ExtraHop lance des capacités novatrices de déchiffrement et de détection des menaces pour les environnements Microsoft

0

ExtraHop, spécialiste des solutions de détection et de réponse réseau (NDR) dans le cloud, annonce l’extension de sa capacité de déchiffrement pour les protocoles d’authentification et de niveau applicatif de Microsoft.

Tribune – Elle améliore ainsi la fiabilité de détection des activités malveillantes liées à près de deux tiers des protocoles réseau les plus exploités. Cette capacité unique de déchiffrement permet de détecter de nouvelles attaques avancées, notamment de type Lotl (Living off the land) et Active Directory Kerberos Golden Ticket, qui exploitent les protocoles propriétaires de Microsoft pour échapper aux contrôles de sécurité et aux outils classiques de surveillance tels que les firewalls de nouvelle génération (NGFW) et les proxies web. Ce déchiffrement avancé détecte également l’exploitation de vulnérabilités (CVE) à haut risque, par exemple PrintNightmare, ZeroLogon et ProxyLogon, et assure une défense proactive contre les futures failles Zero Day.

Un déchiffrement « out of band » et une puissante IA aident les équipes de sécurité à défendre les infrastructures Active Directory critiques et à identifier les utilisations abusives de protocoles Microsoft servant à mener de nouvelles attaques avancées.

Selon un avis de cybersécurité conjoint émis par le FBI, la CISA, le UK National Cyber Security Centre et l’Australian Cyber Security Centre, des protocoles chiffrés tels que Microsoft SMB (Server Message Block) v3 sont utilisés pour masquer des mouvements latéraux et d’autres tactiques avancées dans 60 % des 30 vulnérabilités réseau les plus exploitées. Parmi les 11 vulnérabilités les plus exploitées, quatre concernent des systèmes Microsoft, dont trois via un canal chiffré.

A la différence des NGFW et des proxies web, ExtraHop Reveal(x) 360 détecte de nouvelles techniques d’attaque complexes grâce au déchiffrement en temps réel des protocoles Microsoft les plus couramment sujets à des abus, tels que SMBv3, Active Directory Kerberos, MS-RPC (Microsoft Remote Procedure Call), NTLM, LDAP, WINRM, aux côtés de TLS 1.3. Cette capacité de déchiffrement permet également de détecter les activités post-compromission qui échappent à l’analyse du trafic chiffré (ETA), notamment les campagnes de ransomware exploitant la vulnérabilité PrintNightmare.

« En 2021, les ransomwares sont devenus nettement plus complexes, recourant désormais régulièrement à des techniques jusque-là réservées aux États pour obtenir des gains financiers illicites », observe Jon Oltsik, analyste principal senior chez ESG Research. « Ces nouvelles attaques, notamment Lotl et Active Directory Golden Ticket, exploitent le principal angle mort des entreprises, le trafic chiffré. ExtraHop effectue depuis longtemps le déchiffrement sécurisé de trafic SSL et TLS 1.3 est-ouest et peut à présent étendre cette capacité aux protocoles Microsoft critiques qui sont aujourd’hui au cœur des attaques les plus insidieuses. »

« Les entreprises ne voient pas les activités malveillantes chiffrées opérant des mouvements latéraux dans le corridor est-ouest », commente Sri Sundaralingam, VP Security & Cloud Solutions chez ExtraHop. « Même des technologies telles que les firewalls et l’analyse du trafic chiffré, qui prétendent offrir de la visibilité, sont incapables de détecter les attaques passant par des communications chiffrées pour exploiter des vulnérabilités couramment observées dans les campagnes de menaces avancées. ExtraHop Reveal(x) 360 peut identifier – avec fiabilité – les exploitations et abus de protocoles liés à des CVE majeures, aujourd’hui et à l’avenir. »

ExtraHop Reveal(x) 360 va bien au-delà de l’identification et de l’analyse statistique limitées des protocoles offerts par les NGFW, les proxies web et l’ETA. Celle-ci déchiffre et analyse entièrement, en toute sécurité, les protocoles d’authentification Microsoft Active Directory (Kerberos et NTLM) ainsi que les protocoles Microsoft Windows de niveau applicatif, au moyen d’un déchiffrement passif « out of band » pour une détection rapide et précise de l’activité des menaces avancées. Reveal(x) 360 fournit également des données d’enregistrement au niveau forensique sur le trafic chiffré, notamment les requêtes SQL spécifiques, les commandes envoyées via MS-RPC et les comportements d’énumération LDAP, pour une investigation et une réponse complète. Avec Reveal(x) 360, les entreprises peuvent :

  • bloquer les tentatives d’accès non autorisé et d’escalade des privilèges via l’infrastructure Microsoft Active Directory ;
  • surveiller les tactiques Lotl utilisées pendant les mouvements latéraux est-ouest afin de révéler les menaces cachées ;
  • se défendre contre l’exploitation de vulnérabilités à haut risque, telles que PrintNightmare, et de Microsoft Active Directory dans des campagnes de menaces avancées lançant des attaques disruptives.

Pour en savoir plus sur le rôle du déchiffrement dans la défense contre les menaces avancées, consultez le blog ExtraHop consacré au déchiffrement.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.