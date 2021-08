ExtraHop renforce les capacités de réponse et d’analyse forensique

août 2021 par Marc Jacob

ExtraHop annonce de nouvelles fonctionnalités et offres destinées à approfondir l’analyse de l’activité des menaces avancées. Les nouvelles capacités de Threat Briefings de Reveal(x) 360 fournissent en un clic des rapports de réponse aux incidents permettant d’enquêter rétroactivement sur les failles de sécurité (CVE) critiques et leur exploitation, tandis que l’ajout des sondes Reveal(x) 360 Ultra Sensors pour les workloads Amazon Web Services (AWS) délivre en mode Saas des outils de détection, de réponse et d’analyse forensique extrêmement évolutifs. ExtraHop offre désormais des capacités d’analyse forensique aux clients d’AWS via ExtraHop Packet Basics, un outil gratuit de capture de paquets proposé exclusivement sur AWS Marketplace. Ces innovations ont principalement pour but d’aider les équipes de sécurité à court de ressources à enquêter sur les menaces avancées et à y remédier.

Selon une récente étude d’ESG Research, les principaux objectifs en matière de détection et réponse aux menaces sont notamment l’amélioration du temps nécessaire à la détection (34 %) ainsi que l’amélioration du temps moyen de réponse aux menaces (MTTR) (29 %). Les équipes de réponse aux incidents ont besoin d’outils de détection et de réponse plus efficaces, en particulier face aux menaces persistantes avancées (APT) qui opèrent des mouvements latéraux à l’intérieur des réseaux pendant des périodes prolongées.

« Le blocage et le confinement des menaces ne suffisent plus pour les entreprises qui doivent gérer des réseaux hybrides, des télétravailleurs ainsi qu’une montée des menaces avancées cherchant à s’infiltrer et à se déplacer au sein de ces entreprises », témoigne Rajiv Thomas, ingénieur senior systèmes chez Gas South. « ExtraHop se concentre sur la réponse et l’analyse forensique fournissant ainsi à mon équipe les outils dont elle a besoin pour enquêter de manière approfondie, en suivant les mouvements latéraux afin de déterminer exactement ce qui a été compromis, et depuis combien de temps. »

« Aujourd’hui les attaques sophistiquées ne ressemblent plus aux agressions brutales du passé », observe Jon Oltsik, analyste principal senior chez ESG. « Leurs auteurs recourent désormais à des techniques insidieuses pour pénétrer dans les réseaux, s’implanter sur des équipements vulnérables et se tourner vers les cibles qui les intéressent, tout en restant patiemment à l’affût. Ces innovations apportées par ExtraHop peuvent fournir aux équipes chargées de la réponse aux incidents un workflow optimisé et des capacités d’analyse leur permettant de mieux identifier leur exposition globale aux menaces et de réduire leur MTTR. »

Rapports Threat Briefings

ExtraHop est le seul fournisseur de solutions NDR offrant la possibilité d’évaluer rétrospectivement, sur une période de 90 jours, l’« onde de choc » de l’exploitation des CVE critiques et des failles Zero Day. Les rapports ThreatBriefings intégrés au produit regroupent des informations clés sur chaque menace et mettent en lumière les équipements potentiellement vulnérables sur le réseau. Ils recensent également les détections liées à la menace et préconisent des solutions face à des incidents récents, tels que la campagne de ransomware REvil (Kaseya) ou la vulnérabilité PrintNightmare de Microsoft. Ces rapports ainsi que les détecteurs incorporés aident les équipes de sécurité à connaître l’impact d’une attaque afin de décider du processus de réponse.

Sondes Reveal(x) 360 Ultra Sensors

Alors que 84 % des entreprises prévoient une migration croissante de leurs workloads et de leurs données vers des modèles cloud d’ici un an, les équipes de cybersécurité ont besoin de planifier la sécurité du réseau dans ces environnements Cloud. Face à la capacité des hackers à propager rapidement des attaques via les infrastructures Cloud, ces équipes doivent disposer d’une visibilité au niveau des paquets sur ces infrastructures pour suivre aussi bien le trafic « Nord-Sud » entrants et sortants de celles-ci que les mouvements latéraux « Est-Ouest » afin de pouvoir répondre aux incidents. Les sondes Reveal(x) 360 Ultra Sensors offrent toutes les capacités de sécurité de la solution NDR cloud phare d’ExtraHop, auxquelles s’ajoute l’analyse des paquets capturés. Les utilisateurs d’AWS bénéficient ainsi d’un déploiement optimisé et d’outils de réponse aux incidents actifs en permanence.

ExtraHop Packet Basics

Pour les attaques récentes telles que la campagne de ransomware REvil (Kaseya), qui n’a potentiellement pas déclenché d’alerte de détection, la capture continue de paquets a permis aux analystes de remonter dans le temps et d’inspecter ceux-ci pour procéder à une investigation appropriée. ExtraHop Packet Basics est un outil gratuit pour AWS qui fournit aux équipes de réponse aux incidents, aux CERT et aux équipes sécurité en général des indications plus détaillées que celles disponibles dans les journaux de logs et les données provenant des agents et des firewalls. Disponible sur AWS Marketplace, ExtraHop Packet Basics peut être déployé d’un simple clic dans un environnement AWS.

Toutes ces innovations sont disponibles dès à présent.