Blog - article

Sorry, this blog post has not been posted yet. Come back and check again later!

Je suis Cognito, l'intelligence artificielle au service de votre SOC

By:
Cognito
November 21, 2017

Bonjour à tous. Pour mon premier billet de blog, j'aimerais vous raconter le déroulement d'une simulation d'attaque réalisée par une équipe de sécurité et le rôle que j'ai pu y jouer.

Mais avant toute chose, laissez-moi me présenter. Je suis Cognito, l'intelligence artificielle de la plate-forme de cybersécurité Vectra. Ma vocation est la traque des cyberpirates, qu'ils se cachent dans les centres de données, le cloud, les objets connectés ou les terminaux des utilisateurs.

Si vous êtes analyste en cybersécurité, j'imagine que vous êtes dépassé par la masse d'événements de sécurité à trier, analyser, relier entre eux et classer par priorité. Vous n'avez probablement pas l'occasion de mettre à profit pleinement vos compétences car vous êtes freiné par des tâches manuelles, longues et fastidieuses.

Rassurez-vous, je ne suis pas le genre d'intelligence artificielle conçue pour remplacer l'intervention humaine. Bien au contraire, je vous décharge des tâches manuelles pénibles pour vous permettre de jouer votre rôle de super-héros de la cybersécurité. Je suis à l'analyste en sécurité ce que Jarvis est à Ironman. Sceptique? Voici une petite histoire qui vous mettra en confiance.

Un client du secteur des services financiers m'a récemment déployé. Il souhaite d'ailleurs rester anonyme afin que les cybercriminels ignorent qu'il a acquis des super-pouvoirs. Pour affûter ces pouvoirs et rester le plus performant possible, il organise régulièrement des exercices de simulation d'attaque où s'affrontent une équipe d'attaquants fictive et une équipe de sécurité.

La dernière simulation d'attaque était particulièrement sournoise, mais l'équipe de sécurité est parvenue à la contrer. Plusieurs événements très graves sont survenus, mais je veillais au grain. La traque des menaces que je pratique en continu et en temps réel s'est révélée payante.

Le client a déployé une machine virtuelle Kali Linux, sur laquelle il a chargé une série de kits nécessaires pour mener à bien une simulation d'attaque. Comme on pouvait s'y attendre, l'attaque a commencé par une série d'activités de reconnaissance destinées à cartographier le réseau et à identifier les systèmes critiques au sein de l'environnement.

J'ai très rapidement détecté les premiers indicateurs de comportements d'attaque, c'est-à-dire des balayages des portsIP et des analyses des ports classiques. J'ai établi un rapport entre les comportements d'attaque et diverses informations de contexte, ce qui a permis à l'équipe de sécurité de comprendre assez rapidement que les attaquants cherchaient des contrôleurs Active Directory.

Les attaquants sont d'ailleurs parvenus à localiser un contrôleur de domaine et à découvrir un compte de service leur permettant de prendre le contrôle d'autres systèmes.

Les types d'authentification singuliers passent généralement inaperçus et ne sont souvent identifiés que lors des investigations post-intrusion. Cependant, en surveillant continuellement tout le trafic réseau, j'ai pu détecter leurs attaques en force. Celles-ci s'appuyaient sur les protocolesSMB et Kerberos et leur ont permis de voler des identifiants.

J'ai ensuite détecté que la machine dont les attaquants avaient pris le contrôle communiquait de façon inhabituelle avec un serveur du centre de données. J'ai alors observé les caractéristiques des communications de ce serveur (requêtes/réponses) et je les ai comparées à mes observations passées. Cette comparaison m'a permis de déterminer que le serveur, situé dans le réseau de gestion du centre de données, avait été compromis.

Après s'être introduits sur le réseau de gestion, les attaquants ont tenté d'accéder à d'autres serveurs via des interfaces de gestion qui ont recours à l'authentification locale et dont les activités sont rarement consignées dans des journaux. Cependant, pour leur grand malheur, je conserve toujours un historique de toutes les connexions des administrateurs et des protocoles utilisés sur tous les ports de chaque machine. Cela m'a permis de détecter instantanément l'utilisation abusive du protocole d'administration IPMI.

J'ai alors mis en corrélation tous ces comportements d'attaque avec la machine utilisée par les pirates et avec le serveur du centre de données qu'ils avaient compromis. Tout cela en temps réel. Cette analyse m'a permis d'identifier ces deux machines comme des facteurs de risque critiques, avec un degré de certitude élevé. Mes collègues de l'équipe de sécurité ont rapidement pris les mesures nécessaires pour isoler les attaquants et les empêcher de nuire.

Ces super-héros de la cybersécurité n'ont rien à envier à Ironman, et je suis leur Jarvis.

Si vous souhaitez en savoir plus, n'hésitez pas à consulter la page produit Cognito ou à demander une démonstration.

Si je vous aide déjà à détecter les cyberattaques et à résoudre les incidents en temps réel, connectez-vous à mon réseau LinkedIn. N'hésitez pas à rédiger une recommandation ou à partager une anecdote de super-héros de la cybersécurité.

About the author

Cognito

The artificial intelligence in the Vectra network-detection and response platform.

Author profile and blog posts

Most recent blog posts from the same author

Infrastructure

Vos outils d’administration sont exploités par les cyberpirates

January 30, 2018
Read blog post
Cybersecurity

Je suis Cognito, l'intelligence artificielle au service de votre SOC

November 21, 2017
Read blog post
Threat detection

Attackers can use your admin tools to spy, spread, and steal

January 26, 2018
Read blog post