Vous êtes sur la page 1sur 4

Kaspersky®

Threat Intelligence

Portail Threat Intelligence de Kaspersky


Pendant longtemps, il semblait légitime d'avancer qu'une stratégie passive (protéger le périmètre réseau
et les postes de travail) était suffisante. Mais avec l'émergence des attaques avancées et ciblées sur les
entreprises, il apparaît clairement que la protection exige désormais de nouvelles méthodes, basées sur la
Threat Intelligence.
La génération de ces renseignements exige une implication constante et des niveaux élevés d'expertise.
Grâce aux pétaoctets de précieuses données sur les menaces et à une équipe d'experts internationaux
unique, Kaspersky contribue à aider les entreprises à préserver leur immunité face aux cyberattaques.

La génération de ces Accès immédiat à la meilleure


renseignements exige une ressource de Threat Intelligence
implication constante
et des niveaux élevés Les abonnés au Threat Intelligence Portal de Kaspersky bénéficient d'un
point d'accès unique aux services suivants : Kaspersky Threat Data Feeds,
d'expertise. Grâce aux CyberTrace, APT Intelligence Reporting, Financial Threat Intelligence Reporting,
pétaoctets de précieuses Kaspersky Threat Lookup et Kaspersky Cloud Sandbox, tous disponibles dans des
formats compréhensibles par l'homme et la machine. En tant qu'abonné, vous disposez
données sur les menaces d'un accès instantané aux données de Threat Intelligence actuelles et antérieures. Vous
et à une équipe d'experts êtes ainsi armé pour combattre les cyberattaques à mesure qu'elles surgissent.
internationaux unique, nous
contribuons à aider les
entreprises du monde entier
à préserver leur immunité
face à des cyberattaques
parfois inédites.
Un flux de travail complet pour la
Threat Intelligence
Le Threat Intelligence Portal de Kaspersky permet aux équipes du centre de sécurité
(SOC) et de réponse aux incidents de construire un flux de travail complet pour la
Threat Intelligence, en fournissant les instruments et les outils nécessaires pour
La protection multi-niveaux de nouvelle automatiser et élargir les capacités d'analyse nécessaires à la détection des menaces :
génération offerte par Kaspersky exploite • Les données de Threat Intelligence compréhensibles par une machine de Kaspersky
de manière intensive les méthodes de permettent une intégration aux contrôles de sécurité existants, y compris les
machine learning à toutes les étapes du principaux systèmes SIEM, pare-feu, IDS et autres, réduisant ainsi le temps de
processus de détection : mise en cluster détection.
évolutive pour le pré-traitement des flux de • Chaque menace détectée peut ensuite être examinée avec Kaspersky Threat Lookup
fichiers entrants au sein de l'infrastructure, et Cloud Sandbox. Les données d'historique permettent de relier les informations de
modèles de réseaux neuronaux multiples fichiers, adresses IP, URL, domaines, hashes et noms de menaces, révélant
approfondis, robustes et compacts
pour la détection comportementale,
ainsi des données de surveillance détaillées, comme les données whois, pDNS et
fonctionnant tous directement sur les GeoIP, les attributs de fichiers, les données statistiques et comportementales, les
machines des utilisateurs. Kaspersky chaînes de téléchargement, les horodatages et bien plus encore.
Threat Intelligence Portal transforme les • Nos fonctionnalités de génération de rapports peuvent ensuite être utilisées
Big Data recueillies et traitées par Kaspersky pour enrichir les données techniques existantes, d'une part avec les descriptions
en renseignements exploitables pour votre des TTP des cybercriminels impliqués, et d'autre part avec les informations sur
entreprise. les vulnérabilités spécifiques aux clients susceptibles d'être exploitées pour
compromettre le réseau.

Veille tactique
Indicateurs de menace comprenant les Threat Data Feeds Threat Lookup & Rapport de Threat
CyberTrace Cloud Sandbox Intelligence
adresses IP, domaines et hashes révélant
aux entreprises les priorités à traiter Couverture étendue Enquête Renseignements exclusifs
lorsqu'elles font face à des incidents.
Fournis dans des formats compréhensibles
par une machine, ces indicateurs offrent une Contexte riche Liens et analyse TTP
détection automatisée des menaces par vos
contrôles de sécurité. Mise en correspondance rapide Plug-in de navigateur IOC et règles Yara

Veille opérationnelle
Veille spécialisée axée sur la technique Connaissance de la situation Suivi WHOIS Mappage ATT&CK
visant à guider et à accompagner la réponse
à incidents en apportant des précisions
sur la nature de l'attaque pour permettre Accès Web ou API compatible REST
une atténuation plus rapide des menaces,
par exemple en supprimant les vecteurs Carte interactive des menaces les plus répandues dans le monde
d'attaque ou en sécurisant les services.
Veille tactique Veille opérationnelle Veille stratégique
Veille stratégique
Aperçu complet des intentions et capacités Kaspersky offre également des Kaspersky Threat Lookup offre un Kaspersky a identifié les attaques
flux de données sur les menaces accès interactif à cinq pétaoctets de APT les plus importantes. Mais de
des cybercriminels, y compris des outils et mis à jour en permanence qui données de veille sur les cybermenaces, nombreuses enquêtes ne sont
TTP (tactiques, techniques et procédures) peuvent être intégrés à recueillies et classées par Kaspersky jamais révélées publiquement. Les
utilisées. Identification des tendances, Kaspersky CyberTrace pour une depuis plus de 20 ans. En exploitant les rapports de Threat Intelligence sur
des modes opératoires et des menaces et visibilité globale des menaces, renseignements détaillés fournis par les des menaces persistances
une détection rapide des indicateurs de menace et leurs avancées et des menaces
risques émergents pour documenter vos cybermenaces, une relations, votre équipe SOC dispose de financières vous procurent un
politiques de sécurité et stratégies globales hiérarchisation des alertes de toutes les ressources nécessaires pour accès continu et exclusif à nos
de sécurité des informations. sécurité et une réponse efficace examiner, dans le temps et dans enquêtes et découvertes, y
aux incidents liés à la sécurité des l'espace, les activités et les compris les données techniques
informations : utilisés ensembles, comportements malveillants de vos complètes sous plusieurs formats,
ces outils vous procurent une adversaires sur Internet. relatives à chaque attaque révélée
ligne de défense proactive. ou dissimulée.

Voyons comment tout cela fonctionne dans la pratique.


Imaginez une société spécialisée dans l'e-commerce1, dont l'équipe SOC s'inquiète de plus
en plus de la présence d'anomalies ponctuelles repérées entre des postes de travail de
l'entreprise sur le trafic réseau. En réalité, le réseau de l'entreprise a été compromis dès les
prémices d'une menace persistante avancée. Toutefois, l'équipe SOC manque de visibilité
et est donc incapable de réagir de façon appropriée à l'attaque future avant l'aggravation
du problème. Les clients commencent à se plaindre de vols sur leurs cartes de crédit et
sur leurs comptes bancaires en ligne. De toute évidence, cette entreprise est confrontée
à une grave violation de la sécurité des informations et cette dernière a déjà commencé
à entacher la réputation de la société et à causer des pertes de revenus. Comment la
solution Threat Intelligence Portal de Kaspersky pourrait-elle aider l'équipe SOC à identifier
1 Kaspersky Threat Intelligence peut s'appliquer les causes de cette violation et à éviter d'autres conséquences coûteuses ?
à une vaste gamme de secteurs. Le scénario
présenté n'est qu'un exemple et ne signifie
pas que l'application se limite au secteur du
e-commerce.
Supposons que les agresseurs ont employé une technique classique d'ingénierie
sociale, consistant à envoyer aux salariés de l'entreprise des emails de phishing ciblé
contenant des fichiers corrompus en pièces jointes. L'un de ces salariés, dupé par
le message personnalisé, a ouvert une pièce jointe. Les cybercriminels ont ainsi pu
propager des programmes malveillants sur différents hôtes à travers tout le réseau de
l'entreprise, infectant chaque serveur Web sur lequel l'application e-commerce était
installée. L'application e-commerce ainsi compromise a ensuite commencé à transférer
les données des titulaires de cartes sur des serveurs C2 (Command and Control) de
dépôt à chaque paiement effectué par un client.

Dépôt des Campagne


données privées de phishing ciblé

Propagation du logiciel
Exfiltration malveillant à travers
des données privées le réseau de l'entreprise

Grâce au portail, l'équipe SOC peut identifier et éliminer complètement la menace, et


ce suffisamment tôt pour éviter des dégâts catastrophiques.
Comment peut-elle faire cela ? Voici quelques exemples des mesures qu'elle pourrait
prendre :

• À l'aide de leur SIEM et du flux Kaspersky C&C URL, l'équipe SOC est en mesure de


détecter et d'identifier le trafic sortant périodique menant à des hôtes pointant vers
des serveurs C2.
• Kaspersky Threat Lookup peut quant à lui montrer que les URL détectées sont liées à
des menaces persistantes avancées.
• En utilisant la fonctionnalité de suivi et de recherche WHOIS, tous les domaines
enregistrés par le cybercriminel à l'origine de cette APT, y compris ceux qui viennent
de s'enregistrer, peuvent être détectés et ajoutés à la liste noire de l'entreprise.
• Les rapports de surveillance des menaces persistantes avancées, ainsi que les
indicateurs de compromission (IOC) et les règles Yara, permettent à l'équipe SOC et
au RSSI de comprendre les TTP utilisées par le cybercriminel impliqué.
• À l'aide des IOC et des règles Yara, l'équipe SOC peut identifier l'ensemble des hôtes
infectés et prendre les mesures nécessaires pour les assainir.
• Enfin, l'équipe SOC envoie un avertissement à tous les salariés de l'entreprise pour
expliquer comment reconnaître et signaler les emails de phishing. La sensibilisation
à la sécurité informatique est évaluée dans toute l'entreprise et tous les salariés
bénéficient alors d'une formation.

Kaspersky se donne pour mission de vous procurer une quantité croissante de


renseignements sur les menaces les plus répandues en étoffant notre offre de services
de Threat Intelligence. Appuyé par cet engagement, le Threat Intelligence Portal de
Kaspersky permet à vos équipes du centre de sécurité et de réponse à incidents de
détecter les menaces de manière anticipée, de mener des recherches rapides et
efficaces, et d'élaborer des stratégies de sécurité complètes pour atténuer les risques
de cyberattaques pesant sur votre entreprise.
Actualités sur les cybermenaces :
www.securelist.com
Actualités dédiées à la sécurité informatique :
business.kaspersky.com
Sécurité informatique pour les PME :
kaspersky.fr/small-to-medium-business-security Reconnu. Indépendant. Transparent. Nous nous engageons à
Sécurité informatique pour les entreprises : construire un monde plus sûr où la technologie améliore no-
kaspersky.fr/enterprise-security tre vie. C'est pourquoi nous la sécurisons, afin que le monde
entier dispose des possibilités infinies qu'elle nous offre.
Adoptez la cybersécurité pour un avenir plus sûr.
www.kaspersky.fr
Pour en savoir plus, rendez-vous sur
2020 AO Kaspersky Lab. Tous droits réservés. kaspersky.fr/transparency
Les marques déposées et les marques de service sont la
propriété de leurs détenteurs respectifs.

Vous aimerez peut-être aussi