Le fournisseur de cybersécurité Darktrace a annoncé la sortie de Newsroom, un système de détection et d'alerte des vulnérabilités critiques qui utilise des sources de renseignements open source (OSINT) pour identifier les menaces pesant sur les entreprises. Cet outil exploite grâce à l'IA la surface d'attaque externe d'un client pour évaluer son exposition aux vulnérabilités détectées. Il apporte aussi un résumé des exploits, des logiciels et des actifs affectés au sein de l'organisation, indique l'éditeur. Et également des conseils d'atténuation des vulnérabilités spécifiques aux entreprises, dans un contexte marqué par la multiplication des failles d'injection de code à distance dans Citrix Gateway/Citrix ADC, les serveurs CentOS Web Panel 7 et les produits Zoho ManageEngine. Newsroom fait partie de la gamme produits Prevent de l'éditeur.

Darktrace Newsroom surveille de manière autonome les flux de menaces et les sources OSINT pour les vulnérabilités critiques et les publie sur son tableau de bord Prevent. Cette détection et ce résumé des failles renforcent les équipes de sécurité humaine en allégeant les processus manuels longs et à forte intensité de main-d'œuvre selon le fournisseur. Les méthodes traditionnelles de gestion des vulnérabilités sont généralement gourmandes en ressources, impliquant une surveillance régulière des flux d'actualités de sécurité et des sources de renseignements. Cela peut prendre beaucoup de temps aux équipes de sécurité pour tester et déterminer si elles sont affectées lorsqu'une vulnérabilité apparaît, ce qui permet aux attaquants de pénétrer dans les entreprises, a expliqué Pieter Jansen, vice-président senior de l'innovation en cybersécurité chez Darktrace. « Certaines de ces actions sont déjà effectuées par des organisations en interne par des personnes enthousiastes qui suivent les actualités, ou même des équipes de sécurité entières qui commencent chaque matin en parcourant Twitter et les forums underground. Newsroom accroît l'efficacité de tout cela avec une IA 24/7 surveillant toute les nouvelles sources publiques et souterraines des failles, en parcourant les communautés de recherche et en partageant ce qui a été sélectionné en tant que failles très critiques afin que les équipes de sécurité commencent mieux leur journée », indique Pieter Jansen. « Une compréhension profonde et unique de la surface d'attaque externe d'un client et une corrélation avec celle-ci sont essentielles ».

Un outil apprenant

Darktrace met en avant le côté « apprenant » de sa plateforme pour mieux comprendre à quoi ressemble une organisation d'un point de vue extérieur sans aucune intervention de l'utilisateur, en utilisant la marque et les preuves de l'IA pour construire un ADN numérique du client, selon Pieter Jansen. Et de poursuivre : « Il sait que s'il y a une nouvelle exposition sur des parties spécifiques de la surface d'attaque, il en apprend et identifie les chemins d'attaque nouveaux ou critiques qui pourraient conduire à un compromis, indiquant au client où ils sont exposés ».

Lors de la détection d'une vulnérabilité pertinente pour le client, Newsroom envoie une alerte par e-mail avec une liste des actifs concernés et prend en charge l'intégration avec la plupart des systèmes de billetterie, en générant automatiquement des tickets avec les équipes/le personnel appropriés. « Il est très utile de savoir si vous disposez d'une technologie d'actifs vulnérables et où vous devez corriger, afin que vous puissiez ensuite augmenter votre surveillance autour de ces actifs pour vous assurer qu'ils ne sont pas piratés dans ce délai », précise Pieter Jansen. Newsroom réévalue également les vulnérabilités historiques pour une nouvelle exploitation. Les conseils d'atténuation renvoient aux sites de correctifs officiels (le cas échéant) et aux sources de correction, tandis que les clients peuvent choisir d'être informés des vulnérabilités même s'ils n'ont aucun actif directement affecté, ce que Pieter Jansen appelle un « vrai négatif ».

Se couper du brouhaha médiatique

La dernière solution de Darktrace relève un défi fondamental auquel les responsables de la sécurité sont confrontés aujourd'hui : réduire le bruit des médias et se familiariser avec les réalités de leur profil de risque, déclare Jim Webber, vice-président de la sécurité d'entreprise et de la gestion des fraudes chez Direct Federal Credit Union, et early adopter de Newsroom. « Si l'on considère qu'en moyenne quatre nouvelles vulnérabilités critiques sont publiées chaque jour, et que le temps nécessaire aux attaquants pour les exploiter est réduit à une moyenne de 12 jours, vous pouvez imaginer que la course contre la montre pour comprendre et atténuer ces menaces en ligne avec votre profil de risque n'est pas quelque chose que même une armée d'analystes, si ce luxe était offert, peut faire seule », dit-il. 

Newsroom fournit des informations claires sur l'impact des nouvelles vulnérabilités d'une manière opportune et adaptée à son organisation, ajoute Jim Webber. « Au lieu de parcourir les journaux de données lorsque la prochaine vulnérabilité apparaît, mon équipe peut agir sur les informations fournies. Non seulement cela, mais cela nous montre également les joyaux de la couronne que l'IA défend activement en notre nom afin de renforcer la confiance dans ces décisions ». Le 29 septembre 2022, Newsroom a alerté l'équipe de Jim Webber du risque potentiel d'une vulnérabilité bien connue, déclare-t-il. « Après l'identification initiale, il a ensuite effectué rapidement les phases cruciales de réponse à la vulnérabilité. Nous avons vu que la gravité de cette situation était élevée et que l'impact potentiel était élevé. Cela nous a montré que cela était visible dans notre surface d'attaque externe et nous a fourni une liste des ressources potentiellement affectées ». Newsroom a ensuite envoyé un aperçu de tout cela à l'équipe de Jim Webber par e-mail, y compris une liste des actifs potentiellement affectés et un lien vers des ressources externes sur la menace.