CyberSecurity · souveraine QSpy, conçue et développée par les équipes d’Airbus...
Transcript of CyberSecurity · souveraine QSpy, conçue et développée par les équipes d’Airbus...
CyberSecurity
La sonde Cybels Sensor couplée avec Orion Malware
DÉTECTER ET INVESTIGUER LES CYBER-ATTAQUES LES PLUS EVOLUÉES
Le paysage de la menace Cyber est varié et en constante évolution. Toutefois ce constat n’est pas nouveau et l’expérience acquise par la communauté de la cyberdéfense a permis de classer ces menaces selon leurs types et leurs motivations : cybercrime, hacktivisme, menaces persistantes avancées. Les modes opératoires et arsenaux employés par les attaquants sont adaptés et optimisés en fonction des ressources et du temps à leur disposition pour atteindre leurs objectifs.
Ainsi, il est fréquent que les attaquants cherchant un retour sur investissement rapide réutilisent tout ou partie des moyens déjà utilisés dans leurs campagnes précédentes. Dans ce contexte, la démocratisation de la « Threat Intelligence » permettant le partage en continu de marqueurs techniques caractéristiques d’attaques passées et la détection à base de signatures constituent un rempart efficace contre ces menaces.
A l’inverse, les attaques persistantes avancées utilisent des techniques de personnalisation de plus en plus pointues afin de contourner les moyens de défense mis en place par l’organisation ciblée. Pour cela l’utilisation de fichiers malveillants spécifiques reste une technique très appréciée des attaquants. Ces fichiers sont alors très difficiles à détecter par des outils antiviraux classiques ou des systèmes de détection temps réels traditionnels.
Dans ce contexte, Thales et Airbus CyberSecurity ont associé leurs savoir-faire respectifs à travers l’intégration de la sonde réseau Cybels Sensor, qualifiée par l’ANSSI, et de la plateforme d’analyse de fichiers Orion Malware, utilisée par les agences les plus exigeantes.
L’addition des technologies avancées de ces deux produits, alimentées par leurs équipes de Threat Intelligence, permet de lutter efficacement contre ces différents types de menaces, tant au niveau des communications réseaux que des fichiers circulant sur les systèmes ciblés. En cas de suspicion, la complémentarité des produits accélère les phases d’investigation et de réaction en fournissant aux opérateurs une première analyse d’impacts en seulement quelques minutes.
• Complète : la complémentarité des moteurs de détection intégrés à Cybels Sensor et Orion Malware offre le meilleur de la détection temps réel des menaces connues, le meilleur de la détection et de l’investigation pour les menaces avancées ainsi que des techniques innovantes de détection comportementale issue de nos équipes de CTI.
• Opérationnelle : technologies développées par et pour des équipes opérationnelles de cyber sécurité (SOC, hunting, réponse sur incident, CTI).
• Intégrée : un écosystème d’expertises et de recherche en cyber sécurité unique en Europe, optimisé pour améliorer vos opérations et intégrées à vos moyens existants.
• Conforme: des capacités de détection qualifiées par l’ANSSI, une intégration et une pérennité garanties par Thales et Airbus.
• Souveraine: technologies développées et intégrées par des industriels français de premier plan.
CYBELS SENSOR /
ORION MALWARE
• En complément d’une première analyse locale à base de signatures la sonde Cybels Sensor envoie les fichiers qui circulent sur le réseau à Orion Malware pour analyse approfondie :
• Identification par analyse des caractéristiques du fichier• Inspection multi-antivirale avec couverture géographique étendue• Analyse comportementale par heuristiques et IA propriétaires• Analyse dynamique en sandbox, analyse d’impacts sur le système infecté
• Orion Malware retourne le résultat de l’analyse au Centre d’Exploitation Cybels Sensor.
• Si le résultat d’analyse par Orion Malware conduit à une suspicion sur un fichier, Orion Malware permet aux analystes et reversers d’extraire des indicateurs de compromission pertinents qui déployés dans la sonde Cybels Sensor pour une détection en locale des occurrences suivantes, et plus généralement dans la base de connaissance d’analyse de la cybermenace au bénéfice de l’ensemble des outils de détection
Détecter
La solution Orion Malware développée par Airbus CyberSecurity combine plusieurs moteurs de détection complémentaires fournissant une couverture maximale pour renforcer la protection cyber contre les malwares. Ainsi les analyseurs statiques et antivirus intégrés dans la solution permettent une détection rapide des malwares communs et pour lesquels des signatures sont disponibles. L’analyse dynamique dans la sandbox souveraine QSpy, conçue et développée par les équipes d’Airbus CybserSecurity en France, complète les capacités du produit pour la détection de malwares émergents, sophistiqués et non détectables par signatures, pour les prestataires de détection d’incidents de sécurité (PDIS) des Security Operation Centre (SOC).
• Les rapports détaillés permettent aux analystes CTI et reversers d’augmenter drastiquement leur productivité en:
• Identifiant et analysant récursivement l’ensemble des charges utiles malveillantes• Identifiant l’ensemble des impacts du fichier sur le système cible• Listant les communications réseaux liées au fichier• Etablissant la chronologie des activités du fichier executé
• Enrichissement et capitalisation de la connaissance de la menace
• Alimentation de la sonde Cybels Sensor et de Orion Malware par les indicateurs de compromission et règles de détection des équipes Airbus CyberSecurity, Thales et du client final
• Boucle vertueuse entre la Cybels Sensor et Orion Malware dont les performances s’auto-boostent
Investiguer
L’avantage compétitif de l’intégration d’Orion Malware d’Airbus CyberSecurity dans la sonde Cybels Sensor de Thales est d’augmenter la protection cyber des entreprises tout en réduisant les coûts d’exploitation grâce à une solution simple, adaptée et optimisée pour les opérations de SOC, de réponse à incidents et de Threat Intelligence. Airbus CyberSecurity et Thales offrent ensemble, grâce à leurs savoir-faire respectifs, la solution de détection sur le marché, notamment pour la mise conformité obligatoire des OIV avec la LPM. A la pointe des dernières innovations issues de nos projets de recherche, Orion Malware intègre également de l’intelligence artificielle pour notamment améliorer la classification des malwares détectés.
ORION MALWARE POUR CYBELS SENSOR
Orion MalwareSMALL
2 000 à 15 000 analyses/jour
Orion MalwareMEDIUM
5 000 à 40 000 analyses/jour
Orion MalwareLARGE
15 000 à 120 000 analyses/jour
Orion MalwareX-LARGE
30 000 à 200 000 analyses/jour
ORION MALWARE
CYBELS SENSOR
1 - Fichiers
4 - Nouveaux marqueurs
3 - Analyse
2 - Fichiers
4 - RésultatsCYBELS SENSORCENTRE D’EXPLOITATION
RESPONSABLE DE LA CYBERSECURITE
5 - Alertes
1 - Fichiers
SIIV: SYSTEME D’INFORMATION D’IMPORTANCE VITALE
L’article 22 de la Loi de Programmation Militaire, ordonnent à tous les opérateurs d’Importance Vitale de s’équiper de solutions de détection qualifiées pour surveiller les Systèmes d’Information d’Importance Vitale.
SOC CSIRT CTI
CYBELS SENSOR
100 M
CYBELS SENSOR
1 G
CYBELS SENSOR
2 G
CYBELS SENSOR
4 G
CYBELS SENSOR
6 G
CYBELS SENSOR
10 G
FRANCEMetapole 1, boulevard Jean Moulin / CS 40001 / 78996 Elancourt Cedex/France
ALLEMAGNEWilly-Messerschmitt-Str. 1 / 82024 Taufkirchen / Allemagne
ROYAUME-UNIQuadrant House / Celtic Springs / Coedkernew / South Wales NP10 8FZ / Royaume-Uni
EMIRATS ARABES UNIS Etihad Towers T3 / Corniche Road, 19th floor / P.O.Box: 72186 / Abu Dhabi / Emirats Arabes Unis
Document non contractuel. Sous réserve de modification sans préavis. © 2019 Airbus CyberSecurity. Airbus, son logo et le nom de ses produits sont des marques déposées. Tous droits réservés. // 0917 F 0877
Accord majeur entre les deux leaders du cyber français• Ce partenariat vise à accompagner les Opérateurs d’Importance Vitale (OIV) dans le renforcement des mesures de protection cyber exigées par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Airbus CyberSecurity va équiper la sonde qualifiée Cybels Sensor de Thales, son produit d’analyse de fichiers Orion Malware, pour offrir une solution sûre, efficace et complémentaire pour la détection de malveillances au niveau réseau et fichier. La sonde Cybels Sensor de Thales, qualifiée par l’ANSSI, permet d’analyser le trafic réseau d’une organisation afin d’y détecter des indicateurs de compromission avérés ainsi que des comportements suspects via l’analyse de métadonnées. La sonde embarque également des capacités d’extraction et d’analyse de fichiers reposant sur un moteur de règles.
• L’intérêt commun d’Airbus CyberSecurity et de Thales est d’associer leurs deux technologies performantes et reconnues par les organisations les plus exigeantes, pour créer l’excellence de la détection souveraine française. Cette collaboration entre les deux leaders français de la sécurité cyber prouve que la sonde Cybels Sensor améliorée avec la solution Orion Malware est la référence nationale indiscutable. Les clients SOC d’Airbus CyberSecurity et de Thales profitent déjà de cette intégration au travers des prestations de services délivrées par les 2 sociétés, pour détecter les attaques cyber le plus tôt possible.
PREVENTION REPONSE
DETECTION
Reconnais-sance Intrusion
Prise de contrôle des
droits d’accès
Exploration des
données
Maintien de l’intrusion
Attaque réussie
IMPACT grandissant tant que l’attaque n’est pas
détectée / stoppée
Préparation de l’attaque (identifi ca-tion vulnerabilités / package attaquant
Avoir un premier accès à la cible
Maintenir ses accès sur la cible compro-
mise (backdoor)
Voler des identifi ants valides ou
s’octroyer des droits supplémentaires
Identifi er les données ou systèmes ciblés
Voler les données ciblées ou action de
sabotage
Maintenir présence
Mouvementlatéral
Hacker
Cyber-attaque
Cybersécurité
CyberSecurity
Cycle de vie d’une attaque
© 2019 Thales. Thales, son logo et le nom de ses produits sont des marques déposées. Tous droits réservés.