Microsoft vient de mettre à disposition Microsoft Advanced Threat Analytics (ATA). Depuis maintenant plusieurs mois des cyber-attaques retentissantes se suivent ! Que l’on parle de Sony, Target, Orange, etc. Tous ont été touchés par des attaques suivies par des fuites de données sensibles. Dans 75 % des cas, l’intrusion réseau est due à une compromission des identifiants utilisateurs. Les attaquants ont changé leurs habitudes en utilisant les outils d’administration légitimes plutôt que des logiciels malveillants afin de se rendre invisibles et indétectables. Dans les attaques ciblées, les pirates peuvent mettre au point des logiciels dédiés à l’attaque pour ne pas détecter par les antivirus.
Il faut plus de 200 jours à l’entreprise pour détecter l’attaque et l’intrusion du réseau. Ceci résulte à un coût moyen de 3,5 millions de dollars avec des conséquences plus ou moins importantes. Dans certains cas, des mesures de sécurité drastique peuvent permettre de sortir la tête de l’eau. Dans d’autres, c’est une refonte complète de l’annuaire Active Directory qui est nécessaire. Bien souvent la perte de données a un impact bien plus important qu’on peut l’imaginer. La réputation de la marque peut en pâtir et mettre à mal le business model de l’entreprise. Le coût potentiel total du cyber crime est estimé à 500 milliards de dollars.
Devant cette problématique latente, Microsoft a lancé une solution on-premises pour identifier les attaques de sécurité avancées avant qu’elles ne causent des dommages à l’entreprise. Microsoft Advanced Threat Analytics (ATA) est basée sur la technologie d’Aorato rachetée l’an dernier.
Microsoft Advanced Threat Analytics est construit sur l’analyse du comportement combiné avec la détection en temps réel des tactiques, Techniques et Procédures (TTPs) des attaquants. La solution utilise donc la technologie Deep Packet Inspection (DPI) pour analyser le trafic réseau Active Directory ainsi que les informations de sécurité et d’événements (SIEM). L’analyse comportementale ne nécessite pas la création de règles ou de stratégie, ni le déploiement d’agents. L’outil apprend continuellement des analyses effectuées. Ces techniques permettent de construire une carte et des profils pour identifier les comportements anormaux, les attaques avancées et les problèmes de sécurité connus. La solution permet de réduire considérablement les faux positifs liés à des profils définis. Le comportement de l’analyse est contextualisée en fonction des données passées et des différentes phases d’apprentissage.
Le produit fonctionne donc en trois grandes phases : Analyse, Apprentissage, Detection.
Analyse
- La solution est simple, non intrusive et
- Reste invisible aux yeux des attaquants
- Inspecte tout le trafic réseau Active Directory
- Collecte les évènements intéressants depuis la SIEM et les informations depuis Active Directory (Appartenances aux groupes, etc.)
Apprentissage
- Démarre automatiquement l’apprentissage et le profilage du comportement des objets (utilisateurs, périphériques et ressources)
- Identifie les comportements normaux des objets
- Apprend continuellement pour mettre à jour les activités des objets
Détecte
- Regarde les comportements anormaux et identifie les activités suspectes
- Ne lève des alertes que si les activités anormales sont contextuellement agrégées
- Exploite les recherches en matière de sécurité pour détecter les risques et les attaques en temps quasi réel basé sur les tactiques, techniques et procédures (TTP)
L’entreprise obtient une vision des risques et problèmes de sécurité avec un protocole faible, et des vulnérabilités de protocoles connues. En outre, le produit détecte des attaques comme :
- Pass-the-Ticket (PtT)
- Pass-the-Hash (PtH)
- Overpass-the-Hash
- Forged PAC (MS14-068)
- Golden Ticket
- Skeleton key malware
- Reconnaissance
- BruteForce
Enfin, les comportements anormaux suivants sont remontés :
- Connexions anormales
- Connexions à distance
- Activités suspectes
- Menaces inconnues
- Partages de mot de passe
- Mouvements latérales
D’un point de vue architecture, le produit propose deux éléments : L’ATA Center et l’ATA Gateway. L’ATA Center gère la configuration, reçoit les données des gateways, détecte les activités suspicieuses et comportements anormaux, et fournit une interface d’administration Web.
L’ATA Gateway capture et analyse le trafic des contrôleurs de domaine via Port Mirroring, reçoit les événements depuis la SIEM, reçoit les données des objets depuis le domaine, et effectue une résolution des objets pour transférer les données à l’ATA Center.