L’Enterprise Immune System

Détecte et lutte contre les cybermenaces en temps réel
Pas de règles ni de signatures
Machine Learning (apprentissage automatique) et IA
Détection des menaces et réponse autonome en temps réel

L’Enterprise Immune System est la technologie de Machine Learning (apprentissage automatique) la plus sophistiquée au monde en matière de cyberdéfense. Inspirée par l'intelligence auto-apprenante du système immunitaire humain, cette nouvelle catégorie de technologie révolutionne la façon dont les organisations se défendent, à l'heure où de nouvelles cybermenaces sophistiquées et omniprésentes se manifestent.

Le système immunitaire humain est incroyablement complexe : il s'adapte en permanence aux nouvelles formes de menaces, tel l'ADN des virus en perpétuelle mutation. Il fonctionne en apprenant ce qui est normal pour le corps, puis en identifiant et en neutralisant les éléments extérieurs qui ne correspondent pas à ce modèle de normalité en constante évolution.

Darktrace applique la même logique aux environnements d'entreprise et industriels. Grâce à un composant de Machine Learning (apprentissage automatique) et à des algorithmes d'IA, la technologie Enterprise Immune System apprend de façon itérative un « modèle comportemental normal » (une « identité ») pour chaque appareil et chaque utilisateur présent sur un réseau donné ; elle met ensuite ces informations en relation afin de détecter les menaces émergentes qui ne seraient pas remarquées autrement.

À l'instar du système immunitaire humain, L’Enterprise Immune System ne requiert aucune expérience préalable des menaces ou des modèles d'activité pour détecter les risques potentiels. Elle fonctionne automatiquement, sans connaissance ni signature préalable, en détectant et en repoussant les attaques silencieuses et subtiles qui s'immiscent dans le réseau, le tout en temps réel.

« Avec la technologie Enterprise Immune System de Darktrace, nous avons l'assurance que nous sommes bien équipés pour lutter contre les attaques sophistiquées actuelles. »
Dane Sanderson, Global Security Director, Trek
Darktrace : Rapport des Menaces 2018

Darktrace Threat Visualizer

Mettez votre réseau en lumière

Threat Visualizer est l'interface de notification sur les menaces en 3D et en temps réel de Darktrace Outre l'affichage des alertes relatives aux menaces, Threat Visualizer fournit un aperçu graphique de l'activité quotidienne de vos réseaux ; facile à utiliser, elle est accessible à la fois pour les spécialistes de la sécurité et pour les responsables métier.

Basée sur des techniques de visualisation de pointe, l'interface utilisateur Threat Visualizer avertit automatiquement les analystes pour les prévenir des incidents et des menaces détectés dans leur environnement, ce qui leur permet d'enquêter de façon proactive sur des secteurs spécifiques de l'infrastructure.

Avantages
  • Visualisation en 3D de toute la topologie réseau
  • Aperçu global en temps réel du niveau de menace qui pèse sur l'entreprise
  • Regroupement intelligent des anomalies
  • Affichage à différentes échelles : topologie réseau de niveau supérieur, grappes spécifiques, sous-réseaux ou événements réseau
  • Journaux et évènements pouvant faire l'objet de recherches
  • Rediffusion des données historiques
  • Synthèse concise du comportement général des appareils et des IP externes
  • Conçue à la fois pour les responsables métier et les spécialistes de la sécurité

Visibilité à 100 %

Les techniques de visualisation peuvent également être utilisées pour fournir un aperçu de haut niveau du réseau d'une entreprise pour les responsables métier ; elles permettent ainsi de faire le lien entre les spécialistes techniques et la salle de réunion. Les responsables disposent d'une vue d'ensemble des problèmes de sécurité facile à utiliser ; sensibilisés et mieux informés sur leur environnement réseau, ils sont ainsi plus à même de prendre des décisions en matière de gestion.

« Darktrace met nos systèmes en lumière ; nous bénéficions d'un aperçu visuel de ce qui se passe vraiment sous le capot’. »
Conor Claxton, COO, Macrosynergy

IA et Machine Learning

Apprend ce qui constitue l'« identité » de votre organisation, automatiquement

L'intelligence artificielle et le Machine Learning (apprentissage automatique) présentent une opportunité d'envergure pour le secteur de la cybersécurité. Aujourd'hui, les nouvelles méthodes d'apprentissage automatiques sont capables d'améliorer largement la précision de la détection des menaces, ainsi que la visibilité sur le réseau, grâce à leur capacité à traiter un plus grand volume d'analyses computationnelles. Elles annoncent aussi une nouvelle ère en matière de réponse autonome, une ère dans laquelle un système automatique est suffisamment intelligent pour savoir comment et où intervenir en vue de lutter contre les menaces en cours.

Dès le début, Darktrace a rejeté l'hypothèse selon laquelle les données associées aux attaques passées pouvaient servir à prédire les attaques futures. Au lieu de cela, la plateforme de cyber IA de Darktrace utilise le Machine Learning (apprentissage automatique) sans supervision pour analyser les données du réseau à grande échelle ; elle réalise des milliards de calculs de probabilités en s'appuyant sur les preuves qu'elle voit. Plutôt de que s'appuyer sur les informations liées aux menaces passées, elle classe les données de façon indépendante et détecte les modèles pertinents.

La cyber IA de Darktrace, leader mondial, permet à des milliers d'organisations du monde entier d'identifier et de lutter contre tous types de menaces en mettant en évidence les anomalies qui dévient du comportement « normal » et requièrent une attention particulière. Il s'agit de la plateforme d'intelligence artificielle la plus éprouvée, la plus évolutive et la plus précise utilisée en entreprise à l'heure actuelle.

« L'IA de Darktrace détecte les menaces que les autres solutions ne voient pas. »
William Reid, Director of IT, Wyndham New Yorker
L'IA de Darktrace détecte les menaces que les autres solutions ne voient pas, et propose une réponse adaptée

L'IA de cyberdéfense de Darktrace s'appuie sur un Machine Learning (apprentissage automatique) unique développé par des mathématiciens à Cambridge, au Royaume-Uni, auquel font confiance des milliers d'organisations du monde entier.

Notre technologie Enterprise Immune System peut distinguer vos amis de vos ennemis en temps réel, dans le but d'identifier les cybermenaces avant qu'elles ne se propagent. En outre, sa capacité d'apprentissage autonome permet de lutter contre les menaces tandis qu'elles se développent à la vitesse des ordinateurs.

Que vous ayez affaire à une menace interne ou à une faille à long terme, que vous soyez victime d'un ransomware ou qu'un objet connecté ait été piraté, Darktrace repère les indicateurs subtils de toute activité anormale et protège vos systèmes les plus critiques.

Experts mondiaux

Nos spécialistes en Machine Learning à Cambridge, au Royaume-Uni

Nos ingénieurs experts en logiciels sont spécialisés dans le Machine Learning (apprentissage automatique) et les mathématiques. En s'appuyant sur une utilisation originale des mathématiques bayésiennes, nommée estimation récursive bayésienne (RBE), ils ont posé les bases de la technologie primée Enterprise Immune System de Darktrace, avec son approche probabiliste de l'identification des cybermenaces.

Les mathématiques bayésiennes permettent de créer un modèle sensé à partir de vastes ensembles de données hétéroclites, et de mettre à jour les estimations de probabilité d'occurrence d'un évènement donné à mesure que de nouvelles informations sont observées. L'estimation récursive bayésienne permet d'appliquer cette approche sans utiliser de superordinateur.

À Cambridge, au Royaume-Uni, notre équipe Recherche et Développement continue d'innover et de repousser les limites de ce qu'il est possible de faire en matière d'ingénierie logicielle et d'intelligence artificielle pour la cybersécurité.

Experts de l'information

Application à l'entreprise de techniques de pointe en matière d'intelligence artificielle

Les fondateurs de Darktrace comptent notamment des membres expérimentés des cybercommunautés des gouvernements des États-Unis et du Royaume-Uni, issus de la NSA, de la CIA, du MI5 et du GCHQ.

Notre équipe d'experts possède une expérience du terrain de premier plan en matière de cyberdéfense. Ses membres ont été responsables de la protection d'actifs nationaux (personnes, services publics et propriété intellectuelle stratégique) contre certaines des plus graves menaces du secteur, y compris des attaques internes sophistiquées et des groupes d'espionnage d'état à grande échelle.

Scénarios d'utilisation en cas de menace

Détection des menaces en cours par Darktrace

Darktrace est capable de détecter un large éventail de menaces, failles et vulnérabilités en cours : campagnes de piratage IoT ou menaces criminelles, jusqu'aux menaces internes et aux vulnérabilités latentes. Les scénarios d'utilisation sélectionnés illustrent différentes menaces que Darktrace a identifiées en temps réel avant que de graves dégâts ne soient infligés.

Attaques sophistiquées par ransomware

Darktrace a découvert une nouvelle souche de ransomware sur le réseau d'une entreprise de télécommunications. L'attaque était automatisée et se répandait plus rapidement que les ransomwares ordinaires. Tout a commencé lorsqu'un employé a enfreint les protocoles de sécurité du groupe en accédant à sa messagerie personnelle, à partir de laquelle il a probablement téléchargé un fichier malveillant à son insu. Quelques secondes plus tard, son appareil s'est connecté à un serveur externe sur le réseau Tor.

Neuf secondes après le début des activités de chiffrement SMB, Darktrace a lancé une alerte signalant que l'anomalie devait être examinée. Comme le comportement a persisté pendant les 24 secondes suivantes, Darktrace n'a cessé de redéfinir sa compréhension de l'anomalie à mesure qu'elle devenait une menace grave. L'équipe de sécurité était rentrée chez elle pour le week-end : c'est alors que Darktrace Antigena est intervenu et a automatiquement interrompu toutes les tentatives d'écriture de fichier chiffré sur les partages de fichiers du réseau.

Ce que Darktrace a révélé :
  • L'appareil de l'employé a effectué une série de requêtes HTTP anormales vers des domaines externes rares.
  • L'appareil a téléchargé un fichier .exe suspect.
  • Les partages SMB ont commencé à être lus et chiffrés.
Lecteur d'empreintes biométrique pris pour cible

Sur le site d'une entreprise manufacturière internationale, un pirate a exploité des vulnérabilités connues pour compromettre un lecteur biométrique, qui a été utilisé pour restreindre l'accès à certaines machines et installations industrielles. Le pirate a commencé par modifier les données d'empreintes digitales stockées sur l'appareil.

Si la menace n'avait pas été relevée, le pirate aurait pu ajouter ses propres données d'empreintes digitales dans la base de données afin d'accéder physiquement aux installations industrielles. Les solutions standard anti-malware et à base de signatures n'ont pas détecté l'activité subtile qui a mené à la faille.

Ce que Darktrace a révélé :
  • Après installation, Darktrace a détecté des connexions Telnet suspectes provenant d'un ordinateur externe.
  • L'ordinateur externe a réussi à accéder aux lecteurs en utilisant les informations de connexion par défaut ; il a ensuite utilisé les privilèges root pour récupérer les informations relatives au processeur.
  • Le pirate a ensuite essayé de pivoter pour accéder à d'autres systèmes internes.
  • Après enquête, il s'est avéré que la disponibilité du lecteur sur le port Telnet 23 était enregistrée dans la base de données IP shodan.io.
Faille dans un système de visioconférence

Une grande marque de sport internationale a ouvert une série de nouveaux bureaux dans le monde entier. À cette occasion, elle a investi dans un équipement de visioconférence afin de faciliter la communication au quotidien entre les équipes. En apprenant le « modèle comportemental normal » de l'organisation, Darktrace a observé un comportement inhabituel au niveau d'un appareil spécifique du réseau : le système de visioconférence installé dans la salle de réunion de l'entreprise. Un pirate avait exploité l'accès à distance non authentifié et avait entrepris d'extraire des données audio de l'organisation.

En récupérant le flux audio de réunions confidentielles, le pirate risquait de disposer d'informations sensibles concernant l'entreprise. Si on lui avait laissé le champ libre, le pirate aurait également pu se déplacer latéralement pour repérer les équipements de point de vente et infliger des dégâts supplémentaires.

Ce que Darktrace a révélé :
  • Parmi tous les appareils internes, un seul utilisait une connexion Telnet.
  • Des volumes anormalement élevés d'informations étaient transmis vers six ordinateurs externes rares.
  • Un cheval de Troie avait été installé par une backdoor sur l'appareil avant l'installation de Darktrace.
  • L'appareil s'est connecté à des serveurs externes suspects via FTP, Telnet et HTTP.
Transferts anormaux de données vers un cloud privé

Un employé mécontent a décidé d'occuper ses derniers jours au sein de son entreprise à dérober un volume important de données client en les téléchargeant vers son compte Dropbox.

L'utilisation de Dropbox était très répandue dans cette entreprise : l'employé pensait probablement que personne ne remarquerait ses actions. Les outils traditionnels n'auraient pas identifié ce comportement comme une menace, mais l'approche d'auto-apprentissage de Darktrace est capable de détecter avec précision les plus petites divergences par rapport à la normale. Résultat : les transferts illicites ont été identifiés avant que l'employé ne puisse dérober les informations.

Ce que Darktrace a révélé :
  • Un serveur de l'entreprise a envoyé 17 Go de données vers Dropbox ; il s'agissait d'un volume inhabituel pour ce serveur.
  • Les connexions à Dropbox étaient fréquentes dans cette entreprise, mais elles étaient rarement établies depuis le serveur concerné.
  • Les données contenaient des informations relatives à la géolocalisation des clients de l'entreprise.
Vol automatisé d'informations de connexion

Le réseau d'un fournisseur de soins de santé a été infecté par une souche de logiciel malveillant conçue pour dérober les informations de connexion des utilisateurs. Une fois présent sur le réseau, le logiciel malveillant se propage en copiant des programmes dans des dossiers sensibles situés sur d'autres appareils et en devinant les informations de connexion.

Le pirate s'était attaqué au réseau pour extraire les informations de connexion d'utilisateurs. Le type de logiciel malveillant utilisé était totalement différent de ce qui pouvait exister dans les bases de données de menaces, et il était automatisé. Conséquence : l'équipe de sécurité n'aurait pas pu réagir assez vite, et les outils de défense traditionnels ne l'auraient pas identifié. L'approche par IA de Darktrace a identifié la copie des programmes et le forçage de l'accès aux gestionnaires de mots de passe comme des anomalies, en se référant à son interprétation des activités normales des utilisateurs et des organisations.

Ce que Darktrace a révélé :
  • Des appareils infectés envoyaient des programmes vers des fichiers sensibles.
  • Les transferts de fichiers se produisaient beaucoup plus rapidement que si des utilisateurs étaient à l'origine des actions.
  • Les appareils tentaient de communiquer avec une infrastructure tierce suspecte.
Keylogger auto-modifiable

Parmi les attaques les plus sophistiquées détectées par Darktrace, certaines contiennent des « mécanismes de défense actifs » qui leur permettent d'éviter d'être détectées par les systèmes de sécurité traditionnels. Une attaque de ce type utilisait un logiciel malveillant capable de se transformer de façon autonome pour infiltrer discrètement le réseau d'une grande université. Le pirate a utilisé le logiciel malveillant « Smoke Malware Loader » pour extraire sans intervention les mots de passe d'utilisateurs. En modifiant de façon dynamique sa signature de menace, et donc en générant de faux messages d'erreur servant d'écran de fumée, le logiciel tentait de dissimuler sa présence sur le réseau.

Ce logiciel était particulièrement sournois, ce qui est souvent le signe d'une attaque ciblée plutôt que d'une campagne conventionnelle indifférenciée. Darktrace a élaboré une compréhension détaillée de cette opération hautement sophistiquée en associant une série de comportements anormaux pour déterminer l'existence d'une anomalie grave nécessitant une action immédiate.

Ce que Darktrace a révélé :
  • Le téléchargement de fichier initial émanait d'une source externe rare.
  • Les transferts réussis (contenant vraisemblablement des mots de passe) ont été envoyés à une destination hautement inhabituelle.
  • Les transferts étaient suivis d'un déluge de messages d'erreur signalant l'échec de multiples connexions.
  • L'activité de balisage des erreurs représentait une divergence majeure par rapport à l'activité normale des appareils.
Opération de minage de Bitcoin par un acteur interne

Un ingénieur logiciel au sein d'une entreprise de services financiers (qui avait accès à la ferme de serveurs de l'entreprise) possédait un appareil de l'entreprise qui a été observé en train de communiquer avec un point de terminaison externe rare.

Par la suite, il s'est avéré que cet employé avait prévu d'établir une opération rentable de minage de Bitcoin. Entre l'IP rare, le nom d'hôte, l'activité RDP et les requêtes SMB, Darktrace a compris que ces indicateurs faisaient partie d'un modèle de menace plus vaste et a identifié l'activité en temps réel.

Ce que Darktrace a révélé :
  • Une activité RDP et des requêtes SMB anormales ont été observées sur l'appareil de l'employé.
  • L'appareil se connectait au réseau domestique de l'utilisateur, qui utilisait un serveur FTP.
  • Ce serveur contenait un dossier portant le nom de l'entreprise.
  • À l'intérieur du dossier se trouvaient plusieurs fichiers infectés par un cheval de Troie renfermant des opérations malveillantes de minage de Bitcoin.
Exfiltration de données à partir d'un réseau d'alimentation électrique industriel

Alors que Darktrace travaillait avec un réseau d'électricité SCADA au Moyen-Orient, le système a identifié un serveur interne qui était compromis et transmettait des données à un assaillant externe.

Le réseau électrique était une cible de premier plan : la fuite de données était donc particulièrement grave. Darktrace a été capable de mettre en évidence cette cyberattaque sophistiquée grâce à son approche d'auto-apprentissage. L'équipe de sécurité a ensuite pu mettre en œuvre une action rapide et déterminante avant que des informations critiques ne s'échappent du réseau.

Ce que Darktrace a révélé :
  • Une connexion SSH anormale au serveur a été observée à partir d'un appareil externe qui n'avait jamais communiqué avec le serveur.
  • Le serveur envoyait de grandes quantités inhabituelles de données vers l'extérieur du réseau via des connexions ICMP.
  • Les connexions SSH ont été établies après une série de tentatives de connexion SSH échouées utilisant des codes d'accès répertoriés en ligne comme étant les valeurs d'usine par défaut.
Attaques externes sur un serveur cloud

Darktrace a détecté une attaque par force brute à l'encontre d'un serveur situé au sein de l'infrastructure cloud, qui avait été accidentellement exposée à Internet.

L'existence d'une connexion entre le cloud et les segments du réseau physique aurait pu entraîner la compromission de la totalité du réseau si l'attaque avait réussi. L'activité constituait non seulement un risque de sécurité important, mais vu le nombre de tentatives de connexions reçues en permanence, la possibilité d'une attaque par déni de service sur le serveur était crédible.

Ce que Darktrace a révélé :
  • Sur une période de quatre semaines, plus de 8 000 tentatives d'accès ont été observées à partir de 100 adresses différentes.
  • Les adresses essayaient systématiquement d'accéder à un serveur RDP dans le cloud en utilisant un même nom d'utilisateur : « hello ».
  • Cette activité représentait la majeure partie du trafic en entrée et en sortie du serveur.
Vol de données sous le plancher

Après avoir été déployé sur un réseau, Darktrace a détecté un appareil suspect inconnu agissant de façon anormale dans le centre de données de l'entreprise. À ce moment, l'équipe de sécurité n'avait même pas connaissance de l'existence de cet appareil. Après que Darktrace ait signalé à plusieurs reprises l'activité anormale pendant deux semaines, l'entreprise a décidé de mener l'enquête. L'équipe a découvert un petit ordinateur installé sous le plancher du centre de données. Il s'est avéré que cet appareil était relié à l'arrière du serveur et siphonnait des données. On a soupçonné une attaque malveillante et une enquête a été menée.

Darktrace : Rapport des Menaces 2018

Détection de ransomware

Comment Darktrace identifie les ransomwares avant qu'ils ne se propagent

En 2016, les attaques de type ransomware lancées par des cybercriminels ont atteint une valeur de 638 millions de dollars. Ce nombre a été multiplié par 167 par rapport à 2015 (4 millions de dollars) ; la plupart des attaques ont été lancées sous forme de campagnes de phishing capables de contourner les mécanismes de défense existants. L'avènement du ransomware-as-a-service facilite l'accès à ces technologies, et les pirates peuvent aujourd'hui facilement accéder à des ransomwares et les déployer.

Une fois qu'il a pénétré dans l'entreprise, le logiciel malveillant chiffre les données et cherche à se propager à d'autres appareils ou lecteurs partagés. La vitesse de propagation de l'attaque et les effets dévastateurs qu'elle peut avoir font que les ransomwares sont particulièrement attrayants pour les cybercriminels.

Le système Enterprise Immune System de Darktrace a prouvé qu'il était capable de détecter les attaques de ransomwares émergents et d'y répondre dans tous les secteurs d'activité. L’Enterprise Immune System utilise le Machine Learning (apprentissage automatique) et des algorithmes d'IA pour identifier un large éventail d'anomalies associées aux ransomwares, en tenant compte d'indicateurs subtils afin de former une image pertinente du niveau de menace global.

Par exemple, Darktrace a réussi à identifier l'activité du logiciel malveillant WannaCry à cause du comportement extrêmement anormal des appareils qui essayaient d'accéder à des fichiers et de les chiffrer, puis de balayer le réseau latéralement pour y rechercher d'autres appareils exposés.

Une fois le ransomware détecté, Darktrace répond en temps réel en coupant de force les connexions suspectes au sein du réseau interne, ce qui interrompt la propagation du logiciel. Cette réponse entièrement autonome, générée par Darktrace Antigena, donne aux équipes de sécurité le temps vital nécessaire pour intervenir avant que des données ne soient perdues ou chiffrées.

Si vous vous posez des questions sur les ransomwares, n'hésitez pas à planifier un entretien avec un expert Darktrace en envoyant un message à l'adresse [email protected] ou en nous appelant au numéro suivant :

France: +33 1 40 73 84 85
Canada: +1 416 572 2099
Suivant : Produits