Juste avant la conférence RSA 2012, l'éditeur Trend Micro a dévoilé sa solution Deep Discovery, un outil de détection des menaces conçu pour surveiller le trafic réseau afin de détecter des signes d'attaques furtives visant à voler les données de l'entreprise. La plate-forme repose en grande partie sur le travail de développement réalisé sur Threat Management System, sorti l'année dernière. Deep Discovery se concentre en fait sur une question précise : les séquences d'attaques de type APT (Advanced persistent threat), nous a expliqué Luis Delabarre, directeur technique de Trend Micro France. « On combine nos moteurs de détection avec une cartographie des risques malware et on a ajouté un bac à sable pour l'analyse comportementale. L'analyse des mails et l'ouverture des pièces jointes permettent d'étudier le comportement des documents PDF étranges. Nous recourons également à des listes noires et blanches. On a aussi investi sur Smart Protection Network pour faire de l'e-réputation et utiliser notre base de connaissances pour étudier le comportement des applications ». Cela consiste en fait à trouver une information intéressante dans le cloud de TrendMicro pour mieux analyser les dangers. Savoir par exemple si tel port a déjà été utilisé pour une attaque d'ingénierie sociale. « C'est un point essentiel dans la gestion de risques (...), le cloud et l'intelligence dans le cloud permettent d'affiner l'analyse comportementale », précise Luis Delabarre. Enfin, le directeur technique précise qu'il est également prévu d'interfacer Deep Discovery avec un Siem pour travailler sur les précédents logs. L'analyse des données conservées par le Siem permet de retracer l'historique pour détecter des attaques APT plus anciennes et peut être toujours actives.



Disponible sous forme d'appliance ou de logiciel, Deep Discovery  va poursuivre son développement et sera bientôt capable d'identifier et de suivre les appareils mobiles afin de savoir quelles applications ont été utilisées et autorisées à accéder aux ressources de l'entreprise.

Avec Deep Discovery, Trend Micro  veut concurrencer la solution d'analyse des menaces NetWitness, désormais dans le giron de RSA, une division d'EMC.  Récemment, RSA a également annoncé une extension de son service NetWitness Live 2.1, une solution  d'analyse automatisée des menaces destinée à être mise en corrélation avec l'appliance NetWitness pour fournir des informations sur les menaces en cours. Selon Sam Curry, directeur de la technologie de l'identité et la protection chez RSA, le service live NetWitness agrège une centaine de sources de renseignement relatives aux menaces potentielles. Parmi certaines de ces sources, citons le service RSA CyberCrime Intelligence et le RSA eFraud Network, dont on dit qu'il rassemble les informations issues de près de 500 millions terminaux connectés et environ 250 millions d'utilisateurs à travers le monde. Les autres sources d'aide à la détection des menaces incluent également les indicateurs VeriSign Threat et Critical Intelligence et pour l'analyse de malwares NetWitness Spectrum Live Bit9 et ThreatGRID.