ATLAS analyse en temps réel 120 Tbit/s de trafic Internet mondial provenant de 330 opérateurs réseau dans le monde. Arbor Networks Inc., société leader dans la fourniture de solutions de protection contre les attaques DDoS et les menaces avancées pour les réseaux d’entreprises et d’opérateurs, célèbre ce mois-ci le 8ème anniversaire de son observatoire ATLAS® des cybermenaces.

Lors de son lancement en février 2007, 30 fournisseurs d’accès à Internet (FAI) participaient au programme ATLAS, leurs données représentant au total 3 Tbit/s de trafic Internet mondial. Aujourd’hui, ATLAS rassemble plus de 330 opérateurs réseau à travers le monde, cumulant environ 120 Tbit/s de trafic. Ses données sont utilisées par plus d’une centaine de CERT nationaux à travers le monde et contribue à la neutralisation des botnets malveillants.

La plupart des acteurs du marché de la sécurité vous diront qu’ils peuvent vous offrir une excellente visibilité de ce qui se passe sur votre réseau. Avec ATLAS, Arbor Networks s’appuie sur son profond ancrage au sein de la communauté internationale des opérateurs pour se donner les moyens de procurer une visibilité au-delà des frontières de chaque réseau.

C’est une condition aujourd’hui indispensable pour comprendre les cybermenaces. ATLAS est un outil puissant, sans équivalent sur le marché, qui apporte une aide considérable aux équipes de sécurité qui doivent savoir ce qui se passe sur les réseaux voisins du leur et dans le reste du monde », commente Yi-Lang Tsai, président de la Cloud Security Alliance à Taiwan.

ATLAS réunit des données issues de multiples sources, parmi lesquelles des clients d’Arbor Networks ayant accepté de partager des données anonymes de trafic et d’attaques DDoS à intervalles horaires fixes (grâce à la technologie Arbor Networks implantée dans leurs réseaux).

ATLAS exploite également les données fournies par les sondes de surveillance du « darknet » d’Arbor Networks, les informations de routage BGP provenant de divers opérateurs, les données des programmes de recherche ASERT (Arbor Security Engineering & Response Team), ainsi que d’autres flux.

Les informations en matière de réseau et de sécurité fournies par ATLAS confèrent un avantage concurrentiel considérable aux clients d’Arbor Networks, qui bénéficient à la fois d’une vue locale de leur propre réseau et d’une vue globale du trafic et des menaces Internet au niveau mondial.

Les données ATLAS servent de base pour la collaboration d’Arbor Networks avec Google Ideas, qui a abouti au développement de Digital Attack Map, une carte interactive qui permet de visualiser en temps réel les attaques DDoS sur Internet.

« ATLAS permet à nos clients de visualiser l’évolution des menaces DDoS non seulement sur leur propre marché géographique mais aussi dans les autres régions du monde. Ils peuvent ainsi mieux cerner ces menaces afin d’assurer la protection de leurs services et de leurs utilisateurs », souligne Darren Anstee, responsable de l’équipe d’architectes en solutions d’Arbor Networks.

Transformation des données ATLAS en informations exploitables

Les données ATLAS apportent un éclairage essentiel aux clients d’Arbor Networks dans leurs décisions concernant la sécurité des réseaux, la création de services, l’analyse des marchés, la planification des capacités ou les tendances en matière d’applications. En outre, le flux AIF (ATLAS Intelligence Feed) contribue à protéger les ressources stratégiques de ces entreprises contre les menaces les plus récentes.

Arbor Networks tire cette masse de données très riches des sources énumérées plus haut, ainsi que des recherches et analyses continuelles de son équipe ASERT. ASERT est l’une des organisations les plus réputées dédiées à la recherche dans le secteur de la sécurité, réunissant des experts aux compétences variées, que ce soient des membres de CERT (Computer Emergency Response Team) d’entreprises Fortune 25, d’anciens représentants des forces de l’ordre, des fournisseurs de solutions de neutralisation des menaces ou encore des organismes renommés de recherche dans le domaine des malwares.

En observant le paysage mondial des attaques et en s’appuyant sur de outils spécialisés pour l’indexation des malwares et la surveillance des botnets, ASERT élabore des informations sur les campagnes malveillantes pour les clients d’Arbor Networks, enrichies du contexte et d’autres éléments nécessaires à la détection et au blocage des menaces spécifiques et au renforcement constant de la sécurité.

Quotidiennement, ASERT collecte des échantillons de malwares auprès d’ATLAS et d’autres sources, en s’intéressant plus spécialement aux campagnes les plus malveillantes et destructrices, qu’il s’agisse de menaces persistantes avancées (APT), de campagnes géopolitiques, de fraude financière ou d’attaques sur les points de vente ou DDoS.

Les échantillons de malwares sont soumis à une combinaison de techniques d’analyse automatiques et manuelles, les caractéristiques propres de chaque échantillon étant stockées dans une base de données regroupant des millions d’analyses de ce type. Les informations extraites de chaque analyse sont croisées dans cette base de données, ce qui permet d’identifier les campagnes ainsi que les autres propriétés ou infrastructures communes.

En cas de détection d’une nouvelle campagne ou d’un nouveau vecteur d’attaque DDoS, une règle correspondante est créée, diffusée et installée dans les produits d’Arbor Networks via le flux AIF.

« ATLAS représente un atout considérable non seulement pour Arbor Networks et ses clients mais aussi pour la communauté dans son ensemble. Nous fournissons des informations à plus d’une centaine de CERT nationaux à travers le monde et contribuons à la neutralisation des botnets », rappelle Dan Holden, directeur de l’équipe ASERT d’Arbor Networks.

« La visibilité procurée par ATLAS au cours de ces années a été une bénédiction pour un grand nombre d’acteurs en permettant de sécuriser les échanges d’informations entre les FAI, les entreprises et les CERT. ATLAS a inventé la veille des menaces avant que ce terme ne devienne à la mode. »