Chasse aux menaces cloud

Bénéficiez d’analyses simplifiées de vos incidents, qu’ils soient liés à vos configurations, à votre posture, au trafic sur vos réseaux ou aux activités de vos comptes. Check Point vous fournit un outil automatisé qui détecte les intrusions, surveille les événements et assure une surveillance intelligente des menaces. Cet outil fonctionne continuellement, dans le cadre de notre dispositif intégré.

SECURITY CHECKUP ÉVALUATION GRATUITE

Rapport 2023 sur la cybersécurité : les tendances clés en matière de cybersécurité TÉLÉCHARGER MAINTENANT

Prévention des menaces

Tirez parti des outils de visualisation pour obtenir des informations riches et contextualisées. Ces dernières vous permettront d'analyser en continu l'activité des comptes et de surveiller le trafic sur les réseaux pour détecter les menaces et les anomalies.

petite image – traque et surveillance intelligente des menaces dans le cloud

Intelligence sur les menaces

Obtenez des données et des alertes pertinentes en utilisant des moteurs avancés d'intelligence prédictive, des données provenant de millions de capteurs, des informations issues de recherches de pointe et des renseignements externes.

petite image – traque et prémunition des menaces dans le cloud

Une prémunition contre les menaces

Grâce aux outils de CloudBots, les modifications que vous apportez à votre configuration sont annulées automatiquement lorsqu’elles posent des risques.Vous pouvez toujours personnaliser les réactions du dispositif aux alertes concernant vos réseaux et aux éléments de vos pistes d'audit, sans que son fonctionnement dépasse le cadre de votre environnement.

Série Attaques et enquêtes REGARDER LA VIDÉO

Les défis particuliers à la traque des menaces dans le cloud

En raison du gros volume de données nécessaire, le processus de recueil et d’analyse de ces données est laborieux et coûteux en temps. L’efficacité de la tâche peut dont être compromise. À l’heure actuelle, il faut en moyenne 280 jours* pour qu'une entreprise se rende compte qu'elle a été infiltrée et puisse remédier à une violation de la sécurité de ses systèmes informatiques. Ce n'est pas étonnant, étant donné que le référentiel Mitre Att&ck recense près de 200 tactiques, techniques et procédures différentes que les entreprises doivent prendre en compte pour pouvoir déceler les menaces et évaluer leurs risques. L’histoire de la traque des menaces ne finit jamais : dès que des menaces sont découvertes et parées, les pirates changent de tactique et il faut tout recommencer. Malheureusement, cette nécessité de parer sans cesse à de nouvelles menaces ne connaît pas le moindre répit dans le cloud. Les professionnels de la cybersécurité doivent aujourd’hui surveiller ce qui se passe dans de très nombreux éléments du cloud, ces éléments étant souvent éphémères et émanant de fournisseurs multiples. Il arrive souvent que personne dans une entreprise ne se rende compte qu’un problème s’est produit sur un réseau jusqu'à ce qu'une alerte avertisse qu'une attaque est en cours. Mais à ce stade, il est trop tard. Pour bien se protéger, il est indispensable de détecter les menaces le plus tôt possible (et, dans certains cas, de les prévenir) afin que la durée des attaques dans un environnement soit réduite et que les dégâts soient minimisés.

Le détection : la première étape de la traque des menaces dans le cloud

En adoptant une démarche de sécurité proactive et méthodique, vous pouvez détecter les attaques qui vous visent et les parer rapidement. Pour ce faire, il faut que vous commenciez par observer ce qui se passe, recueillir des informations et formuler des hypothèses. Ensuite, vous devez enquêter en analysant des données pour confirmer ou infirmer vos hypothèses. Pour que vous puissiez recueillir des données puis les analyser et réagir au mieux, vos outils et vos processus doivent être à la hauteur de la tâche.

traque des menaces dans le cloud un

Collectez des données

Si vous ne disposez pas des données qu’il vous faut, votre traque ne sera pas possible. Pour traquer les menaces qui vous visent, vous devez d'abord recueillir avec soin des données émanant de sources diverses. Ces sources peuvent être, par exemple, des enregistrements d’événements, des serveurs, des périphériques de réseau, des pare-feux, des bases de données ou des points de terminaison. Malheureusement, de nombreuses entreprises ne jouissent pas d’une bonne visibilité sur leurs données au sein de leurs applications présentes dans le cloud. Nos clients demandent une visibilité sur leurs machines virtuelles, leurs conteneurs et leurs architectures sans serveur, ainsi que sur les activités de leurs utilisateurs et sur le trafic acheminé par leurs réseaux, ceci pour tous leurs services. Pour pouvoir bénéficier d’un tel accès à vos données et pour pouvoir recueillir les données qu’il vous faut, vous ne pouvez pas vous contenter d’une visibilité limitée sur l’infrastructure de cloud de votre entreprise. Votre visibilité doit s’étendre aux multiples éléments de cette infrastructure.

La phase d’enquête et d’analyses

Pour que votre traque des menaces soit efficace, une bonne visibilité ne vous suffira pas. Vous devez disposer des outils appropriés pour la phase d’enquête de votre traque. Ces outils doivent vous permettre de déterminer ce qui constitue une activité normale dans vos réseaux. Ils doivent aussi intervenir lorsqu’une anomalie est détectée. Toute activité qui ne correspond pas à la normale pourrait être malveillante et constituer un indicateur de compromission (IoC). Si vous recevez une alerte vous avertissant qu’une signature de logiciel malveillant est présente sur l’un de vos réseaux, il s’agit d’un IoC fiable. Il en va de même des alertes qui vous signalent la présence d’un fichier exécutable de logiciel rançonneur dans votre système. Tous ces problèmes peuvent être détectés par votre outil de détection d'intrusions ou par votre dispositif antivirus. Par contre, les multiples tentatives de connexion infructueuses d’utilisateurs et les connexions à des heures inhabituelles constituent des IoC moins fiables. Vous pouvez surveiller votre réseau pour y détecter les IoC connus. Des listes de ces IoC sont consultables dans les flux de renseignements sur les menaces.

traque des menaces dans le cloud deux

Paramétrez votre système de détection d’intrusions pour qu’il ne vous alerte que lorsqu’un indicateur de compromission fiable a été détecté, afin d’éviter un trop-plein d’alertes. Mais ne négligez pas pour autant les indicateurs moins fiables. S'ils sont nombreux, ces IoC moins fiables considérés dans leur ensemble peuvent constituer un indice sérieux d’un problème.

Pour pouvoir arrêter un criminel, il faut raisonner comme un criminel. Vous devez vous attendre à une violation de votre sécurité et examiner ce problème du point de vue de l’auteur de l’attaque. La modélisation des menaces consiste à reconnaître les menaces potentielles et à anticiper leurs modes d’action. Cette pratique de la modélisation des menaces vous permet de réduire vos risques en commençant par les plus graves. Posez-vous des questions. Par exemple, demandez-vous ce que vous voulez protéger, quelles pourraient être les conséquences si vous n’y parvenez pas et jusqu’à quel point vous acceptez de faire des efforts pour éviter que ces conséquences ne se produisent.

Pour finir, n’omettez pas de procéder à des tests dans le cloud en simulant une diversité d’attaques, par exemple des attaques interlocataires. Réalisez des schémas pour modéliser les procédés qui pourraient être mis en œuvre lors d’une attaque et dans les « cas d'utilisation abusive » de votre infrastructure. Schématisez également vos mesures de défense et de résolution des problèmes.

traque des menaces dans le cloud trois

Les conclusions à tirer et vos réactions
Voici maintenant la phase de résolution. À ce stade, vous devez communiquer à d'autres équipes toutes les informations que vous avez recueillies au cours de votre enquête. Vous devez aussi rendre ces informations utilisables par les outils qui pourront les analyser, y réagir, les sauvegarder en vue d’une utilisation ultérieure et établir un ordre de priorité pour leurs actions. En procédant ainsi, vous vous mettez mieux à même de prévoir l’évolution des événements, de remédier en priorité au plus important, d’éliminer les vulnérabilités de votre infrastructure et de renforcer vos mesures de sécurité.

Présentation de la solution: renseignements sur les menaces CloudGuard TÉLÉCHARGER MAINTENANT

CloudGuard Intelligence

Grâce à la surveillance intelligente effectuée par le dispositif CloudGuard de Check Point, l'analyse des incidents est simplifiée. En effet, les informations à votre disposition recouvrent toutes vos configurations, votre posture, le trafic sur vos réseaux ainsi que les activités de tous vos comptes. Nous réactualisons continuellement ces informations afin de vous permettre de comprendre quel service a procédé à quelle action.

schéma de fonctionnement de cloudguard

Au cœur de ce dispositif se trouve notre base de données mondiale ThreatCloud AI Intelligence, qui analyse chaque jour des millions d'URL et de fichiers. Nous exploitons également des bases de données géographiques pour recueillir des informations sur les emplacements et comparer ces événements avec les données issues des services de renseignement tiers. L'analyse des menaces et les corrélations se basent sur plusieurs capacités d'apprentissage automatique, ce qui permet d'obtenir des données et des alertes pertinentes qui peuvent déclencher des processus d'enquête ou des activités de suivi.

Grâce à des rapports préconfigurés, vous pouvez enquêter sur certains types d'activités en particulier et vous pouvez procéder régulièrement à certaines opérations, par exemple des recherches sur vos comptes. La fonctionnalité de résolution automatique des problèmes vous permet de configurer la réaction de notre dispositif à tout type d'alerte concernant vos réseaux, d’élément de piste d'audit ou d'événement en rapport à votre sécurité. Les délais qui s’écoulent entre une alerte et la résolution du problème soulevé sont donc considérablement réduits.

Mieux encore, l’outil de surveillance intelligente de CloudGuard fonctionne harmonieusement avec les autres produits de la plate-forme CloudGuard, c’est-à-dire les outils de gestion de la posture, de protection des applications et des charges de travail, et de sécurisation des réseaux. Essayez-le donc gratuitement dès aujourd'hui !