L’équipementier Palo Alto Networks veut compléter son service cloud WildFire lequel analyse en permanence tous les réseaux de ses clients à la recherche de programmes malveillants et d’exploits, et télécharge de nouvelles règles toutes les 15 minutes pour bloquer automatiquement toutes nouvelles menaces. Le service appelé AutoFocus est un add-on de WildFire. Son objectif est de repérer à l’avance si un client est une cible potentielle d’adversaires déterminés. Pour cela, il recherche et marque des signatures d’attaques uniques ou particulièrement dangereuses.
AutoFocus passe au crible toutes les attaques détectées et compare les outils, les techniques et les procédures (TTP ou Tools Techniques and Procedures) des hackers avec les composants d'autres attaques, les similitudes pouvant révéler la signature d’un même attaquant. AutoFocus peut également repérer une attaque unique, différente de tout ce que Palo Alto a pu trouver et collecter auprès des réseaux de ses clients au cours de 360 millions de sessions d’analyse de malware pendant lesquelles l’entreprise a repéré plus de 30 milliards de comportements malveillants individuels. Dans ce cas, le service marque l’attaque, indiquant au client qu’il est peut-être ciblé par une organisation disposant des ressources pour développer de nouvelles TTP et qu’elle tente d’utiliser cette précieuse ressource d'attaque contre ladite entreprise.
Marquer les attaques pour les suivre
Grâce aux informations fournies par AutoFocus sur les attaques et les attaquants, le client dispose d’indicateurs pour voir si un même groupe de pirates essaye de lancer d'autres attaques contre son réseau. « Le service permet de contextualiser ce que nous pouvons observer », a déclaré Phil Cummings, administrateur système de Health Information Technology Services, un réseau de santé de Nouvelle-Écosse qui compte 20 000 points de terminaison. « L’attaque marquée est peut-être la répétition d'une attaque menée il y a six mois, signe que l’adversaire persiste. Ou elle permet tout simplement de relier différents événements, par exemple de voir qu’une même adresse IP est utilisée dans plusieurs attaques différentes », a-t-il ajouté. Les alertes sont transmises au client via la console d’AutoFocus ou envoyées par courriel ou postées sur un site Web. Ensuite, les clients peuvent approfondir leurs investigations afin d’en savoir plus sur l'attaque.
Le tableau de bord d’AutoFocus fournit des informations sur les attaques marquées. Les étiquettes indiquent si elles proviennent d'un groupe particulier ou si elles font partie d'une campagne plus vaste menée contre une industrie en particulier. Les attaques sont classées en trois groupes : celles identifiées par les chercheurs de Palo Alto, celles identifiées par le système d’analyse du client, et celles tirées de l’expérience d'autres clients de Palo Alto. Les clients peuvent choisir le type d’alertes qu’ils veulent recevoir : celles ciblant un client particulier, une industrie - la défense, la finance, la santé - en fonction de l’activité du client, ou celles couvrant tout l'Internet. Toutes les alertes envoyées par AutoFocus sont examinées par les analystes de l’Unité 42 de Palo Alto, spécialisés dans la recherche des menaces.
Pas encore de tarif
Palo Alto commencera à déployer son service AutoFocus à partir du 19 avril pour le compte d’un groupe de clients. L’entreprise de sécurité a ouvert un site web où les clients peuvent s’inscrire pour faire partie de ce premier lot. Le prix et la disponibilité générale du service seront communiqués plus tard cette année.