Comment poser une question à un analyste

Le service « Demander à l’analyste » de Kaspersky va faciliter l’accès à notre savoir-faire.

Les personnes qui travaillent dans les SOC (Centres d’opérations de sécurité) ou dans les services de sécurité informatique demandent souvent de l’aide aux spécialistes de Kaspersky pour avoir l’avis d’un expert. Nous avons analysé les raisons les plus courantes qui justifient ce genre de demandes et nous avons créé un service spécialisé qui aide les clients à poser directement leurs questions à un expert dans ce domaine.

Pourquoi pourriez-vous avoir besoin de l’aide d’un expert

La menace des cyberattaques ne cesse de croître à mesure que les cybercriminels trouvent de nouvelles façons d’atteindre leurs objectifs, et découvrent de nouvelles vulnérabilités dans le hardware et dans le logiciel des applications, des serveurs, des passerelles VPN ou des systèmes d’exploitation qu’ils exploitent immédiatement. Des centaines de milliers de nouveaux échantillons de malwares apparaissent au quotidien et grand nombre d’organisations, y compris des grandes entreprises et des organismes gouvernementaux, sont victimes d’attaques de ransomwares. De plus, de nouvelles menaces sophistiquées et de nouvelles campagnes d’APT sont régulièrement détectées.

Les renseignements sur les menaces (TI) jouent un rôle clé dans ce contexte. Ce n’est qu’en ayant des informations précises sur les outils et les méthodes utilisés par les cybercriminels que nous pouvons construire un système de protection adéquat et, en cas d’incident, réaliser une enquête efficace, détecter les intrus dans le réseau, les expulser et trouver le vecteur d’attaque initial pour éviter qu’une attaque de ce genre ne se reproduise.

La mise en place d’une plateforme TI au sein d’une organisation exige la présence d’un spécialiste qualifié en interne capable de mettre en pratique les données du fournisseur du service TI. Cet expert devient alors l’atout le plus précieux lorsqu’il faut enquêter sur une menace. Cela étant dit, l’embauche, la formation et le maintien d’analystes en cybersécurité ont un coût élevé et certaines entreprises ne peuvent pas se permettre d’avoir une équipe d’experts.

Foire aux questions

Plusieurs services de Kaspersky aident les clients à gérer les incidents informatiques. En quelques mots, il y a l’équipe d’analyse et de recherche mondiale (GReAT), l’équipe Global Emergency Response (GERT) et l’équipe Kaspersky Threat Research. Nous avons ainsi regroupé plus de 250 analystes et experts internationaux. Les équipes reçoivent régulièrement beaucoup de demandes de la part des clients au sujet de menaces informatiques. Après avoir analysé les dernières requêtes, nous avons pu identifier les catégories suivantes.

Analyse d’un malware ou d’un programme suspect

Une situation que nous rencontrons fréquemment implique le déclenchement d’une logique de détection dans la sécurité des points d’accès ou de règles de chasse des menaces. Le service de sécurité de l’entreprise ou le SOC enquête sur l’alerte et trouve un objet malveillant ou suspect mais manque de ressources pour faire une étude détaillée. L’entreprise demande alors à nos experts de déterminer la fonctionnalité de l’objet détecté, d’indiquer à quel point il est dangereux et d’expliquer comment s’assurer que l’incident est clos après que l’objet ait été supprimé.

Si nos experts peuvent rapidement identifier l’objet envoyé par le client (grâce à notre gigantesque base de connaissances sur les outils généralement utilisés par les cybercriminels et plus d’un milliard d’échantillons uniques de malwares), ils répondent immédiatement. Dans le cas contraire, nos experts doivent faire des recherches et cela peut prendre un certain temps s’il s’agit d’un cas complexe.

Plus de renseignements sur les indicateurs de compromission

La plupart des entreprises utilisent plusieurs sources pour les indicateurs de compromission (IoC). La valeur de l’IoC dépend principalement de la possibilité d’avoir un contexte. En d’autres termes, il s’agit des informations supplémentaires sur l’indicateur et sur sa portée. Ce contexte n’est pas toujours disponible. Ainsi, après avoir détecté un certain indicateur de compromission dans, par exemple, le système SIEM, les analystes des SOC pourraient remarquer qu’il y a un détonateur et qu’un incident pourrait se produire mais ne pourraient pas faire plus de recherches par manque d’informations.

Dans cette situation, ils peuvent nous envoyer une demande pour obtenir plus de renseignements sur l’IoC détecté et, dans la plupart des cas, l’indicateur de compromission s’avère être intéressant. Par exemple, une fois nous avons reçu une adresse IP trouvée dans le flux de trafic de l’entreprise (c’est-à-dire obtenue dans le réseau de l’entreprise). Parmi les choses hébergées par cette adresse, se trouvait un logiciel de gestion du serveur connu comme Cobalt Strike, un outil d’administration à distance puissant (autrement dit une porte dérobée) que de nombreux cybercriminels utilisent. Nos experts ont fourni plus de renseignements sur l’outil et ont conseillé à l’entreprise de lancer immédiatement une procédure de réponse à un incident pour neutraliser la menace et pour déterminer la cause principale de ce danger.

Demande d’informations sur les tactiques, les techniques et les procédures

L’indicateur de compromission n’est en aucun cas la seule chose dont l’entreprise a besoin pour arrêter une attaque ou pour enquêter sur un incident. Une fois que le groupe de cybercriminels à l’origine de l’attaque est connu, les analystes des SOC demandent généralement des informations sur les tactiques, les techniques et les procédures (TTP). Ils ont besoin d’une description détaillée du mode opératoire du groupe pour les aider à déterminer où et comment les criminels ont pu pénétrer dans le réseau et comment ils ont pu extraire les données. Nous fournissons ces renseignements dans le cadre de notre service Threat Intelligence Reporting.

Les méthodes des cybercriminels, y compris au sein du même groupe, peuvent être diverses et il s’avère impossible de décrire tous les détails, y compris lorsqu’il s’agit d’un rapport extrêmement pointilleux. Ainsi, les clients de plateforme TI qui utilisent nos rapports sur les menaces APT et les logiciels criminels (crimeware) nous demandent parfois plus de renseignements à propos d’un point spécifique d’une technique d’attaque dans un contexte précis et pertinent pour le client.

Nous avons fourni toute sorte de réponses, et bien d’autres choses, via ces services spéciaux ou dans le cadre limité de notre assistance technique. Pourtant, après avoir constaté une augmentation du nombre de demandes et après avoir compris la valeur du savoir-faire et des connaissances de nos unités de recherche, nous avons décidé de lancer un service exclusif : Kaspersky « Demander à l’analyste ». Ainsi, les clients peuvent obtenir rapidement les conseils de nos experts grâce à un seul point de contact.

Service « Demander à l’analyste » de Kaspersky

Notre nouveau service permet aux représentants des clients (principalement les analystes des SOC et les personnes chargées de la sécurité des informations) de demander conseil aux experts de Kaspersky, et donc de réduire les coûts de recherche. Nous comprenons l’importance d’avoir des informations précises sur les menaces et c’est pourquoi nous avons mis en place un SLA (service-level agreement) pour tous les types de demandes. Grâce au service Kaspersky « Demander à l’analyste » les spécialistes en sécurité des informations peuvent :

  • Recevoir des renseignements supplémentaires extraits des rapports Kaspersky Threat Intelligence, y compris des indicateurs de compromissions et un cadre analytique plus détaillés des équipes GReAT et Kaspersky Threat Research. Selon la situation, ils vont aborder toutes les connexions possibles entre les indicateurs détectés au sein de l’entreprise et l’activité décrite dans les rapports ;
  • Obtenir une analyse détaillée du comportement des échantillons identifiés, déterminer leur objectif et obtenir des conseils pour atténuer les conséquences de l’attaque. Les experts en réponse aux incidents de l’équipe Kaspersky Global Emergency Response aident les clients à accomplir cette tâche ;
  • Obtenir la description d’une famille de malware en particulier (par exemple, d’un morceau spécifique de ransomware) et recevoir des conseils pour s’en protéger ainsi que plus de contexte sur des indicateurs de compromission (hash, URL, adresses IP) pour donner la priorité aux alertes ou aux incidents qui s’en servent. Les experts de Kaspersky Threat Research fournissent ces informations ;
  • Recevoir la description de vulnérabilités spécifiques et de leur niveau de gravité, ainsi que des informations expliquant comment les produits Kaspersky protègent contre leur exploitation. Les experts de l’équipe Kaspersky Threat Research fournissent ces renseignements ;
  • Solliciter une enquête individuelle (de recherche) de données sur le dark web. Ce processus fournit de précieux renseignements sur les menaces pertinentes, qui en retour suggèrent des mesures efficaces pour éviter ou atténuer les attaques informatiques. Les experts de l’équipe Kaspersky Security Services sont en charge de l’enquête.

Vous trouverez plus de renseignements au sujet de ces services sur notre site.

Conseils