi Evron, Pdg de Cymmetria, présente l’exemple d’une règle prévoyant le déploiement d’identifiants leurres sur une machine lorsqu’elle génère un événement suspect dans le SIEM. La plateforme MazeRunner, via ses API, intervient alors pour assurer ce déploiement et le suivi de l’éventuel attaquant. Le déploiement est réalisé par les systèmes de gestion des postes de travail existants – Tanium, McAfee,Phantom, Chef/Puppet, etc. Et d’alimenter en retour le SIEM avec les informations qu’il est susceptible de collecter.

Pour mémoire, Cymmetria propose une version gratuite de MazeRunner, son édition communautaire. Mais celle-ci n’est pas couverte par son programme de compensation des dommages causés par une attaque que la plateforme aurait échoué à détecter, jusqu’au double du coût de licence annuel, ou jusqu’à 1 M$.