Appareils de points d’accès : Aperçu

Introduction

Dans le cadre d'une solution holistique de cybersécurité, l'agent de point d’accès Covalence s'intègre nativement avec les capteurs réseaux et cloud de Covalence pour protéger les entreprises de bout en bout. L'agent de point d’accès Covalence, lorsqu'il est installé sur les terminaux d'une organisation, assure la sécurité des entreprises par :

Prévenir les ransomwares, les menaces persistantes avancées et les logiciels malveillants en temps réel.
Déterminer le comportement normal de chaque point d’accès et s'adapter par conséquent. Contrairement aux politiques universelles qui sont facilement exploitables, cette approche polyvalente permet une détection plus précise des menaces et une meilleure sécurité.
La mise à jour automatique des agents et des politiques de sécurité aux plus récents - aucune action n'est nécessaire.

L'agent de point d'accès prend en charge les systèmes d'exploitation suivants :

Windows :
- Windows 7-11
- à partir de Windows Server 2008 SP2
macOS :
- macOS 10.10-10.14 (observer seulement)
- à partir de macOS 10.15
Linux :
- Debian :
  - à partir de 5.x
- RHEL :
  - 5.x, 6.x, 7.3 - 8.2 (Active Response)

L'agent pour les terminaux utilise également très peu de ressources sur les terminaux :

UNITÉ CENTRALE : 0,5-2%.
Disque : < 0,3 MB/s
Mémoire : < 15Mb
Réseau : ~300 B/s

La Réponse Active et l'agent Endpoint

Lorsque l’agent détecte une activité potentiellement malveillante, il réagit en fonction du profil de réponse active de l'organisation, de la confiance dans les analyses et de la gravité de la menace. En fonction de ces facteurs, l'agent de point d’accès peut : bloquer et mettre fin à l'activité, bloquer uniquement l'activité ou informer l'organisation de la menace potentielle via l'ARO et proposer des mesures d'atténuation.

Détection et analyse

L'agent de point d’accès Covalence a des composants de mode utilisateur et de mode noyau, ce qui lui permet d'avoir une vue globale du système d'exploitation. En utilisant des données réelles, notre équipe d'experts en intelligence construit et met à jour des analyses qui identifient les menaces au fur et à mesure qu'elles se produisent. Nous combinons l'heuristique, la détection des anomalies et les signatures connues pour définir le comportement normal (et donc anormal) du système d'exploitation. Voici des exemples d'activités suspectes, définies dans le cadre ATT&CK de MITRE, que Covalence détecte et bloque :

Tactique	Intention	Événements détectés et bloqués par la covalence
Exploitation	Obtenir l'exécution initiale du code d'un système.	Injection de processus Macros Office Utilisation suspecte d'outils de télégestion
L'escalade des privilèges	Obtenir des privilèges administratifs ou de haut niveau pour accéder aux fonctions et répertoires restreints d'un système.	Outils d'exploitation intégrés à des kits d’outils de logiciels malveillants Commandes suspectes utilisées pour tester les autorisations ou l'accès à un compte Techniques d'élévation courantes utilisées par les logiciels malveillants connus
Mouvement latéral	Se propager à d'autres systèmes du réseau de la victime après la compromission initiale.	Utilisation suspecte de PowerShell, PsExec, WMI, etc. -Création de tâches planifiées sur un système distant Création d'un compte de domaine
Falsification du système	Inhiber des fonctions du système pour éviter la découverte ou permettre des activités que les politiques de sécurité standard bloqueraient.	Désactiver les rapports de crash et d'erreur Réduire les restrictions de sécurité et d'authentification Désactiver les logiciels et les fonctions de sécurité (par exemple, Windows Defender) Modifier les certificats et la chaîne de certificats
Persistance	Installer des logiciels malveillants persistants difficiles à arrêter ou à supprimer	Clés de registre utilisées pour désigner les logiciels à démarrer automatiquement Modification de l'enregistrement de démarrage Ajout de tâches planifiées

Catégories d'analytique de point d’accès

Les données télémétriques collectées sur l'appareil Covalence sont analysées pour établir des rapports sur les risques liés à la surface de menace et répondre aux détections de menaces. La section suivante énumère quelques-unes des catégories de surface de menace et de détection de menace associées à la télémétrie des points d’accès.

Risques liés aux points d’accès

Services exposés - Systèmes hébergeant un service ou une application accessible par l'internet.
Appareils exposés - Appareils qui peuvent avoir une adresse IP accessible au public.
Applications système - Système d'exploitation et logiciels tiers fonctionnant sur des points d’accès et présentant des vulnérabilités graves connues.
Applications potentiellement indésirables - Applications et outils tiers susceptibles d'introduire des risques pour la sécurité d'un point d’accès.

Détection des menaces

Processus suspects - exécution de programmes présentant des caractéristiques communes avec des menaces connues.
Pertes de données - modèles anormaux de transferts de données (points d’accès, réseau et cloud), utilisation non autorisée de supports amovibles.
Altérations de la journalisation de sécurité et des changements d'état des solutions antivirus et de sécurité - changements de configuration qui pourraient indiquer qu'un acteur de menace tente de dissimuler une activité.
Compromission de comptes - modèles d'authentification anormaux, connexions inattendues, abus de comptes.
Mouvement latéral - outils d'accès à distance et partage de fichiers anormaux.
Élévation des privilèges - activité correspondant à une tentative d'un acteur de la menace d'accroître l'accès à l'environnement.
Accès aux informations d'identification - tentatives d'accès aux noms de comptes et aux informations d'identification.
Collecte - utilisation anormale d'outils utilisés par les acteurs de menaces pour l'exfiltration de données.
Persistance - modules malveillants, exécutions automatiques, accès au registre et création suspecte de tâches programmées.
Évasion de la défense - falsification des journaux d'audit, événements d'authentification suspects, désactivation des produits de sécurité.

Techniques d'analyse des points d’accès

Les données télémétriques de tous les points d’accès sont collectées pour être analysées sur l'appareil d'une organisation. En plus des analyses qui s'exécutent automatiquement sur la sonde réseau, l'équipe de sécurité de Field Effect exécute des requêtes fédérées pour comparer les données d'un large éventail d'organisations afin de repérer les schémas et les anomalies.

Cette chasse aux menaces associe une analyse automatisée puissante à l'expérience d'une équipe de professionnels de la sécurité parmi les meilleurs du secteur. Les résultats sont continuellement réinjectés dans le système afin d'adapter et d'affiner les détections futures. L'analyse des points d'accès repose sur la collecte de tous les points de télémétrie fondamentaux d'un point d'accès, notamment l'exécution des processus, les sessions utilisateur, les logiciels installés, le chargement des modules et des pilotes, l'activité du réseau, l'activité des médias amovibles, les journaux d'événements du système, etc.

Un événement ou un problème de sécurité peut également déclencher la collecte de fichiers suspects qui peuvent ensuite être évalués au moyen d'un pipeline d'analyse de contenu automatisé.