Accueil Cybersécurité « Targeted Attack Analytics » de Symantec cible… les cyberattaques ciblées

« Targeted Attack Analytics » de Symantec cible… les cyberattaques ciblées

cible

Une collecte impressionnante de données sur les menaces – 90 To par jour -, et l’expertise des équipes de spécialistes en sécurité et en machine learning : le décor était planté pour que naisse Targeted Attack Analytic, une offre d’analyse comportementale pour automatiser la découverte d’attaques ciblées.

Il aura fallu à Symantec 5 ans de recherche, et l’utilisation de la solution pendant 18 mois en interne pour aider ses propres équipes d’analystes, avant la mise sur le marché de TAA (Symantec Attack Analytics). Une technologie qui permet de tirer parti du machine learning avancé pour automatiser la découverte d’attaques ciblées, dont le but n’est pas financier comme avec les attaques massives, mais est le vol des informations, voire leur destruction et la mise à mal de l’infrastructure. Et dans ce cadre, à groupes d’attaquants différents, protection différente. Car « même avec une sécurité globale de bon niveau, vous n’arriverez pas à bloquer les forces spéciales de quel que pays que ce soit », nous assure Laurent Heslault, directeur des stratégies de sécurité de Symantec EMEA, qui met en avant les capacités d’analyse comportementale de l’offre, loin d’être « une technologie simple et intégrée comme on le fait déjà ». « L’évolution est assez considérable dans la manière de traiter les données qui sont collectées », affirme-t-il.

De Dragonfly à TAA

Laurent Heslault
Laurent Heslault, Symantec

La technologie TAA applique le machine learning – aux termes d’ « intelligence artificielle », Laurent Heslault préfère ceux d’ « algorithmes mathématiques traitant d’une masse de données importantes ». Celle de l’entreprise, y compris la télémétrie système et réseau, est alimentée par la télémétrie des menaces provenant de la clientèle mondiale de Symantec (après accord et anonymisation), qui constitue l’un des plus grands data lakes dans le domaine. Symantec collectant environ 90 To par jour, précise le responsable. Après identification d’une activité réellement ciblée, TAA la hiérachise sous la forme d’un rapport d’incident hautement fiable à destination de l’équipe de sécurité informatique au sein de l’entreprise. Basée sur le Cloud, elle permet une rééducation et une mise à jour fréquentes des analyses pour s’adapter aux nouvelles méthodes d’attaque sans nécessiter de mises à jour de produits. Le responsable rappelle que la technologie sous-jacente dispose des mêmes outils que ceux utilisés par Symantec pour découvrir Dragonfly 2.0, une attaque majeure visant des dizaines de sociétés dans le domaine de l’énergie dans le but d’accéder aux réseaux opérationnels. Depuis sa création interne, Symantec TAA a détecté des incidents de sécurité dans plus de 1 400 organisations.

Le TAA est disponible dans le cadre de la plate-forme de cyberdéfense intégrée Symantec pour les clients ATP (Symantec Advanced Threat Protection).