Selon le rapport 2015 sur les violations de données de Verizon[1], 60 % des organisations victimes d’une attaque l’ont été en l’espace de quelques minutes, mais la plupart d’entre elles ont mis nettement plus longtemps à détecter l’intrusion. LogRhythm permet aux organisations de détecter plus rapidement les intrus au niveau des points d’accès potentiels avec le lancement de Endpoint Threat Analytics.
Avec l’intégration de ce nouveau module, la suite Holistic Threat Analytics est capable de détecter toute anomalie comportementale au niveau des points de terminaison et utilise de nouvelles techniques d’analyse automatique afin d’identifier les systèmes victimes d’attaques « zero-day » et de malwares personnalisés. Le module Endpoint Threat Analytics, combiné aux modules d’analyse des menaces réseaux et utilisateurs de LogRhythm, offre aux organisations une visibilité holistique des menaces et intrusions à travers l’ensemble de la surface d’attaque.
De nombreuses violations débutent par l’intrusion d’un pirate informatique au niveau d’un point de terminaison grâce à une technique de phishing ciblé. Une fois à l’intérieur du réseau, le hacker peut alors s’introduire dans d’autres systèmes et accéder aux comptes utilisateurs. Dans beaucoup de cas, des centaines de systèmes et comptes utilisateurs seront piratés avant même qu’une violation de données n’ait lieu. Cependant, comme l’indique le rapport de Verizon, même lorsque l’intrusion est généralisée, la plupart des organisations ne disposent pas des outils leur permettant de détecter rapidement les activités d’un hacker expérimenté opérant au sein de leur environnement.
La suite Holistic Threat Analytics de LogRhythm détecte les menaces avancées en étant capable d’identifier une grande variété de comportements anormaux dans l’intégralité de l’environnement IT. Cette approche offre une visibilité holistique de l’activité des intrus potentiels dès qu’un comportement anormal est repéré, tel que la tentative de piratage des points de terminaison, des applications ou encore des comptes utilisateurs.
La suite Holistic Threat Analystics de LogRhythm est composée de trois modules d’analyse pouvant être déployés conjointement ou de façon individuelle selon les besoins du client en matière de détection des menaces, et en fonction du niveau de risque global :
• Le nouveau module Endpoint Threat Analytics exploite le capteur du System Monitor de LogRhythm afin d’acquérir des données forensic en temps réel et de bénéficier d’une visibilité totale de l’activité au niveau des points de terminaison. Ce module détecte des menaces telles que des intrusions par malware personnalisé, les activités suspicieuses au niveau des processus et des utilisateurs, ainsi que les exfiltrations de données locales.
• Le module User Threat Analytics offre une plus grande visibilité de l’activité des utilisateurs et détecte les attaques sur des comptes ainsi que les autres activités utilisateurs suspicieuses, y compris les menaces internes.
• Le module Network Threat Analytics exploite le capteur du Network Monitor de LogRhythm afin de générer en temps réel des données SmartFlow de couche 7, offrant ainsi une visibilité accrue des communications réseaux au niveau des applications. Ce module identifie les menaces telles que les attaques « zero-day » à distance, les scans et les balayages internes, les communications suspicieuses au niveau des applications ainsi que les exfiltrations de données basées sur le réseau.
Ces modules reposent sur la technologie brevetée AI Engine de LogRhythm, qui applique l’apprentissage automatique et autres techniques d’analyse aux données machine et log hautement contextualisées. Lorsque les trois modules sont installés, les clients peuvent corréler les menaces avancées sur toute la surface d’attaque holistique, renforçant ainsi leur capacité d’analyse et de détection des attaques.
La suite Holistic Threat Analytics de LogRhythm, à présent dotée des modules User Threat Analytics, Network Threat Analytics et du nouveau Endpoint Threat Analytics, ainsi que les services de support technique de LogRhythm, sont disponibles dès aujourd’hui pour tous les clients de LogRhythm.
[1] Data Breach Investigation Report – DBIR
