Détection des menaces : l’essentiel sur Awake Security

Awake Security est une jeune pousse fondée à l’automne 2014 avec l’ambition d’automatiser une importante partie du travail des analystes des centres de sécurité opérationnels (SOC). A sa tête, on trouve Debabrata Dash, ancien vice-président de CipherCloud en charge de la technologie et de l’ingénierie, mais également Gary Colomb, ancien de NetWitness et toujours conseiller de Cylance, Keith Amidon, ancien directeur de l’ingénierie de VMware, passé par McAfee et Nicira, et enfin Michael Callahan, Pdg d’Awake, ancien de Datadog et de Greylock.

Rudolph Araujo, vice-président d’Awake Security en charge du marketing, ancien de FireEye et de McAfee, précise que la plateforme développée par l’entreprise se concentre sur l’analyse du trafic réseau pour détecter les activités malicieuses, et y réagir.

La plateforme développée par Awake Security peut donc ainsi rappeler celles de LightCyber, racheté par Palo Alto Networks, de Niara, racheté par HPE, ou encore de Darktrace et de Vectra.

Pour cela, la plateforme d’Awake Security s’appuie sur plusieurs briques. La première, EntityIQ, joue le rôle de moteur de recherche chargé de la collecte d’informations sur l’environnement, à partir par exemple de l’interface Tap ou Span d’un commutateur de cœur de réseau – sans agent, donc. Là, il s’agit d’identifier les hôtes impliqués, le type de trafic, les destinations, etc. Mais également de caractériser les relations entre les hôtes et leur comportement. « Le but est savoir qui discute avec qui, suivant quelles habitudes », explique Rudolph Araujo. En s’appuyant sur l’analyse des paquets en profondeur.

La seconde brique, c’est QueryIQ, un langage qui permet de lancer des requêtes sur toutes ces données. Rudolph Araujo revendique là la création d’un langage de génération de requêtes comportementales permettant « d’exprimer les tactiques, techniques et procédures (TTPs) des attaquants » : « de quoi permettre de se pencher par exemple sur l’infrastructure utilisée par l’attaquant plutôt que sur un simple indicateur de compromission (IOC) ».

La troisième brique est baptisée DetectIQ : « elle permet d’identifier les activités malicieuses sur l’environnement, sans qu’elles impliquent de logiciel malveillant, comme les requêtes PowerShell sur un contrôleur de domaine, les détournements d’identifiants, etc. ». Le tout en s’appuyant, au moins figurativement, sur un calque de TTPs posé sur le trafic réseau analysé, ou plutôt un graphe relationnel qui en aura été déduit. Et cela notamment en s’appuyant sur la référence ATT&CK du Mitre. Des flux de renseignement – Stix/Taxii, mais des intégrations sont disponibles avec les plateformes de gestion du renseignement sur les menaces d’Anomali ou encore de ThreatConnect via API – sur les menaces peuvent être ingérés pour accompagner l’analyste dans son travail.

Avec cette approche, la plateforme d’Awake Security peut afficher une différence par rapport à celles développées par les autres spécialistes de l’analyse comportementale appliquée au trafic réseau (NTA, network trafic analysis) : les anomalies comportementales peuvent être détectées, mais la détection des menaces peut commencer avant que ne soient pleinement établis les modèles comportementaux des hôtes de l’infrastructure – ce qui nécessite temps et apprentissage.

La plateforme permet directement à un analyste d’accéder à une liste d’hôtes identifiés comme présentant des risques élevés. Quarante composants sont utilisés pour noter le niveau de risque, dont bien sûr les IOC, mais uniquement – « une connexion à un service de messagerie gratuit comme gmail, via des commandes PowerShell, c’est suspect ». Et tout un historique des éléments observés est immédiatement accessible. De là, il est également possible d’accéder à un graphe d’hôtes présentant des comportements comparables, ou ceux pour lesquels les mêmes artefacts peuvent être observés. Un tel groupement peut par exemple permettre d’identifier le profil des cibles d’une attaque au sein de l’organisation.