ATT&CK est structuré autour de tactiques (les objectifs des attaquants, comme l’exfiltration de données ou la persistance dans le système) et des techniques (les méthodes spécifiques que les attaquants utilisent pour atteindre ces objectifs, comme le phishing ou
l’escalade de privilèges).
Omnis Cyber Intelligence utilise l’inspection approfondie des paquets pour capturer des informations précises sur le trafic réseau. Elle combine ces données avec des algorithmes d’analyse comportementale afin d’identifier des menaces complexes, telles que les attaques zero-day, les rançongiciels ou les tentatives d’intrusion furtives. La plateforme propose des capacités de réponse aux incidents et peut automatiser certaines actions de remédiation, comme le blocage des adresses IP malveillantes ou l’isolement des terminaux compromis, afin de limiter l’impact des attaques.
Une détection plus précise et plus rapide des menaces
En se calquant sur le cadre ATT&CK, Omnis Cyber Intelligence est à présent capable d’identifier des schémas et comportements d’attaques qui correspondent à des techniques précises utilisées par les cybercriminels. Cela permet une détection plus précise et plus rapide des menaces, y compris celles qui seraient passées inaperçues avec des systèmes qui ne sont pas basés sur des modèles comme ATT&CK. Omnis Cyber Intelligence peut s’intégrer avec d’autres outils de sécurité, tels que les pare-feu, les solutions de détection et réponse sur les terminaux (EDR) ou encore les plateformes SIEM, SOAR et XDR.Le nouveau tableau de bord permet une visualisation instantanée des événements de sécurité en fonction des tactiques et techniques du cadre ATT&CK. De plus, la capacité d’analytique comportementale, désormais élargie, permet d’identifier des attaques complexes et progressives (telles que les rançongiciels ou un trafic réseau inhabituel). La solution est à présent capable de détecter les fichiers malveillants grâce à l’ajout de capacités permettant d’identifier les menaces, y compris les menaces zero-day.
Pour améliorer les capacités de détection, l’enrichissement des données IP des hôtes a été complété par les noms d’hôte et de machine, en plus de l’adresse IP. Il permet de mieux comprendre les relations entre les différentes machines et utilisateurs dans un réseau. Par exemple, si plusieurs machines appartenant au même département ou groupe sont concernées, il peut s’agir d’une attaque ciblée.
Cela donne aux équipes de sécurité des informations supplémentaires pour mener des enquêtes plus complètes et comprendre comment les menaces se propagent. Elles peuvent alors réagir plus rapidement en identifiant la machine concernée et en appliquant des mesures correctives, comme l’isolation ou la mise en quarantaine de la machine compromise. Cela permet de limiter la propagation des menaces avant qu’elles ne causent des dommages plus importants.