Trackwatch

TRACKWATCH est une plateforme innovante de Breach Detection System (BDS). C'est une évolution naturelle de l'IDS (Intrusion Detection System). Solution développée en France et répondant aux exigences de durcissement émises par l'ANSSI en vue de l'application de la Loi de Programmation Militaire, TRACKWATCH protège efficacement les organisations contre les intrusions numériques. C'est une solution de détection des intrusions de nouvelle génération basée sur des technologies innovantes répondant aux méthodes d'attaques les plus récentes et les plus sophistiquées.

Il existe plusieurs phases lors d'une attaque avancée, celles-ci peuvent être décrites suivant le type de menace qu'elles engendrent. Ces dashboards classiques opérationnels avec interaction servent principalement à la réaction et à l'analyse rapide.

../_images/SchemaAPT2.png

TRACKWATCH apprend continuellement votre environnement local et récupère les informations de tous les hôtes physiques et virtuels afin de révéler des signes de dispositifs compromis et/ou des menaces internes.

Il y a un large éventail de cybermenaces pouvant être automatiquement détectées dans toutes les phases du cycle de vie de l'attaque:

  • Commandes et contrôle des communications cachées

  • Reconnaissance interne

  • Scan, cartographie de tous les hôtes et indicateurs associés

  • Exfiltration de données

  • Malwares

  • Shellcodes

  • Powershells

Les moteurs d'analyses et de détection de la solution consolident, pendant le cycle de vie d'une APT, des milliers d'évènements et de contextes historiques pour identifier les hôtes qui représentent la plus grande menace. Tous les moteurs d'analyse de la technologie TRACKWATCH sont impliqués et présentent une vue synthétique de l'ensemble de la campagne d'attaque.

La solution TRACKWATCH est la seule solution du marché à rassembler un socle applicatif robuste et à réaliser des analyses statiques, dynamiques et de Machine Learning. La solution participe à la mise en conformité du système d'information et à la détection des méthodes d'exploitation des vulnérabilités et de compromission.

TRACKWATCH est une solution On-Premise. Aucune donnée ne sort vers un cloud pour analyse. TRACKWATCH est composée de 3 appliances; un serveur de management, une sonde et un serveur d'analyse.

TRACKWATCH conduit une analyse multi-vectorielle en temps réel sur des flux réseau suivant trois types d'analyses:

Une analyse Statistique:

  • Détecter des attaques inconnues sur les flux réseau et payloads
    des exploits de types DoS & DdoS, remote, webapps  

  • Détecter des attaques connues dans les fichiers malwares  

  • Rétro-analyser des fichiers suspicieux à l'aide de nouvelles signatures

Une analyse Dynamique:

  • Détecter des lignes de commandes offusquées
    shellcodes encodés et/ou polymorphes  

  • Détecter des fichiers au contenu suspicieux
    comportement non connu, malware connu  

  • Traquer des déplacements latéraux
    étude des taux de connexions, volumétries, utilisations abusives de certains ports, ...

Une analyse par Machine Learning Supervisé

  • Détecter des scripts powershell malicieux  

  • Détecter les communications de malwares C&C, DGA  

Analyse par Machine Learning NON-Supervisé

  • Traquer les comportements anormaux
    création de fiches d'identité associées aux risques encourus

L'architecture de la solution TRACKWATCH a été conçue en deux éléments distincts GCAP et GCENTER assurant chacun des fonctions précises. Cette architecture permet d'inclure facilement de nouvelles méthodes de détection sans modifier l'ensemble. C'est ainsi qu'un nouveau moteur de détection, par exemple le machine learning, sera implémenté au niveau du GCENTER et n'entrainera aucune modification sur le GCAP. Le GCAP est l'élément assurant les exigences de détection et de remontées de métadonnées, comme exigé par l'ANSSI. Le GCAP est conçu pour être peu impacté par toutes les évolutions prévisibles de la plateforme en termes de détection. Le GCENTER est un système modulaire et containérisé prévu pour accueillir de nouveaux moteurs de détection tout en gardant sa robustesse et le durcissement demandé par l'ANSSI.
La solution TRACKWATCH peut être complétée d'un module optionnel appelé GBOX qui permet une analyse approfondie des menaces.

../_images/DRAGON.png