CF-Sentinel

Genèse

ComputableFacts a été créée en associant les savoir-faire en matière de big-data/intelligence artificiel d’un côté et sécurité informatique de l’autre. Bien que dans notre offre commerciale la dimension sécurité ne soit pas évidente de prime abord il s’agit d’une part importante de notre ADN.

CF-Sentinel a été créé pour répondre à un besoin exprimé par nos clients dans le domaine de la cyber-sécurité : la sécurité de leur périmètre externe. En effet, les sociétés sont de plus en plus équipées de systèmes leur permettant une couverture correcte de leur périmètre interne mais se retrouvent souvent aveugles sur le périmètre externe. Or il s’agit souvent d’une porte d’entrée potentielle pour des attaquants et de la partie du système d’information la plus exposée aux attaques de masse (ransomware, cyber-squatting, vol de données confidentielles, etc.)

CF-Sentinel a donc pour vocation de répondre à cette problématique : comment identifier et protéger mon périmètre externe des attaques de masse. Notre expérience dans le domaine nous a montré que ces attaques sont en effet la source principale des incidents de sécurité jugés critiques pour un SI.

En quelques mots

La simplicité pour le client est au coeur de notre service : pas d’agents à déployer, pas de nouveaux systèmes d’alerte à mettre en place.

Si vous connaissez votre périmètre externe il s’agit simplement de nous communiquer les informations (IPs et/ou DNS), si ce n’est pas le cas nous vous aidons à le découvrir via nos outils (OSINT, interrogation de base, recherche DNS, etc.). Cette seconde approche est recommandée car elle permet souvent de mettre à jour une partie non négligeable du Shadow IT.

Pour la remonter d’alertes nous mettons à disposition une API sécurisée vous permettant une intégration facile à votre SOC (via la mise à disposition de fichier JSON).

Concernant le fonctionnement de l’outil, nous avons mis au point une technique permettant d’allier la collecte d’information issues d’outils publics et propriétaires ainsi que de bases de connaissances (CVE, exploits, connaissances internes) avec la force de l’intelligence artificielle de ComputableFacts : pas de Machine Learning, application de logique probabiliste permettant la traçabilité complète du raisonnement ayant déclenchés une alerte.

Notre approche novatrice permet de réduire au minimum voire supprimer les faux positifs mais aussi de prioriser les alertes pour permettre aux équipes de sécurité de se concentrer sur les problèmes majeurs.

Les 4 étapes du fonctionnement de CF-Sentinel

La collecte d’information : CF-Sentinel Collector

CF-Sentinel Collector est issu de l’outillage et de l’expérience en sécurité informatique d’un des fondateurs de ComputableFacts. Il s’agit d’une version améliorée, évolutive et automatisée de l’outillage utilisé pour réaliser des audits de sécurité à grande échelle ou des tests « redteam ». CF-Sentinel Collector réalise sa collecte d’information par étape :

  • Scan de ports
  • Scan de service
  • Scan spécialisé par type de service
  • Scan spécialisé par produit

Cette approche nous permet d’affiner progressivement nos tests en les spécialisant. Quelques exemples :

  • Scan de ports, détection d’un port SSH ouvert
  • Vérification qu’il s’agit bien d’un service SSH
  • Lancement de tests spécialisés (bruteforce de l’authentification en testant des mots de passe collectés via nos honeypots, récupération de numéro de version, etc.)
  • Scan de ports, détection d’un port HTTP ouvert
  • Vérification qu’il s’agit bien d’un service HTTP
  • Lancement de tests spécialisés
    • Tests génériques (recherche de backup, d’erreurs de configurations, etc.)
    • Recherche du CMS utilisé
    • Tests spécialisés pour ce CMS (recherche de version, de plugins vulnérables, bruteforce, etc.)

Notre backend technique nous permet aussi de déployer très facilement des nouveaux outils ciblant précisément certains services/produits. Nous intégrons ainsi les outils utilisés par les attaquants que nous instrumentalisons pour détecter les vulnérabilités de nos clients.

L’analyse des données collectées : CF-Sentinel Brain

CF-Sentinel Brain repose sur l’utilisation de la technique d’intelligence artificielle propriétaire de ComputableFacts. Comme expliqué précédemment il ne s’agit pas ici de Machine Learning mais d’une intelligence artificielle reposant sur une logique probabiliste. Cette approche nous semble supérieure car elle nous permet de tracer nos décisions et surtout d’éviter les faux positifs qui sont une problématique récurrente des résultats des modèles d’IA issus du Machine Learning.

Concrètement CF-Sentinel Brain repose sur un moteur de règles probabilistes permettant de croiser les informations collectées entre elles et avec des bases de connaissance (connaissances métier, base de CVE, base d’exploits, etc.).

Par exemple CF-Sentinel Brain est en mesure de matcher une version d’un produit (collecté via un scan) avec une base de vulnérabilités (CVE) pour déclencher une alerte dans le cas où la CVE est supérieure à un certain seuil. Il pourra de plus escalader une alerte si on découvre un exploit public pour cette CVE. De la même manière CF-Sentinel Brain permet de facilement recouper les résultats de plusieurs outils utilisés dans CF-Sentinel Collector afin de s’assurer de la réelle existence d’une vulnérabilité (comme par exemple pour la vulnérabilité Citrix de fin 2019 où seule l’utilisation de plusieurs outils publics de détection permettait de réellement valider l’existence ou non de la vulnérabilité).

CF-Sentinel Brain a donc pour vocation d’imiter le processus de prise de décision d’un humain pour prouver l’existence et la criticité d’une vulnérabilité.

CF-Sentinel Alert/Advisor

Afin de gagner en efficacité nous avons choisi de nous intégrer directement aux SOCs de nos clients. CF-Sentinel met donc à disposition un fichier JSON regroupant l’ensemble des alertes concernant votre périmètre externe.

Chaque alerte contient les informations nécessaires et suffisantes pour :

  • Identifier l’hôte concerné
  • S’assurer de l’existence de la vulnérabilité
  • Corriger la vulnérabilité
  • Prioriser la prise en charge de l’alerte