Pour gérer vos consentements :

Sécurité IT : du machine learning pour les DNS

Dans quelle mesure l’analyse des données de sécurité produites par les systèmes informatiques peut-elle donner aux entreprises davantage d’agilité dans la découverte des menaces ?

C’est l’une des problématiques abordées par HP dans le cadre de sa conférence Protect organisée la semaine passée aux États-Unis.

Le groupe est revenu – entre autres – sur ses développements dans le domaine de l’apprentissage automatique (machine learning)… et sur les applications de cette technologie en matière de protection des utilisateurs, des terminaux et des applications.

La conférence Protect aura été l’occasion d’annoncer, pour le 15 septembre 2015, l’ajout d’une brique dans l’offre ArcSight, qui regroupe plusieurs solutions exploitant le big data dans l’optique de prévenir les attaques informatiques.

La brique en question est baptisée DMA, pour « DNS Malware Analytics ». Elle se présente comme une plate-forme capable d’identifier des systèmes infectés en analysant automatiquement de larges volumes d’événements fournis par les serveurs DNS de l’entreprise.

Du point de vue technique (voir la documentation au format PDF), une première appliance va se connecter aux DNS sur site pour repérer le trafic anormal. Une analyse supplémentaire est alors effectuée dans le cloud pour prioriser les événements de sécurité à traiter et émettre des tableaux de synthèse.

L’intérêt d’une telle architecture réside notamment dans le fait qu’elle ne sature pas les outils de gestion des événements de sécurité (SIEM) avec des logs DNS, tout en étant, selon HP, capable de traiter plusieurs millions de paquets par jour. Quant à l’analyse automatique, elle semble particulièrement pertinente à l’heure où beaucoup d’applications réutilisent du code, open source en premier lieu.

Les cibles identifiées comme infectées sont alors isolées avant leur connexion au réseau. DNS Malware Analytics peut par ailleurs être intégré au SIEM ArcSight pour y corréler d’autres données contextuelles, produire des alertes et proposer des actions appropriées.

HP évoque « un nombre de faux positifs [divisé par 20 ] par rapport aux autres offres de détection de malware sur le marché ». Tout en soulignant le potentiel du machine learning pour accélérer le traitement des alertes (moins de 5 % seraient effectivement traitées à l’heure actuelle).

Autre produit dévoilé dans le cadre de la conférence Protect : un nouveau moteur d’analyse pour le service de test d’applications HP Fortify on Demand. Le principe : examiner le code afin d’améliorer la sécurité des logiciels tout en réduisant la quantité d’éléments demandant l’analyse d’un spécialiste.

Comme le note eWeek, le timing est particulier : Cisco, qui monte également en puissance sur la sécurité,a récemment annoncé l’acquisition d’OpenDNS.

Crédit photo : kentoh – Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago