Kaspersky

Threat
Intelligence
Kaspersky Threat Intelligence
Le suivi, l'analyse, l'interprétation et la lutte contre les menaces informatiques, en perpétuelle évolution,
représentent un travail considérable. Dans tous les secteurs, les entreprises manquent de données
actualisées et pertinentes pour gérer les risques liés aux menaces informatiques.
Kaspersky Cybersecurity
Services
Kaspersky
Threat Intelligence
Flux d'informations sur les menaces
CyberTrace
Rapports de surveillance
des menaces persistances
avancées (APT)
Kaspersky Digital Footprint
Intelligence
Recherche des menaces
Cloud Sandbox
Rapports de Threat Intelligence sur
les menaces financières
Kaspersky
Threat Hunting
Formation à la sécurité
de Kaspersky
Kaspersky
Incident Response
Kaspersky
Security Assessment
Graphique 1. Mise en
œuvre de la Threat
Intelligence externe
Les services de Threat Intelligence (surveillance des menaces) de Kaspersky vous donnent
accès aux informations nécessaires pour atténuer ces risques, fournies par notre équipe de
chercheurs et d'analystes internationaux.
Les connaissances et l'expérience approfondies de Kaspersky dans tous les domaines
de la cybersécurité en font le partenaire de choix des plus grandes autorités de police
et administrations au monde, comme INTERPOL et les grands organismes CERT. Votre
entreprise peut tirer parti dès aujourd'hui de ces renseignements.
Les services de Threat Intelligence de Kaspersky comprennent les éléments suivants :
• Flux d'informations sur les menaces
• CyberTrace
• Rapports de surveillance des menaces persistances avancées (APT)
• Kaspersky Digital Footprint Intelligence
• Recherche des menaces
• Cloud Sandbox
• Rapports de Threat Intelligence sur les menaces financières
Flux d'informations sur les menaces
Les cyberattaques sont monnaie courante. La fréquence, la complexité et l'obfuscation
des cybermenaces ne cessent de croître, les cybercriminels tentant par tous les
moyens d’affaiblir vos défenses. Ils utilisent aujourd’hui des chaînes de frappe
d’intrusion complexes, des campagnes et des TTP (Tactiques, Techniques et
Procédures) personnalisées pour paralyser votre activité ou encore attaquer
vos clients. Il apparaît clairement que la protection exige désormais de nouvelles
méthodes, basées sur la threat intelligence.
En intégrant aux contrôles de sécurité existants (ex. : systèmes SIEM ) des données de
Threat Intelligence mises à jour minute par minute contenant des informations sur des
adresses IP, des URL et des hachages de fichiers suspects et dangereux, les équipes
de sécurité peuvent automatiser le processus de tri initial tout en fournissant à leurs
experts un contexte suffisant pour identifier immédiatement les alertes qui doivent
faire l'objet d'une enquête ou être remontées aux équipes de réponse aux incidents.
Des entreprises et des éditeurs de solutions de sécurité reconnus utilisent les flux
d'informations sur les menaces réputés et fiables de Kaspersky, afin, pour les unes,
de protéger leur activité et, pour les autres, d’élaborer des solutions de sécurité haut
de gamme.
INTELLIGENCE
DONNÉES
INTERNES EXTERNE
Pare-feu SIEM OSINT
IPS/IDS Communautés menées par l'industrie
NTA Communautés privées
EDR (CERT)
Fournisseurs commerciaux
Réponse
aux incidents
1
Données contextuelles
Pour tous les flux d’informations, chaque
dossier est enrichi avec un contexte
exploitable (noms des menaces,
horodatages, géolocalisation, adresses IP
résolues de ressources Web infectées,
hashes, popularité, etc.). Les données
contextuelles permettent de pointer la
situation globale, étayant et soutenant
ainsi une large utilisation des données.
Les données mises en contexte peuvent
être plus facilement utilisées pour savoir
qui quoi, où et quand, afin d'identifier
vos adversaires et de prendre des décisions
et des mesures opportunes propres
à votre entreprise.
Graphique 2.
Sources de Threat
Intelligence de
Kaspersky
Utilisateurs
de Kaspersky
dans le monde entier
Les flux d'informations
Ces flux comprennent :
• Informations sur la réputation des adresses IP : ensemble d'adresses IP avec des
données sur les hôtes suspects et malveillants.
• Informations sur les URL malveillantes et de phishing : liens et sites Web malveillants
et de phishing.
• Informations sur les URL C&C de botnet : serveurs C&C de botnet d'ordinateurs
de bureau et objets malveillants connexes
• Informations sur les URL C&C de botnet mobiles : serveurs C&C de botnet mobiles,
permettant d'identifier des appareils infectés qui communiquent avec des serveurs C&C.
• Informations sur les URL de ransomwares : liens hébergeant des ransomwares ou
auxquels des ransomwares accèdent.
• Informations sur les données des vulnérabilités : ensemble de vulnérabilités de
sécurité avec données de Threat Intelligence associées (hachages d'applications
vulnérables/de vulnérabilités, horodatages, CVE, correctifs, etc.).
• Informations sur indicateurs de compromissions APT : domaines, hôtes, adresses IP
ou fichiers malveillants utilisés par des adversaires pour commettre des attaques APT.
• Informations sur les DNS passives (pDNS) : ensemble de dossiers contenant les
résultats de résolutions DNS pour les domaines en adresses IP correspondantes.
• Informations sur les URL IoT : sites Web utilisés pour télécharger un programme
malveillant qui infecte les appareils IoT.
• Informations sur les hashes malveillants : nouveaux programmes malveillants les plus
répandus et les plus dangereux.
• Informations sur les données des hachages ICS : ensemble de hachages de fichiers
avec contexte correspondant pour détecter les objets malveillants qui infectent les
appareils utilisés dans les systèmes de contrôle industriel (ICS, Industrial Control System).
• Informations sur les hashes malveillants mobiles : détection d’objets malveillants
qui infectent les plates-formes mobiles Android et iPhone.
• Informations sur les hachages ICS : ensemble de hachages de fichiers avec contexte
correspondant pour détecter les objets malveillants qui infectent les appareils utilisés
dans les systèmes de contrôle industriel (ICS, Industrial Control System).
• Informations sur le cheval de Troie P-SMS : détection de chevaux de Troie SMS
qui permettent de voler, de supprimer et de répondre à des SMS et de générer des
frais via l’appel à des numéros surtaxés sur un mobile.
• Informations sur les listes blanches : informations détaillées sur les logiciels
authentiques destinées aux solutions et services tiers.
• Kaspersky Transforms for Maltego : fournit aux utilisateurs de Maltego des
transformations leur permettant d’accéder aux flux d’informations sur les menaces
de Kaspersky. Grâce à Kaspersky Transforms for Maltego, vous pouvez vérifier des
URL, des hashes et des adresses IP en les comparant aux flux d’informations de
Kaspersky. Les transformations permettent de déterminer la catégorie d’un objet
et fournissent des informations exploitables à son sujet.
Client
Statistiques
Kaspersky
2 4
3
Robots d'indexation
Système spécialisé
de Kaspersky 5
Contrôle des botnets
Spam traps
Capteurs
Analystes
Kaspersky
Équipe d'experts en APT
Partenaires
OSINT Listes blanches
2
Les points forts du service
• Les flux d’informations remplis de
faux positifs ne servent à rien, aussi
appliquons-nous des filtres et des tests
extrêmement complets pour garantir
la diffusion de données intégralement
vérifiées.
• Les flux d'informations sont
générés en temps réel et de manière
automatique dans le monde entier
(le Kaspersky Security Network
couvre une proportion considérable de
l'ensemble du trafic Internet, avec des
dizaines de millions d'utilisateurs dans plus
de 213 pays), afin de garantir un taux de
détection élevé et une bonne précision.
• Tous les flux sont générés et surveillés par
une infrastructure hautement tolérante
aux pannes, assurant une disponibilité
permanente.
• Les flux permettent de détecter
immédiatement les URL utilisées
pour héberger du phishing, des
programmes malveillants, des exploits,
des URL C&C de botnet et d’autres
contenus malveillants.
• Les programmes malveillants dans
tout type de trafic (Web, e-mail, P2P,
messagerie instantanée, etc.) et ciblant
des plates-formes mobiles sont aussi
instantanément détectables et
identifiables.
• Les formats de diffusion simples
et légers (JSON, CSV, OpenIoC,
STIX) via le protocole HTTPS ou des
mécanismes de distribution ad hoc
simplifient l'intégration des flux dans les
solutions de sécurité.
• Des centaines d'experts – y compris des
analystes en sécurité du monde entier,
les experts en sécurité mondialement
réputés de l'équipe GReAT, ainsi que
nos équipes de R&D de pointe – contribuent
à générer ces flux. Les agents de sécurité
reçoivent des informations et des alertes
critiques générées à partir de données
optimales, sans être inondés d’indicateurs
et d’avertissements superflus.
• Facilité de mise en œuvre. Une
documentation complémentaire, des
échantillons, un responsable commercial
et technique dédié et l’assistance
technique Kaspersky sont à votre
disposition pour une intégration simple.
Collecte et traitement
Les flux d’informations sont agrégés à partir de sources ultra-fiables, hétérogènes et
fusionnées, comme Kaspersky Security Network et nos propres robots d'indexation,
notre service de contrôle des botnets (qui surveille les botnets, leurs cibles et activités
24 h/24, 7 j/7, 365 j/an), les spam traps, les équipes de chercheurs et nos partenaires.
Toutes les données agrégées sont ensuite soigneusement analysées et affinées en
temps réel à l’aide de plusieurs techniques de prétraitement : critères statistiques,
sandbox, moteurs heuristiques, outils de similarité, profils de comportement, validation
par des analystes et vérification de listes blanches.
Avantages
• Renforcez vos outils de défense du réseau, notamment les systèmes SIEM,
les pare-feu, les IPS/IDS, les proxy de sécurité et les solutions DNS et anti-APT à l'aide
d'indicateurs de compromission (IOC) constamment actualisés et d'informations
concrètes qui informent sur les cyberattaques et les intentions, capacités et cibles de
vos adversaires. Les principaux systèmes SIEM (y compris HP ArcSight, IBM QRadar,
Splunk, etc.) sont totalement pris en charge.
• Développez ou améliorez la protection contre les programmes malveillants pour
les appareils périphériques du réseau (routeurs, passerelles, matériel UTM).
• Améliorez et accélérez votre processus de réponse aux incidents et vos
capacités de diagnostic en fournissant aux équipes de sécurité/SOC des informations
utiles sur les menaces et la logique qui sous-tend les attaques ciblées. Diagnostiquez et
analysez plus efficacement les incidents de sécurité qui frappent les hébergeurs et le
réseau, et hiérarchisez les signaux émis par les systèmes internes face à des menaces
inconnues pour réduire le délai d’intervention et perturber la chaîne de frappe avant
que des données et des systèmes critiques ne soient compromis.
• Proposez un service de veille stratégique des menaces aux entreprises
abonnées. Exploitez des informations de première main sur les nouveaux
programmes malveillants et autres menaces afin de renforcer vos moyens de
défense et d’éviter les attaques.
• Contribuez à limiter les attaques ciblées. Optimisez vos mesures de sécurité
grâce à la veille tactique et la Threat Intelligence, ainsi qu'à des stratégies de défense
et de lutte adaptées contre les menaces qui pèsent sur votre entreprise.
• Utilisez les informations sur les menaces afin de détecter le contenu malveillant
hébergé sur vos réseaux et dans vos data centers.
• Empêchez l’exfiltration de propriété intellectuelle et de ressources sensibles
stockées dans des machines infectées en détectant rapidement ces dernières,
afin d’éviter de perdre un avantage concurrentiel et des opportunités commerciales
et de protéger la réputation de votre marque.
• Examinez de manière approfondie les indicateurs de menace (protocoles C&C,
adresses IP, URL malveillantes, hashes de fichiers) dans un contexte validé par un
être humain afin de hiérarchiser les attaques, de prendre de meilleures décisions
de dépenses IT et d'affectation des ressources, et de vous concentrer sur
l’atténuation des menaces les plus dangereuses.
• Bénéficiez de notre expertise et de nos informations contextuelles exploitables afin
de renforcer vos produits et services de protection (filtrage de contenu Web,
blocage des courriers indésirables et des tentatives de phishing, etc.).
• Si vous êtes un MSSP, développez votre activité en proposant à vos clients un service
de Threat Intelligence haut de gamme et leader. Si vous faites partie du CERT,
optimisez et élargissez vos capacités de détection et d'identification des cybermenaces.
3

Graphique 3. Statistiques Kaspersky
CyberTrace
Kaspersky CyberTrace
Le nombre d'alertes de sécurité traitées par les analystes de niveau 1 du centre de
sécurité augmente chaque jour de manière exponentielle. Face à un tel volume de
données, il est presque impossible de hiérarchiser, de trier et de valider efficacement
les alertes. Les alertes provenant des produits de sécurité se multiplient,au risque de
voir les véritables menaces passer au travers des mailles du filet, sans même parler du
risque d'épuisement des analystes. Malgré les SIEM,les outils de gestion des journaux
et d'analyse de sécurité et la mise en corrélation des alarmes associées, qui permettent
de réduire le nombre d'alertes à examiner, les spécialistes de niveau 1 sont surchargés.
Trier et analyser efficacement les alertes
En intégrant aux contrôles de sécurité existants (ex : systèmes SIEM) des données de
Threat Intelligence mises à jour minute par minute et interprétables par une machine,
les centres de sécurité (SOC) peuvent automatiser le processus de tri initial tout
en fournissant aux spécialistes de niveau 1 un contexte suffisant pour identifier
immédiatement les alertes qui doivent faire l'objet d'une enquête ou être remontées
aux équies de réponse aux incidents. Néanmoins, la croissance continue du nombre
de flux de données sur les menaces et de sources de Threat Intelligence complique
singulièrement la tâche des organisations, qui peinent à identifier les informations
pertinentes. Les données de Threat Intelligence, fournies dans différents formats et
comprenant une quantité phénoménale d'indicateurs de compromission, sont
particulièrement indigestes pour les SIEM ou les contrôles de sécurité du réseau.
Kaspersky CyberTrace est un outil de fusion et d'analyse des données de Threat
Intelligence qui assure une intégration transparente des flux de données sur les menaces
dans les solutions SIEM afin d'aider les analystes à exploiter efficacement ces données
dans le cadre de leurs opérations de sécurité. Il s'intègre à tous les flux de Threat
Intelligence que vous pourriez utiliser (flux de Kaspersky ou d'autres fournisseurs, flux
OSINT, flux personnalisés, aux formats JSON, STIX, XML ou CSV) et propose donc une
intégration prête à l'emploi avec la plupart des solutions SIEM et des sources de journaux.
En comparant automatiquement les journaux aux flux de Threat Intelligence, Kaspersky
CyberTrace fournit une « connaissance situationnelle » en temps réel et permet aux
analystes de niveau 1 de prendre des décisions plus rapides et mieux informées.
Kaspersky CyberTrace offre un ensemble d'instruments pour rendre les données de Threat
Intelligence opérationnelles, procéder à un tri efficace et apporter une réponse initiale :
• Dès l'achat du produit, des flux OSINT et des flux de données sur les menaces de
démonstration sont mis à disposition par Kaspersky
• Connecteurs SIEM pour une large gamme de solutions SIEM afin de visualiser et de
gérer les données de détection des menaces
• Statistiques d'utilisation des flux pour mesurer l'efficacité des flux intégrés
• Recherche à la demande des indicateurs (hachages, adresses IP, domaines, URL) pour
une investigation en profondeur
• Interface utilisateur Web fournissant une visualisation des données, un accès à la
configuration, une gestion des flux, des règles d'analyse des journaux et des listes
noires et blanches
• Filtrage avancé des flux (selon le contexte fourni pour chacun des indicateurs : type
de menace, géolocalisation, popularité, horodatage, etc.) et des événements des
journaux (basé sur des conditions personnalisées)
• Exportation des résultats de recherche des flux de données au format CSV pour
intégration avec d'autres systèmes (pare-feu, réseau, IDS hôte et outils personnalisés)
• Analyse groupée des journaux et des fichiers
• Interface à ligne de commande pour les plateformes Windows et Linux
4
 • Mode autonome, dans lequel Kaspersky CyberTrace n'est pas intégré à un SIEM mais reçoit
et analyse les journaux provenant de diverses sources telles que les appareils réseau
• Installation selon des scénarios compatibles DMZ, en complète isolation d'Internet.

L'outil utilise un processus internalisé d'analyse et d'association des données entrantes

qui réduit considérablement la charge de travail du SIEM. Kaspersky CyberTrace traite
les journaux et les événements entrants, associe rapidement les résultats aux flux et
Graphique 4. Plan d'intégration génère ses propres alertes de détection des menaces. L'illustration ci-dessous montre
de Kaspersky CyberTrace une architecture d'intégration de la solution de haut niveau :

Vous pouvez utiliser Kaspersky CyberTrace et Kaspersky Threat Data Feeds séparément,
mais lorsqu'ils sont utilisés ensemble, ils renforcent considérablement vos capacités de
détection des menaces et confèrent à vos opérations de sécurité une visibilité globale sur
les cybermenaces. Avec Kaspersky CyberTrace et Kaspersky Threat Data Feeds,
les analystes du centre de sécurité peuvent :

• Traiter et hiérarchiser efficacement d'énormes volumes d'alertes de sécurité

• Améliorer et accélérer les procédures de tri et de réponse initiale
• Identifier immédiatement les alertes critiques pour l'entreprise et prendre des décisions
mieux informées sur les alertes à faire remonter aux équipes de réponse aux incidents
• Élaborer une défense proactive basée sur la veille stratégique

5
Les rapports de surveillance des
APT de Kaspersky proposent :
Rapports de surveillance des menaces
• Un accès exclusif aux descriptions persistances avancées (APT)
techniques des menaces les plus
redoutables au cours de l'enquête, avant Soyez plus conscient et mieux informé des attaques de cyberespionnage les plus
la publication des résultats. sophistiquées grâce aux rapports pratiques et complets fournis par Kaspersky.
• Des informations sur les menaces APT
non annoncées publiquement. Parmi les Grâce aux informations fournies dans ces rapports, vous pouvez réagir rapidement
menaces les plus graves, toutes ne sont aux nouvelles menaces et vulnérabilités en bloquant les attaques qui passent par des
pas révélées publiquement. En raison de vecteurs connus, en réduisant les dommages des attaques évoluées et en améliorant
l'identité des victimes, de la sensibilité
des données, de la nature des opérations
votre stratégie de sécurité ou celle de vos clients.
de correction des vulnérabilités ou des
activités de maintien de l'ordre associées, Kaspersky a identifié certaines des attaques APT les plus importantes. Toutefois, toutes
certaines de ces APT ne sont jamais les APT ne sont pas signalées dès leur découverte, et nombre d'entre elles ne sont jamais
rendues publiques. Néanmoins, toutes révélées publiquement.
sont signalées à nos clients.
• Un accès à une documentation technique En tant qu'abonné aux rapports de surveillance des APT de Kaspersky, vous accédez
détaillée. Une documentation technique à tout moment à nos enquêtes et découvertes, y compris aux données techniques
détaillée, avec une liste complète complètes sous plusieurs formats, sur chaque APT, dès sa découverte, ainsi que sur
d'indicateurs de compromission (IOC), dans
des formats standard tels qu'OpenIOC ou
toutes les menaces qui restent dissimulées. Chacun des rapports contient un résumé
STIX, en plus de l'accès à nos règles Yara. analytique proposant des informations pour les cadres supérieurs faciles à comprendre,
• Profils de criminels avec résumé qui décrivent l'APT associée. Le résumé analytique est suivi d'une description technique
d'informations sur le criminel en question, détaillée de l'APT, des règles Yara et des indicateurs IOC associés pour fournir aux
y compris pays d'origine, principale activité, experts en sécurité, aux analystes de programmes malveillants, aux ingénieurs en
familles de programmes malveillants sécurité, aux analystes de la sécurité des réseaux et aux experts en matière d'APT
utilisées, secteurs et régions visés, et des conseils exploitables afin d'assurer une protection supérieure.
descriptions de toutes les TTP avec leur
cartographie dans le cadre MITRE ATT&CK. Nos experts, qui comptent parmi les chasseurs de menaces APT les plus compétents
• MITRE ATT&CK Toutes les TTP décrites
dans les rapports sont cartographiées
et efficaces du secteur, vous alerteront de suite s'ils constatent une modification dans
dans le cadre MITRE ATT&CK, améliorant les stratégies des groupes de cybercriminels. De plus, vous aurez accès à tous les
ainsi la détection et la réponse grâce au rapports des bases de données d'APT de Kaspersky, un autre outil de recherche et
développement et à la hiérarchisation des d'analyse puissant venant compléter l'arsenal de sécurité de votre entreprise.
cas d'utilisation de surveillance sécurisée
correspondants, ainsi qu'aux analyses
d'écarts et aux tests des moyens de
défense actuels contre les TTP pertinentes.
• Une surveillance continue des campagnes
d'APT. Accès aux informations exploitables
au cours de l'enquête (information sur
la distribution des menaces APT, les
indicateurs IOC, l'infrastructure C&C).
• Analyse rétrospective. Accès garanti
à tous les rapports privés précédents
durant toute la période de votre
abonnement.
• API compatible REST pour une intégration
et une automatisation transparentes de
vos flux de travail de sécurité.

Remarque : restriction appliquée aux abonnés

En raison du caractère sensible et spécifique de certaines informations contenues dans
les rapports fournis par ce service, nous sommes tenus de limiter les abonnements aux
organisations gouvernementales, publiques et privées de confiance.

Kaspersky Digital Footprint Intelligence

À mesure que votre entreprise évolue, la complexité et la répartition de vos
environnements informatiques ne cessent de croître, engendrant un problème de taille :
la protection de votre présence numérique étendue sans contrôle direct ni propriété.
Les environnements dynamiques et interconnectés permettent aux entreprises de
bénéficier d'avantages majeurs comme l'optimisation des processus, l'augmentation
de la qualité des produits, l'amélioration de l'expérience client et le maintien de leur
productivité. Néanmoins, l'interconnectivité toujours croissante étend également la
surface des attaques. Les attaquants étant de plus en plus compétents, il est crucial
non seulement d'obtenir une image précise de la présence en ligne de votre entreprise,
mais également de suivre ses changements et de réagir aux dernières informations sur
les ressources numériques exposées.

6
 Les entreprises peuvent utiliser un vaste éventail d'outils de sécurité dans leurs opérations
de sécurité, mais restent exposées à des menaces numériques : la capacité à détecter et
à atténuer les activités des initiés, les plans et les schémas d'attaque des cybercriminels
situés sur les forums du Dark Web, etc. Pour aider les analystes de la sécurité à voir les
ressources d'entreprise auxquelles les criminels ont accès, à découvrir rapidement les
vecteurs d'attaque potentiels à leur disposition et à ajuster les moyens de défense en
conséquence, Kaspersky a créé Kaspersky Digital Footprint Intelligence.
Quel est le meilleur moyen d'organiser une attaque contre votre entreprise ? Quel est
le moyen le plus rentable d'attaquer votre entreprise ? À quelles informations
un attaquant qui cherche à cibler votre entreprise a-t-il accès ? Votre infrastructure
a-t-elle déjà été compromise ?
Les rapports sur les menaces spécifiques au client proposés par Kaspersky répondent
à toutes ces questions et à d'autres encore grâce au travail de nos experts. Ils offrent
un aperçu complet de votre situation actuelle en termes de sécurité, identifient les
failles susceptibles d'être exploitées et découvrent les preuves d'attaques passées,
actuelles et prévues.
Développés à l'aide des techniques OSINT combinées avec une analyse automatisée
et manuelle du Web surfacique, Deep Web et Dark Web, et s'appuyant sur la base de
connaissances Kaspersky interne, ces rapports sur mesure fournissent des informations
exploitables et des recommandations qui vous permettront de réduire le nombre de
vecteurs d'attaque potentiels, ainsi que votre risque numérique. Cela inclut :
• Inventaire du périmètre réseau au moyen de méthodes non intrusives pour identifier les
ressources réseau et les services exposés du client qui constituent un point d'entrée
potentiel pour une attaque, comme des interfaces de gestion involontairement placées
sur le périmètre ou des services mal configurés, des interfaces d'appareils, etc.
• Analyse sur mesure de leurs vulnérabilités existantes avec notation supplémentaire
et évaluation complète des risques à partir de la note de base CVSS, disponibilité
des vulnérabilités publiques, expérience de test de pénétration et localisation des
ressources réseau (hébergement/infrastructure).
• Identification, surveillance et analyse de toute attaque ciblée active ou de toute
attaque actuellement planifiée, des campagnes APT ciblant votre entreprise, le
secteur et la zone des opérations.
• Preuves de menaces et d'activités des botnets ciblant spécifiquement vos clients,
partenaires et abonnés, dont les systèmes infectés pourraient ensuite être utilisés
pour vous attaquer.
• Surveillance discrète de sites Pastebin, des forums publics, des réseaux sociaux, des
canaux de messagerie instantanée, des forums en ligne souterrains restreints et des
communautés pour mettre la main sur des comptes compromis, des fuites d'informations
ou des attaques planifiées et évoquées à l'encontre de votre entreprise.

Inventaire externe Web surfacique, deep Web Base de connaissances

du périmètre réseau et dark Web Kaspersky

• Services disponibles • Activité cybercriminelle • Analyse d'échantillons de programmes

• Prise d'empreinte des services
• Identification des vulnérabilités
• Analyse des failles d'exploitation
• Notation et analyse des risques
• Fuites de données et d'informations
d'identification
• Activités internes
• Salariés et réseaux sociaux
• Fuites de métadonnées
malveillants
• Suivi des activités de botnet et de phishing
• Serveurs dédiés aux programmes malveillants
et Sinkhole
• Rapports de surveillance des menaces
persistances avancées (APT)
• Flux d'informations sur les menaces

Inventaire du périmètre
et vulnérabilités

Vos Analyse personnalisée des

données vulnérabilités et des failles
non structurées d'exploitation
Inventaire Web surfacique, Base de
• Adresses IP externe du Campagnes sur mesure par
deep Web et connaissances région, secteur ou client
• Domaines de sociétés périmètre dark Web Kaspersky
• Noms de marques réseau
• Mots clés Fuites de données

Menaces provenant du Dark Web

Graphique 1. Kaspersky Digital Footprint Intelligence

DÉMARRAGE RAPIDE - Facile à utiliser -

AUCUNE RESSOURCE NÉCESSAIRE
Kaspersky Digital Footprint Intelligence n'affecte pas l'intégrité ni la disponibilité de
vos ressources réseau et de vos services. Les rapports sont disponibles sur le Threat
Intelligence Portal de Kaspersky, point d'accès unique pour l'ensemble des données de
Threat Intelligence réunies depuis plus de 20 ans, avec notifications immédiates en cas
de nouvelles informations. L'API fournie permet d'intégrer Kaspersky Digital Footprint
Intelligence aux systèmes tiers de gestion des tâches, réduisant ainsi considérablement
le temps nécessaire à la gestion des tâches.

7

Objets à analyser
URL
Domaines
Recherche
Adresses IP
Hashes
Noms des menaces
Fichiers
Est-ce malveillant ?
Quelle faille est-il en train d'exploiter ?
Quels sont ses liens ?
Sommes-nous vulnérables ?
Les points forts du service
• Informations de confiance :
un des principaux atouts de
Kaspersky Threat Lookup est la fiabilité
de notre Threat Intelligence, enrichies
d'un contexte exploitable, ce qui peut
donner lieu à des actions. Les produits de
Kaspersky arrivent en tête dans les tests
anti-malware1 et démontrent la qualité
inégalée de nos renseignements sur la
sécurité en offrant les taux de détection
les plus élevés, avec un nombre de faux
positifs quasi nul.
• Threat Hunting : faites preuve de
proactivité dans la prévention, la détection
et la réaction face aux attaques afin de
minimiser leur impact et leur fréquence.
Suivez et éliminez avec fermeté les
attaques le plus tôt possible. Plus tôt
vous détectez une menace, moins il y
a de dommages et plus rapides sont les
réparations ainsi que le retour à la normale
des opérations de réseau.
• Analyse des sandboxes : détectez les
menaces inconnues en exécutant des
objets suspects dans un environnement
sécurisé et examinez l'étendue complète
du comportement de la menace et des
artefacts grâce à des rapports faciles à lire.
• Large éventail de formats d'exportation :
exportez les indicateurs de compromission
(IOC) ou le contexte actionnable dans des
formats de partage largement utilisés
et mieux organisés, interprétables par
une machine, tels que STIX, OpenIOC,
JSON, Yara, Snort ou même CSV, afin de
profiter pleinement des avantages de
la Threat Intelligence, d'automatiser les
processus d'opérations, ou de les intégrer
dans des contrôles de sécurité tels
que SIEM.
• Interface Web conviviale ou API
compatible REST : vous pouvez choisir
d'utiliser le service en mode manuel par
l'intermédiaire d'une interface Web (avec un
navigateur Web) ou d'y accéder via une
simple API compatible REST.
1 http://www.kaspersky.com/top3
Recherche des menaces
Kaspersky Automated
Threat Lookup Correlation Source
Équipe Global Research
Veille and Analysis (GReAT)
contextuelle Veille Kaspersky Security
Network
Partenaires de sécurité
Spam traps
Réseaux de capteurs
Service web Robots d'indexation
Contrôle des botnets
Réponse Cloud Sandbox
aux incidents
Aujourd'hui, la cybercriminalité ne connaît pas de frontières et les capacités techniques
sur lesquelles elle s'appuie évoluent rapidement : nous assistons à des attaques qui
sont de plus en plus sophistiquées, les cybercriminels ayant recours à des ressources
du Dark Web pour menacer leurs cibles. La fréquence, la complexité et l'obfuscation
des cybermenaces ne cessent de croître. Et les cybercriminels utilisent de nouveaux
moyens pour affaiblir vos défenses. Chaînes de frappe complexes et TTP (Tactiques,
Techniques et Procédures) personnalisées font désormais partie de leurs méthodes
pour paralyser votre activité, dérober vos ressources et attaquer vos clients.
Kaspersky Threat Lookup repose sur toutes les connaissances acquises par
Kaspersky sur les cybermenaces et leurs liens, regroupées dans un service Web unique
et efficace. Le but est de fournir à vos équipes de sécurité autant d'informations que
possible, afin de contrer les cyberattaques avant qu'elles n'aient un impact sur votre
entreprise. La plateforme récupère les dernières informations détaillées de Threat
Intelligence sur les URL, les domaines, les adresses IP, les hachages de fichiers, les noms
des menaces, les données statistiques/comportementales, les données WHOIS/DNS,
les attributs de fichiers, les données de géolocalisation, les chaînes téléchargées, les
horodatages, etc. Vous obtenez ainsi une visibilité globale sur les menaces nouvelles et
émergentes pour sécuriser votre entreprise et améliorer la réponse aux incidents.
Les informations sur les menaces de Kaspersky Threat Lookup sont générées et
surveillées en temps réel par une infrastructure hautement tolérante aux pannes,
assurant une disponibilité permanente et des performances constantes. des centaines
d'experts, y compris des analystes en sécurité du monde entier, des experts en sécurité
appartenant à notre équipe GReAT et réputés mondialement, ainsi que nos équipes de
R&D à la pointe de la technologie, tous contribuent à générer des informations utiles et
concrètes de Threat Intelligence.
Principaux avantages
• Améliorez et accélérez votre processus de réponse aux incidents et vos
capacités de diagnostic en fournissant aux équipes de sécurité/SOC des
informations utiles sur les menaces et un aperçu global de la logique qui sous-tend
les attaques ciblées. Diagnostiquez et analysez plus efficacement les incidents de
sécurité qui frappent les hébergeurs et le réseau, et hiérarchisez les signaux émis
par les systèmes internes face à des menaces inconnues afin de réduire le délai
d’intervention et de perturber la chaîne de frappe avant que des données et des
systèmes critiques ne soient compromis.
• Examinez de manière approfondie les indicateurs de menace (adresses IP,
URL, domaines, hachages de fichiers) dotés d'un contexte hautement validé afin de
hiérarchiser les attaques, de prendre de meilleures décisions concernant la dotation
en personnel et l'affectation des ressources, et de mettre l'accent sur l'atténuation
des menaces les plus dangereuses pour votre entreprise.
• Limitez les attaques ciblées. Optimisez vos infrastructures de sécurité grâce à une
Threat Intelligence tactique et stratégique contre les menaces et à des stratégies de
défense et de lutte adaptées.
8
Maintenant, c'est possible
• Rechercher des indicateurs de menace via une interface Web ou une API
compatible REST.
• Comprendre dans quelle mesure un objet particulier doit être considéré comme
malveillant.
• Vérifier si l'objet en question est répandu ou unique.
• Examiner les informations détaillées (certificats, noms couramment utilisés, chemins
d’accès aux fichiers, URL associées) pour identifier de nouveaux objets suspects.

Et la liste est encore longue. Il existe de nombreuses façons d’exploiter cette abondante
base de données utiles et granulaires.

Apprenez à distinguer vos amis de vos ennemis. En identifiant les fichiers, URL et
adresses IP non malveillants, vous pouvez accélérer le processus d’investigation.
Chaque seconde compte. Ne perdez pas votre temps à analyser des objets fiables.

Notre mission est de sauver le monde de tous les types de cybermenaces. Pour atteindre
cet objectif et faire d'Internet un environnement sûr et sécurisé, il est essentiel de partager
les informations sur les menaces et d’y accéder en temps réel. L'accès rapide à l'information
est un élément essentiel de la protection efficace de vos données et réseaux. Aujourd’hui,
Kaspersky Threat Lookup facilite et optimise plus que jamais cet accès.

9
Fonctionnalités principales :
• Chargement et exécution des DLL
• Création d'extensions mutuelles (mutex)
• Modification et création des clés du registre
• Connectivités externes avec noms
de domaine et adresses IP
• Requêtes et réponses HTTP et DNS
• Processus créés par le fichier exécuté
• Création, modification et suppression
de fichiers
• Décharges de mémoire de processus
et de trafic réseau (PCAP)
• Captures d'écran
• Informations détaillées de Threat
Intelligence avec contexte exploitable
pour chaque indicateur de compromission
révélé (IoC)
• API compatible REST
• etc.
Principaux avantages :
• Détection avancée des menaces APT,
ciblées et complexes
• Workflow permettant de mener des
enquêtes sur des incidents hautement
efficaces et complexes
• Évolutivité sans qu'il soit nécessaire
d'acheter des appliances coûteuses
ou de se soucier des ressources système
• Intégration transparente et automatisation
de vos opérations de sécurité
Interface Web
API compatible
REST
Cloud Sandbox
Il est impossible d'éviter les attaques ciblées d'aujourd'hui uniquement avec les outils
antivirus traditionnels. Les moteurs antivirus sont uniquement capables d'arrêter les
menaces connues et leurs variations, tandis que d'ingénieux cybercriminels utilisent
tous les moyens à leur disposition pour se soustraire à la détection automatique.
Les pertes provenant d'incidents relatifs à la sécurité des informations continuent
de croître de manière exponentielle, soulignant l'importance croissante des capacités
de détection immédiate pour assurer une réponse rapide et contrer la menace avant
que des dommages importants ne soient causés.
Prendre une décision intelligente basée sur le comportement d’un fichier tout en
analysant simultanément la mémoire du processus, l'activité réseau etc. est l'approche
optimale pour comprendre les menaces sophistiquées, ciblées et personnalisées
actuelles. Alors que les données statistiques peuvent manquer d'informations sur les
programmes malveillants récemment modifiés, les technologies de sandboxing sont
des outils puissants qui permettent d'enquêter sur l'origine d’un échantillon de fichier,
de collecter des indicateurs de compromission basés sur l'analyse comportementale et
de détecter des objets malveillants qui n'avaient jamais été vus auparavant.
Une atténuation proactive des menaces
qui contournent vos barrières de sécurité
Les programmes malveillants actuels ont recours à toute une série de méthodes
pour éviter d'exécuter leur code si cela peut conduire à l'exposition de leur activité
frauduleuse. Si le système ne respecte pas les paramètres requis, le programme
malveillant s’autodétruira certainement, ne laissant aucune trace. Pour que le code
malveillant s'exécute, l'environnement de sandboxing doit donc être capable d'imiter
avec précision le comportement normal de l'utilisateur final.
La Kaspersky Cloud Sandbox offre une approche hybride combinant la Threat
Intelligence glanée à partir de pétaoctets de données statistiques (grâce à Kaspersky
Security Network et à d'autres systèmes propriétaires), l'analyse comportementale et
l'anti-évasion, avec des technologies de simulation humaine telles que le sélecteur
automatique, le défilement des documents et des processus factices. Il en résulte
un instrument de choix pour la détection de menaces inconnues.
CLOUD SANDBOX
Analyse Paramètres Détection avancée des menaces
avancée de par défaut et APT, ciblées et complexes
fichiers dans avancés pour des
divers formats performances
optimisées
Un workflow permettant de
mener des enquêtes sur les
incidents hautement efficaces
et complexes
Évolutivité sans avoir à acheter
Techniques des appareils coûteux
avancées
Visualisation
d'anti-évasion
et rapports
et de simulation
intuitifs
humaine
Intégration transparente
et automatisation de vos
opérations de sécurité
Ce service est un dérivé direct de notre ensemble de sandboxes interne, une technologie
qui évolue depuis plus de dix ans. Cette technologie intègre toutes les connaissances sur
les comportements malveillants acquises par Kaspersky au cours de 20 ans de recherche
continue sur les menaces, ce qui nous permet de détecter plus de 350 000 nouveaux objets
malveillants chaque jour et d'offrir à nos clients des solutions de sécurité performantes.
Dans le cadre de notre Threat intelligence Portal, la Kaspersky Cloud Sandbox est le
dernier composant qui complète votre flux de travail pour la Threat intelligence. Tandis
que le portail récupère les dernières informations détaillées de Threat Intelligence sur
les URL, les domaines, les adresses IP, les hachages de fichiers, les noms des menaces,
les données statistiques/comportementales, les données WHOIS/DNS, etc., la Cloud
Sandbox permet de relier ces connaissances aux indicateurs de compromission
générés par l'échantillon analysé.
10

Contenu des rapports
• Introduction
oo Évaluation {urgence de la menace}/
{gravité de la vulnérabilité}
oo Description menace/vulnérabilité
oo Chronologie
oo Répartition entre les régions, les pays
et les secteurs
oo Recommandations relatives
à l'atténuation des risques
• Description détaillée des résultats
de l'analyse
• Rapports sur les menaces :
oo Méthodes d'attaque
oo Vulnérabilités utilisées (le cas échéant)
oo Description(s) des programmes
malveillants
oo Descriptions de l'infrastructure C&C
et du protocole
oo Analyse des victimes
oo Analyse de l'exfiltration de données
oo Attribution
• Rapports sur les vulnérabilités :
oo Disponibilité publique des vulnérabilités
oo Signes de l'exploitation dans les attaques
réelles
oo Méthodologie utilisée pour identifier
la vulnérabilité
oo Analyse technique des problèmes
de sécurité ayant permis d'exploiter
la vulnérabilité
oo Vecteurs d'attaque possibles
(potentiellement avec d'autres
vulnérabilités et failles de sécurité)
oo Évaluation des produits/versions de
produits affectés
oo Estime la répartition des produits
vulnérables dans les régions/pays/
secteurs
• Conclusions
• Annexe
Analyse technique, IoC importants et
tous renseignements supplémentaires
pertinents
Vous pouvez désormais mener des enquêtes très efficaces et complexes sur les
incidents pour acquérir une compréhension immédiate de la nature de la menace,
puis tirer des conclusions à mesure que vos recherches révèlent les indicateurs de
menace interconnectés.
L'inspection peut être très gourmande en ressources, surtout lorsqu'il s'agit d'attaques
à plusieurs niveaux. La Kaspersky Cloud Sandbox est un outil idéal pour stimuler la
réponse aux incidents et les activités de cyberdiagnostic, en vous offrant l'évolutivité
nécessaire pour traiter automatiquement les fichiers sans avoir à acheter des
appliances coûteuses ou à vous soucier des ressources système.
Industrial Control Systems (ICS)
Threat Intelligence Reporting
Le service Kaspersky ICS Threat Intelligence Reporting fournit au client des
données d'analyse et lui permet de prendre conscience des campagnes malveillantes
ciblant les entreprises industrielles. Il fournit également des informations sur les
vulnérabilités détectées dans les systèmes de contrôle industriel les plus courants
et les technologies sous-jacentes. Les rapports sont transmis via un portail Web,
ce qui signifie que vous pouvez commencer à exploiter le service immédiatement.
Types de rapport accessibles via l'abonnement
1. Rapports sur les APT. Rapports sur les nouvelles APT et les campagnes d'attaque de
grande ampleur ciblant des entreprises industrielles, mises à jour sur les menaces actives.
2. Environnement à risques. Rapports sur les modifications majeures de l'environnement
à risques pour les systèmes de contrôle industriel, derniers facteurs détectés affectant
les niveaux de sécurité des ICS et leur exposition aux menaces, y compris des informations
propres à la région, au pays et au secteur.
3. Vulnérabilités détectées. Rapports sur les vulnérabilités identifiées par Kaspersky
dans les plupart des produits les plus utilisés dans les systèmes de contrôle industriel,
L'Internet industriel des objets et les infrastructures dans différents secteurs.
4. Analyse et atténuation des vulnérabilités. Nos rapports fournissent des
recommandations pertinentes et exploitables émanant d'experts Kaspersky
visant à identifier et à atténuer les vulnérabilités dans votre infrastructure.
Que faire avec les données de
Threat Intelligence
Détecter et éviter les attaques signalées pour protéger les ressources critiques,
y compris les composants logiciels et matériels, et garantir la sécurité et la continuité
du processus technologique.
Mettre en corrélation l'activité malveillante et suspecte que vous détectez dans les
environnements industriels avec les résultats de l'étude Kaspersky pour attribuer votre
détection aux campagnes malveillantes signalées, identifier les menaces et répondre
rapidement aux incidents.
Évaluer les vulnérabilités de vos environnements industriels et de vos ressources sur
la base d'évaluations précises de la portée et de la gravité des vulnérabilités et prendre
des décisions éclairées sur la gestion des correctifs ou sur la mise en œuvre d'autres
mesures préventives que nous recommandons.
Exploiter les informations sur les technologies, les tactiques et les procédures
d'attaque, sur les dernières vulnérabilités découvertes et sur d'autres modifications
majeures de l'environnement à risques que nous signalons pour :
• Identifier et évaluer les risques inhérents aux menaces signalées et aux autres
menaces similaires ;
• Planifier et concevoir des modifications à apporter à l'infrastructure industrielle pour
garantir la sécurité de la production et la continuité du processus technologique ;
• Exécuter des activités de sensibilisation à la sécurité sur la base de l'analyse de
cas réels pour développer des scénarios de formation personnelle et planifier
des exercices équipe rouge contre équipe bleue ;
• Prendre des décisions stratégiques éclairées pour investir dans la cybersécurité
et garantir la résilience des opérations.
11
Avantages du service
Exclusif
• Des connaissances aux informations non publiques : en tant que professionnel
de la cybersécurité, vous obtenez des informations potentiellement essentielles pour
planifier et exécuter des activités de cybersécurité, mais non disponibles au public en
raison des politiques de divulgation responsable.
• Accès anticipé aux informations techniques sur les menaces simultanément
aux recherches et aux investigations, et avant la publication des informations.
• Accès exclusif aux informations susceptibles de ne jamais faire partie du domaine
public en raison du risque de criminels qui en abusent (hors logiciels envoyés
exclusivement aux fournisseurs pour montrer les vulnérabilités).

Actions
• Réponse anticipée aux menaces émergentes : les informations et les outils fournis
vous permettent de répondre rapidement aux nouvelles menaces et vulnérabilités
afin d'atténuer les risques inhérents aux attaques sophistiquées et à celles utilisant
des vecteurs connus.
• Informations techniques pour les opérations de cybersécurité des ICS : l'abonnement
inclut l'accès à des artéfacts techniques, comme des indicateurs de compromission
(IoC) pouvant être intégrés aux outils automatisés d'un client et utilisés pour optimiser
l'évaluation des vulnérabilités, la détection des incidents, la réponse et les activités
d'investigation.

Terminer
• Analyse rétrospective : accès à l'ensemble des rapports privés publiés pendant
la période d'abonnement.
• Surveillance continue des campagnes malveillantes : accès aux données
exploitables pendant une investigation et mises à jour sur les dernières découvertes,
y compris les modifications TTP et les IoC des derniers ensembles d'outils détectés.

Facile à utiliser
• Automatisation : les informations des rapports peuvent être automatiquement
analysées et intégrées aux processus de cybersécurité automatisés.
• Compatibilité avec de nombreux standards industriels : les IoC sont fournis
dans des formats industriels comme OpenIOC, STIX, YARA et les règles SNORT.

Essayez notre service

Vous pouvez demander un accès de démonstration à Kaspersky ICS Threat
Intelligence Reporting à l'adresse https://tip.kaspersky.com. La version de
démonstration contient près de 10 exemples de rapports incluant des données
sur des attaques visant des entreprises industrielles, les résultats d'étude des
vulnérabilités dans les solutions industrielles, ainsi que des informations sur
l'environnement à risques des systèmes d'automatisation industriels.

Pour en savoir plus, envoyez un message à l'adresse ics-cert-query@kaspersky.com

ou à commercial@kaspersky.fr
 2020 AO KASPERSKY LAB. LES MARQUES DÉPOSÉES ET LES MARQUES DE SERVICE SONT LA PROPRIÉTÉ DE LEURS DÉTENTEURS RESPECTIFS.

Actualités sur les cybermenaces : www.securelist.com

Actualités dédiées à la sécurité informatique : business.kaspersky.com/

www.kaspersky.fr