Détection et analyse des incidents : l’essentiel sur BluVector Cortex

De multiples moteurs d’analyse

Pour cela, explique Kris Lovejoy, Cortex exécute en parallèle neuf moteurs de détection, dans des conteneurs, dont certains sont propriétaires et couverts par des brevets. C’est notamment le cas du premier, basé sur un modèle établi par apprentissage automatique supervisé et dédié à la détection des maliciels polymorphiques cachés dans des fichiers. Pour élaborer ce modèle, « nous avons travaillé pendant dix ans avec la communauté du renseignement et de la défense ». Tout y passe, des fichiers bureautiques classiques jusqu’aux paquets APK des applications Android ou aux disques virtuels DMG de macOS. L’entraînement ne s’est pas fait que sur fichiers infectés, mais également sur des échantillons sains. Kris Lovejoy souligne que le modèle n’est pas monolithique et que chaque type de fichier – détecté par analyse, et pas simplement établi sur la base de l’extension – dispose de son propre classificateur. Bien sûr, le moteur d’apprentissage est régulièrement entraîné et toute évolution du modèle est poussée aux instances déployées chez les clients.

Limiter les faux positifs

Un second moteur procède à une exécution spéculative du code. Il s’agit là de détecter les maliciels dits filelessdans le trafic réseau : « shell code et scripts sont extraits du flux et l’on émule leur comportement en cas d’exécution. Cela permet d’évaluer le potentiel malicieux et de détecter, quasiment en temps réel, les attaques sans fichier avec un niveau de faux positif très bas. En laboratoire, il est proche de zéro », explique Kris Lovejoy.

Les sept autres moteurs recouvrent notamment l’analyse comportementale par apprentissage automatique, pour détecter les anomalies, ou encore la corrélation entre analyse des flux réseau et renseignements sur les menaces.

Les résultats produits par les neuf moteurs « sont transmis à moteur probabiliste : il assure la corrélation et orchestre la collecte de données contextuelles – on parle de targeted logging et un brevet couvrant le procédé nous a été accordé ». Un score de probabilité est alors établi, renseignant sur le caractère malicieux ou non de l’événement traité.

Les entreprises de taille intermédiaire peuvent se contenter de Cortex pour surveiller leur infrastructure, assurer l’intégration de flux de renseignement sur les menaces – aux formats STIX/TAXII –, et même procéder à des opérations de remédiation, comme du confinement, automatiquement, lorsque le caractère malicieux de l’événement apparaît clairement établi.

De vastes capacités d’intégration

Mais pour les grands groupes, Cortex expose des API permettant de multiples intégrations, avec des solutions de gestion du renseignement sur les menaces, d’orchestration de la réponse à incident, ou encore de gestion des informations et des événements de sécurité (SIEM). Pour ces derniers, la plateforme se comporte alors comme un analyste ayant assuré le premier degré de triage et d’investigation.

Côté remédiation, Cortex peut donc s’intégrer avec des plateformes dédiées, mais également adresser directement des requêtes d’isolation ou de blocage à des pare-feu, systèmes de contrôle d’accès réseau (NAC), ou encore de réponse à incident sur les postes de travail (EDR).

Dans ce dernier domaine, l’intégration est tout naturellement bidirectionnelle pour permettre d’enrichir les analyses de BluVector Cortex. Un partenariat technologique a d’ailleurs été là noué avec Carbon Black.