Falcon OverWatch Cloud Threat Hunting est un service autonome de chasse aux cybermenaces avancées cachées et provenant, opérant ou persistant dans les environnements cloud. L’offre de Crowdstrike est destinée aux entreprises qui migrent leurs charges de travail dans le cloud et veulent une protection proactive, car leur surface d’attaque s’étend.
Le service, géré, est pris en charge par les experts de CrowdStrike. Armée des indicateurs d'attaque (IoA) orientés cloud correspondant au plan de contrôle et aux techniques d'espionnage connues des cybermalfaiteurs, l'équipe OverWatch Cloud Threat Hunting « permet aux entreprises de disposer d'une visibilité inédite dans les environnements cloud afin d'observer et de contrer les menaces les plus sophistiquées présentes », affirme l’éditeur. Les analystes d'OverWatch s'appuient sur leur méthodologie Search exclusive pour débusquer les moindres traces de compromission.
Une plateforme de protection avec ou sans agent CNAPP
En s'appuyant sur les fonctions de la plateforme de protection avec ou sans agent CNAPP (Cloud Native Application Protection Platform) de CrowdStrike, les limiers, chasseurs de cybermenaces cloud de l'équipe Falcon OverWatch analysent les comportements suspects et anormaux, ainsi que les nouvelles techniques mises en œuvre par les attaquants. Fonctionnant en 24x7x365, est à même de prévenir les incidents et les intrusions tout en alertant les clients de manière proactive de toute attaque menée sur le cloud, incluant :
- les activités adverses menées à l'intérieur et entre des infrastructures telles qu'Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure et autres fournisseurs de service cloud ;
- les attaques sophistiquées menées manuellement de type « hands-on-keyboard » et « zero-day » qui exploitent et infectent les charges de travail et les conteneurs cloud en production ;
- les indicateurs d'attaque (IoA) basés sur le cloud, tels que les vulnérabilités, les mauvaises configurations, les comportements applicatifs anormaux, les évasions de conteneurs, les élévations de privilèges, l'infection de nœuds, etc. ;
- les chemins d'attaque qui exploitent en premier lieu les actifs informatiques traditionnels pour obtenir un accès initial à l'infrastructure, avant de pivoter vers les applications, systèmes et données résidant dans le cloud.