Kaspersky mise sur une approche globale contre les attaques ciblées

C’est au printemps que Kaspersky a lancé sa plateforme de protection contre les attaques ciblées, Kaspersky Anti Targeted Attack Platform (Kata). Celle-ci doit permettre de détecter rapidement les attaques ciblées visant l’entreprise, en s’appuyant non seulement sur le poste de travail, mais également sur d’autres éléments de l’infrastructure. Une approche qui peut rappeler celle de Sophos avec le projet Galileo.

A l’occasion d’un entretien téléphonique avec le rédaction, Vincent Leclerc, responsable de la division Conseil et Avant-vente de l’éditeur en France, explique que la plateforme Kata s’appuie différentes sondes pour collecter des indicateurs, combinant postes de travail et éléments du réseau : proxy, passerelle de protection Web ou encore passerelle de protection du courrier électronique – couplée à un service de mise en bac à sable des éléments suspects : « l’ensemble de ces éléments envoie des informations à un centre d’analyse, un système expert qui va assurer une corrélation d’événements basée sur des scénarios ». Ceux-ci sont élaborés par Kaspersky en s’appuyant sur ses analystes.

Le centre d’analyse profite également d’information externes à l’entreprise, des renseignements sur les menaces grâce aux informations remontée par les clients de l’éditeur connectés à son Kaspersky Security Network (KSN). Selon Tanguy de Coatpont, directeur général France et Afrique du Nord de l’éditeur, ce réseau collecte des données auprès d’environ 60 millions de postes clients, sur un parc installé total de l’ordre de 400 millions. Car la remontée d’indicateurs ou d’échantillons vers KSN n’a rien d’obligatoire : seules les entreprises le souhaitant participent à cette approche collective de la collecte d’informations sur les menaces.

L’apprentissage machine est également mis à profit par Kata pour modéliser la marche normale du système d’information surveiller afin de pouvoir détecter les dérivations susceptibles de trahir une menace. Selon Tanguy de Coatpont, il faut compter entre deux semaines et un mois d’observation pour établir un modèle raisonnablement fiable. « Mais cela dépend de la taille de l’infrastructure et du positionnement des sondes », précise-t-il.

Surtout, avec Kata, Kasperky s’apprête à faire un pas dans la direction de l’EDR (Endpoint Detection and Response), une autre des vedettes de l’édition 2016 de RSA Conference. Vincent Leclerc explique ainsi que « l’agent qui remonte des événements locaux des postes de travail sera à terme capable de recevoir des ordres d’actions à effectuer sur le poste client ».

Mais question, pour l’heure, de prendre la voie de l’automatisation, pourtant de plus en plus tentante. Tanguy de Coatpont précise que Kata vise à fournir des informations aux analystes de centres de sécurité opérationnels : « il s’agit de lutter contre les attaques ciblées, quelque chose de très particulier qui demande investigation » et n’a pas vocation à être traité de manière purement mécanique.