CyberSecurity

La sonde Cybels Sensor couplée avec Orion Malware

DÉTECTER ET INVESTIGUER LES CYBER-ATTAQUES LES PLUS EVOLUÉES

Le paysage de la menace Cyber est varié et en constante évolution. Toutefois ce constat n’est pas nouveau et l’expérience acquise par la communauté de la cyberdéfense a permis de classer ces menaces selon leurs types et leurs motivations : cybercrime, hacktivisme, menaces persistantes avancées. Les modes opératoires et arsenaux employés par les attaquants sont adaptés et optimisés en fonction des ressources et du temps à leur disposition pour atteindre leurs objectifs.

Ainsi, il est fréquent que les attaquants cherchant un retour sur investissement rapide réutilisent tout ou partie des moyens déjà utilisés dans leurs campagnes précédentes. Dans ce contexte, la démocratisation de la « Threat Intelligence » permettant le partage en continu de marqueurs techniques caractéristiques d’attaques passées et la détection à base de signatures constituent un rempart efficace contre ces menaces.

A l’inverse, les attaques persistantes avancées utilisent des techniques de personnalisation de plus en plus pointues afin de contourner les moyens de défense mis en place par l’organisation ciblée. Pour cela l’utilisation de fichiers malveillants spécifiques reste une technique très appréciée des attaquants. Ces fichiers sont alors très difficiles à détecter par des outils antiviraux classiques ou des systèmes de détection temps réels traditionnels.

Dans ce contexte, Thales et Airbus CyberSecurity ont associé leurs savoir-faire respectifs à travers l’intégration de la sonde réseau Cybels Sensor, qualifiée par l’ANSSI, et de la plateforme d’analyse de fichiers Orion Malware, utilisée par les agences les plus exigeantes.

L’addition des technologies avancées de ces deux produits, alimentées par leurs équipes de Threat Intelligence, permet de lutter efficacement contre ces différents types de menaces, tant au niveau des communications réseaux que des fichiers circulant sur les systèmes ciblés. En cas de suspicion, la complémentarité des produits accélère les phases d’investigation et de réaction en fournissant aux opérateurs une première analyse d’impacts en seulement quelques minutes.

• Complète : la complémentarité des moteurs de détection intégrés à Cybels Sensor et Orion Malware offre le meilleur de la détection temps réel des menaces connues, le meilleur de la détection et de l’investigation pour les menaces avancées ainsi que des techniques innovantes de détection comportementale issue de nos équipes de CTI.

• Opérationnelle : technologies développées par et pour des équipes opérationnelles de cyber sécurité (SOC, hunting, réponse sur incident, CTI).

• Intégrée : un écosystème d’expertises et de recherche en cyber sécurité unique en Europe, optimisé pour améliorer vos opérations et intégrées à vos moyens existants.

• Conforme: des capacités de détection qualifiées par l’ANSSI, une intégration et une pérennité garanties par Thales et Airbus.

• Souveraine: technologies développées et intégrées par des industriels français de premier plan.

CYBELS SENSOR /

ORION MALWARE

• En complément d’une première analyse locale à base de signatures la sonde Cybels Sensor envoie les fichiers qui circulent sur le réseau à Orion Malware pour analyse approfondie :

• Identification par analyse des caractéristiques du fichier• Inspection multi-antivirale avec couverture géographique étendue• Analyse comportementale par heuristiques et IA propriétaires• Analyse dynamique en sandbox, analyse d’impacts sur le système infecté

• Orion Malware retourne le résultat de l’analyse au Centre d’Exploitation Cybels Sensor.

• Si le résultat d’analyse par Orion Malware conduit à une suspicion sur un fichier, Orion Malware permet aux analystes et reversers d’extraire des indicateurs de compromission pertinents qui déployés dans la sonde Cybels Sensor pour une détection en locale des occurrences suivantes, et plus généralement dans la base de connaissance d’analyse de la cybermenace au bénéfice de l’ensemble des outils de détection

Détecter

La solution Orion Malware développée par Airbus CyberSecurity combine plusieurs moteurs de détection complémentaires fournissant une couverture maximale pour renforcer la protection cyber contre les malwares. Ainsi les analyseurs statiques et antivirus intégrés dans la solution permettent une détection rapide des malwares communs et pour lesquels des signatures sont disponibles. L’analyse dynamique dans la sandbox souveraine QSpy, conçue et développée par les équipes d’Airbus CybserSecurity en France, complète les capacités du produit pour la détection de malwares émergents, sophistiqués et non détectables par signatures, pour les prestataires de détection d’incidents de sécurité (PDIS) des Security Operation Centre (SOC).

• Les rapports détaillés permettent aux analystes CTI et reversers d’augmenter drastiquement leur productivité en:

• Identifiant et analysant récursivement l’ensemble des charges utiles malveillantes• Identifiant l’ensemble des impacts du fichier sur le système cible• Listant les communications réseaux liées au fichier• Etablissant la chronologie des activités du fichier executé

• Enrichissement et capitalisation de la connaissance de la menace

• Alimentation de la sonde Cybels Sensor et de Orion Malware par les indicateurs de compromission et règles de détection des équipes Airbus CyberSecurity, Thales et du client final

• Boucle vertueuse entre la Cybels Sensor et Orion Malware dont les performances s’auto-boostent

Investiguer

L’avantage compétitif de l’intégration d’Orion Malware d’Airbus CyberSecurity dans la sonde Cybels Sensor de Thales est d’augmenter la protection cyber des entreprises tout en réduisant les coûts d’exploitation grâce à une solution simple, adaptée et optimisée pour les opérations de SOC, de réponse à incidents et de Threat Intelligence. Airbus CyberSecurity et Thales offrent ensemble, grâce à leurs savoir-faire respectifs, la solution de détection sur le marché, notamment pour la mise conformité obligatoire des OIV avec la LPM. A la pointe des dernières innovations issues de nos projets de recherche, Orion Malware intègre également de l’intelligence artificielle pour notamment améliorer la classification des malwares détectés.

ORION MALWARE POUR CYBELS SENSOR

Orion MalwareSMALL

2 000 à 15 000 analyses/jour

Orion MalwareMEDIUM

5 000 à 40 000 analyses/jour

Orion MalwareLARGE

15 000 à 120 000 analyses/jour

Orion MalwareX-LARGE

30 000 à 200 000 analyses/jour

ORION MALWARE

CYBELS SENSOR

1 - Fichiers

4 - Nouveaux marqueurs

3 - Analyse

2 - Fichiers

4 - RésultatsCYBELS SENSORCENTRE D’EXPLOITATION

RESPONSABLE DE LA CYBERSECURITE

5 - Alertes

1 - Fichiers

SIIV: SYSTEME D’INFORMATION D’IMPORTANCE VITALE

L’article 22 de la Loi de Programmation Militaire, ordonnent à tous les opérateurs d’Importance Vitale de s’équiper de solutions de détection qualifiées pour surveiller les Systèmes d’Information d’Importance Vitale.

SOC CSIRT CTI

CYBELS SENSOR

100 M

CYBELS SENSOR

1 G

CYBELS SENSOR

2 G

CYBELS SENSOR

4 G

CYBELS SENSOR

6 G

CYBELS SENSOR

10 G

FRANCEMetapole 1, boulevard Jean Moulin / CS 40001 / 78996 Elancourt Cedex/France

ALLEMAGNEWilly-Messerschmitt-Str. 1 / 82024 Taufkirchen / Allemagne

www.airbus-cyber-security.comcontact.cybersecurity@airbus.com

ROYAUME-UNIQuadrant House / Celtic Springs / Coedkernew / South Wales NP10 8FZ / Royaume-Uni

EMIRATS ARABES UNIS Etihad Towers T3 / Corniche Road, 19th floor / P.O.Box: 72186 / Abu Dhabi / Emirats Arabes Unis

Document non contractuel. Sous réserve de modification sans préavis. © 2019 Airbus CyberSecurity. Airbus, son logo et le nom de ses produits sont des marques déposées. Tous droits réservés. // 0917 F 0877

Accord majeur entre les deux leaders du cyber français• Ce partenariat vise à accompagner les Opérateurs d’Importance Vitale (OIV) dans le renforcement des mesures de protection cyber exigées par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Airbus CyberSecurity va équiper la sonde qualifiée Cybels Sensor de Thales, son produit d’analyse de fichiers Orion Malware, pour offrir une solution sûre, efficace et complémentaire pour la détection de malveillances au niveau réseau et fichier. La sonde Cybels Sensor de Thales, qualifiée par l’ANSSI, permet d’analyser le trafic réseau d’une organisation afin d’y détecter des indicateurs de compromission avérés ainsi que des comportements suspects via l’analyse de métadonnées. La sonde embarque également des capacités d’extraction et d’analyse de fichiers reposant sur un moteur de règles.

• L’intérêt commun d’Airbus CyberSecurity et de Thales est d’associer leurs deux technologies performantes et reconnues par les organisations les plus exigeantes, pour créer l’excellence de la détection souveraine française. Cette collaboration entre les deux leaders français de la sécurité cyber prouve que la sonde Cybels Sensor améliorée avec la solution Orion Malware est la référence nationale indiscutable. Les clients SOC d’Airbus CyberSecurity et de Thales profitent déjà de cette intégration au travers des prestations de services délivrées par les 2 sociétés, pour détecter les attaques cyber le plus tôt possible.

PREVENTION REPONSE

DETECTION

Reconnais-sance Intrusion

Prise de contrôle des

droits d’accès

Exploration des

données

Maintien de l’intrusion

Attaque réussie

IMPACT grandissant tant que l’attaque n’est pas

détectée / stoppée

Préparation de l’attaque (identifi ca-tion vulnerabilités / package attaquant

Avoir un premier accès à la cible

Maintenir ses accès sur la cible compro-

mise (backdoor)

Voler des identifi ants valides ou

s’octroyer des droits supplémentaires

Identifi er les données ou systèmes ciblés

Voler les données ciblées ou action de

sabotage

Maintenir présence

Mouvementlatéral

Hacker

Cyber-attaque

Cybersécurité

CyberSecurity

Cycle de vie d’une attaque

info.cybels.sensor@thalesgroup.comwww.thalesgroup.com

© 2019 Thales. Thales, son logo et le nom de ses produits sont des marques déposées. Tous droits réservés.