5 octobre 2018<\/p>\n
Bonjour \u00e0 tous !<\/p>\n
Je souhaiterai commencer cet article en paraphrasant un principe philosophique qui est assez c\u00e9l\u00e8bre<\/a>\u00a0: \u00ab\u00a0L\u2019existence sociale de l\u2019homme est-elle d\u00e9termin\u00e9e par sa profession, ou sa profession est-elle d\u00e9termin\u00e9e par son existence sociale\u00a0?\u00a0\u00bb Il semblerait que cette question, ou plut\u00f4t la question originale, ait \u00e9t\u00e9 largement d\u00e9battue depuis plus de 150 ans. Avec l\u2019invention et l\u2019expansion d\u2019Internet, cette guerre sainte semble \u00eatre partie pour durer encore au moins 150 ans. Personnellement, je n\u2019ai pas pris position. Cependant, je tiens \u00e0 dire que je suis favorable \u00e0 l\u2019id\u00e9e d\u2019un dualisme<\/em> entre la profession et l\u2019existence, en utilisant mon exp\u00e9rience personnelle comme r\u00e9f\u00e9rence, puisqu\u2019elles s\u2019influencent mutuellement, de plusieurs fa\u00e7ons, et sans arr\u00eat.<\/p>\n Vers la fin des ann\u00e9es 80, la virologie informatique est apparue comme r\u00e9ponse au nombre croissant de programmes malveillants. Avancez rapidement, et vous voil\u00e0 30 ans plus tard. La virologie a \u00e9volu\u00e9, ou plut\u00f4t fusionn\u00e9 avec grand plaisir avec les secteurs adjacents, pour devenir l\u2019industrie de la cybers\u00e9curit\u00e9 qui dicte d\u00e9sormais souvent le d\u00e9veloppement de l\u2019\u00eatre<\/span> l\u2019informatique\u00a0: \u00e9tant donn\u00e9 le caract\u00e8re in\u00e9vitable de la concurrence, seules les technologies \u00e9quip\u00e9es de la meilleure protection survivent.<\/p>\n Au cours des 30 ann\u00e9es qui ont suivi la fin des ann\u00e9es 80, nous, les entreprises qui d\u00e9veloppent des antivirus, avons \u00e9t\u00e9 appel\u00e9s par plusieurs noms originaux et\/ou plut\u00f4t d\u00e9sagr\u00e9ables. Mais le nom le plus correct qui nous a \u00e9t\u00e9 attribu\u00e9 ces derni\u00e8res ann\u00e9es est, AMHA, le m\u00e8me cyber-pal\u00e9ontologue<\/em>.<\/p>\n En effet, ce secteur a appris comment se battre contre les \u00e9pid\u00e9mies les plus importantes, que ce soit de fa\u00e7on proactive (comme quand nous avons prot\u00e9g\u00e9 les utilisateurs des \u00e9pid\u00e9mies les plus importantes de ces derni\u00e8res ann\u00e9es\u00a0: WannaCry<\/a> et ExPetr<\/a>), ou r\u00e9active (en utilisant les analyses des donn\u00e9es sur les menaces gard\u00e9es sur le Cloud, et des mises \u00e0 jour rapides). Lorsqu\u2019il s\u2019agit d\u2019attaques informatiques cibl\u00e9es<\/em>, le secteur dans sa globalit\u00e9 a encore beaucoup \u00e0 faire. Seules quelques entreprises sont assez matures, et ont les ressources techniques suffisantes pour pouvoir s\u2019en occuper. Si vous y ajoutez un engagement in\u00e9branlable pour r\u00e9v\u00e9ler toutes les menaces informatiques, et ce peu importe leurs origines ou leurs objectifs, vous n\u2019avez plus qu\u2019une seule entreprise\u00a0: KL\u00a0! Cela me rappelle une phrase de Napoleon Hill\u00a0: \u00ab\u00a0Il n\u2019y a jamais beaucoup de monde en haut de\u00a0l\u2019\u00e9chelle du succ\u00e8s\u00a0\u00bb. Il n\u2019est pas \u00e9tonnant de voir que nous sommes seuls (en haut de l\u2019\u00e9chelle)\u00a0: maintenir ce ferme engagement qui consiste \u00e0 tout r\u00e9v\u00e9ler co\u00fbte beaucoup plus cher que de ne rien faire. De plus, cette d\u00e9cision engendre beaucoup plus de probl\u00e8mes \u00e0 cause des bouleversements g\u00e9opolitiques actuels qui ont eu lieu r\u00e9cemment, mais notre exp\u00e9rience montre que c\u2019est la bonne chose \u00e0 faire, et les utilisateurs nous l\u2019ont confirm\u00e9\u00a0; il n\u2019y a qu\u2019\u00e0 regarder les chiffres<\/a>.<\/p>\n Une op\u00e9ration de cyber-espionnage est un projet de haute technologie tr\u00e8s long, tr\u00e8s cher, et particuli\u00e8rement complexe. Il est \u00e9vident que les auteurs de ces op\u00e9rations sont contrari\u00e9s et emb\u00eat\u00e9s lorsqu\u2019ils sont arr\u00eat\u00e9s, et beaucoup pensent<\/a> qu\u2019ils essaient de se d\u00e9barrasser des d\u00e9veloppeurs \u00ab\u00a0ind\u00e9sirables\u00a0\u00bb en utilisant diverses m\u00e9thodes en manipulant les m\u00e9dias<\/a>.<\/p>\n https:\/\/twitter.com\/malwrhunterteam\/status\/1029276290900262913<\/p>\n Mais je m\u2019\u00e9carte du sujet\u2026<\/p>\n D\u00e9sormais, ces op\u00e9rations de cyber-espionnage peuvent passer inaper\u00e7ues pendant des ann\u00e9es. Les auteurs font tr\u00e8s attention \u00e0 leurs investissements<\/span> outils\u00a0: ils n\u2019attaquent que quelques cibles consciencieusement choisies (pas d\u2019attaques massives qui peuvent \u00eatre d\u00e9tect\u00e9es beaucoup plus facilement), ils les essaient sur tous les produits de cybers\u00e9curit\u00e9 connus et disponibles sur le march\u00e9, ils changent rapidement de m\u00e9thode si n\u00e9cessaire, et ainsi de suite. Il est facile de croire que la plupart des attaques cibl\u00e9es<\/a> qui ont \u00e9t\u00e9 d\u00e9tect\u00e9es ne sont que la partie visible de l\u2019iceberg. La cyber-pal\u00e9ontologie<\/a> est le seul moyen vraiment efficace pour r\u00e9v\u00e9ler les attaques. Il s\u2019agit de collecter m\u00e9ticuleusement des donn\u00e9es sur le long terne pour avoir une vue d\u2019ensemble. Cette m\u00e9thode implique aussi la collaboration des experts de diverses entreprises, la d\u00e9tection et l\u2019analyse des anomalies, et par la suite, le d\u00e9veloppement des technologies de protection.<\/p>\n Il existe deux principaux champs secondaires dans le secteur de la cyber-pal\u00e9ontologie\u00a0: les enqu\u00eates ad hoc (apr\u00e8s avoir d\u00e9tect\u00e9 quelque chose au hasard et l\u2019avoir poursuivi), et les enqu\u00eates op\u00e9rationnelles syst\u00e9miques (processus d\u2019analyse planifi\u00e9e pour \u00e9tudier l\u2019environnement informatique des entreprises).<\/p>\n Les avantages \u00e9vidents de la cyber-pal\u00e9ontologie op\u00e9rationnelle sont tr\u00e8s appr\u00e9ci\u00e9s par les grandes entreprises, qu\u2019elles soient gouvernementales ou commerciales, puisqu\u2019elles sont toujours les premi\u00e8res \u00e0 \u00eatre victimes des attaques cibl\u00e9es. Cependant, toutes les entreprises n\u2019ont pas la possibilit\u00e9, ou la capacit\u00e9, d\u2019entreprendre la cyber-pal\u00e9ontologie op\u00e9rationnelle elles-m\u00eames\u00a0: les vrais sp\u00e9cialistes, \u00e0 embaucher, qui travaillent dans ce secteur niche, sont loin d\u2019\u00eatre nombreux, et sont assez chers. Nous devrions le savoir, parce qu\u2019il y en a plein<\/a> autour de nous et dans le monde entier<\/a>. Ils ont une exp\u00e9rience exceptionnelle, et sont reconnus internationalement. Par cons\u00e9quent, \u00e9tant donn\u00e9 notre force dans ce secteur, et le fait que nos clients, qui sont des entreprises, en ont grandement besoin, et que nous sommes fid\u00e8les aux principes de l\u2019offre et de la demande du march\u00e9, nous avons r\u00e9cemment d\u00e9cid\u00e9 de fournir un nouveau service pour ce march\u00e9\u00a0: Kaspersky Managed Protection<\/a>.<\/p>\n Kaspersky Managed Protection est essentiellement la sous-traitance de notre cyber-pal\u00e9ontologie.<\/p>\n Notre service bas\u00e9 sur le Cloud collecte d\u2019abord les m\u00e9tadonn\u00e9es de l\u2019activit\u00e9 du r\u00e9seau et du syst\u00e8me. Une fois que cela est fait, elles sont ajout\u00e9es aux donn\u00e9es de notre solution KSN<\/a>. Enfin, toutes ces informations sont analys\u00e9es par des syst\u00e8mes intelligents et des cyber-pal\u00e9ontologues<\/span> experts. Il s\u2019agit donc de l\u2019approche HuMachine<\/a>.<\/p>\n Revenons \u00e0 la collecte des m\u00e9tadonn\u00e9es\u2026 Ce qui est vraiment bien avec Kaspersky Managed Protection c\u2019est que vous n\u2019avez pas besoin d\u2019installer des capteurs suppl\u00e9mentaires pour collecter les m\u00e9tadonn\u00e9es. Le service fonctionne \u00e0 l\u2019unisson avec les produits d\u00e9j\u00e0 install\u00e9s, surtout avec Kaspersky Endpoint Security<\/a> et Kaspersky AntiTargeted Attack<\/a>. Dans le futur, il fonctionnera peut-\u00eatre aussi avec les produits d\u2019autres d\u00e9veloppeurs, et il utilise les donn\u00e9es de t\u00e9l\u00e9mesure comme support pour son \u00ab\u00a0examen m\u00e9dical\u00a0\u00bb > diagnostic > ordonnance pour le traitement.<\/p>\n Il est particuli\u00e8rement int\u00e9ressant de voir ce qui est cach\u00e9 lorsque ces informations sont ajout\u00e9es aux donn\u00e9es de KSN.<\/p>\n Le service en question dispose d\u00e9j\u00e0 de plusieurs gigabytes de donn\u00e9es de t\u00e9l\u00e9mesure brute gr\u00e2ce aux diff\u00e9rents capteurs\u00a0: \u00e9v\u00e9nements du syst\u00e8me d\u2019exploitation, comportement des processus et interaction avec les r\u00e9seaux, activit\u00e9 des services et applications du syst\u00e8me, ou encore verdicts des produits de s\u00e9curit\u00e9, avec la d\u00e9tection des comportements inhabituels, l\u2019IDS, le sandboxing, la v\u00e9rification de la r\u00e9putation des objets, les r\u00e8gles de YARA, \u2026 vous en avez la t\u00eate qui tourne\u00a0?! Si les choses sont bien faites, vous trouverez peut-\u00eatre dans ce chaos des techniques qui peuvent finalement vous aider \u00e0 r\u00e9v\u00e9ler des attaques cibl\u00e9es.<\/p>\n \u00c0 ce stade, pour s\u00e9parer le bon grain de l\u2019ivraie, nous utilisons une technologie de d\u00e9tection, d\u2019enqu\u00eate et d\u2019\u00e9limination des attaques cibl\u00e9es qui est brevet\u00e9e, et bas\u00e9e sur le Cloud. Tout d\u2019abord, les donn\u00e9es de t\u00e9l\u00e9mesure re\u00e7ues sont automatiquement identifi\u00e9es par KSN suivant la popularit\u00e9 des objets, l\u2019appartenance \u00e0 un groupe ou \u00e0 un autre, la ressemblance avec des menaces connues, et d\u2019autres param\u00e8tres. En d\u2019autres termes, nous \u00e9liminons l\u2019ivraie, et nous attribuons des \u00e9tiquettes sp\u00e9ciales \u00e0 toutes les choses utiles qui restent, et qui seraient les diff\u00e9rents grains de bl\u00e9.<\/p>\n Ensuite, ces \u00e9tiquettes sont automatiquement trait\u00e9es par un m\u00e9canisme de corr\u00e9lation qui utilise l\u2019apprentissage automatique, et qui met en avant des hypoth\u00e8ses sur les possibles cybermenaces. Dans le jargon des pal\u00e9ontologues, nous \u00e9tudions les fragments d\u00e9terr\u00e9s pour trouver des ressemblances avec les dinosaures que nous avons d\u00e9j\u00e0 d\u00e9couverts. Nous cherchons aussi des combinaisons de fragments inhabituelles qui pourraient \u00eatre propres \u00e0 un dinosaure que la science ne conna\u00eet pas encore.<\/p>\n Pour \u00e9laborer ces hypoth\u00e8ses, le m\u00e9canisme de corr\u00e9lation utilise une multitude de sources d\u2019informations. Depuis la cr\u00e9ation de KL il y a 21 ans, nous avons accumul\u00e9\u2026 assez<\/em> de donn\u00e9es (soyons modestes) pour \u00e9mettre ces hypoth\u00e8ses, notamment en ce qui concerne les donn\u00e9es statistiques suspectes qui s\u2019\u00e9cartent de l\u2019activit\u00e9 normale, mais aussi les tactiques, les technologies et les proc\u00e9dures des diverses attaques cibl\u00e9es, et les donn\u00e9es que nous obtenons gr\u00e2ce aux enqu\u00eates sur les crimes informatiques auxquelles nous participons.<\/p>\n Une fois que les hypoth\u00e8ses sont \u00e9labor\u00e9es, le cerveau du cyber-pal\u00e9ontologue passe \u00e0 l\u2019action. Cet expert arrive \u00e0 faire des choses que l\u2019intelligence artificielle r\u00eave de pouvoir faire. Ce professionnel v\u00e9rifie l\u2019authenticit\u00e9 des hypoth\u00e8ses pr\u00e9sent\u00e9es, analyse les objets et les actions douteuses, \u00e9limine les faux-positifs, apprend des choses aux robots de l\u2019apprentissage automatique, et d\u00e9veloppe des r\u00e8gles pour trouver de nouvelles menaces. Mais un jour, pourtant, presque tout ce que faisait le pal\u00e9ontologue manuellement sera fait automatiquement. Il s\u2019agit d\u2019un processus infini qui essaie de convertir l\u2019exp\u00e9rience en enqu\u00eates, et les enqu\u00eates en un service automatique.<\/p>\n Alors, progressivement, \u00e9tape par \u00e9tape, avec l\u2019aide des technologies de pointe, et sous la supervision des experts, dans ces tonnes de terre, nous pouvons trouver des traces de monstres<\/span> d\u2019attaques cibl\u00e9es jusqu\u2019alors inconnues. Plus la terre que re\u00e7oit Kaspersky Managed Protection n\u2019a pas \u00e9t\u00e9 trait\u00e9e, plus il peut remonter dans le temps, et plus il est probable qu\u2019il d\u00e9couvre ce qui n\u2019a pas encore \u00e9t\u00e9 d\u00e9couvert et, par cons\u00e9quent, r\u00e9v\u00e8le des attaques inconnues. L\u2019aspect le plus important est qu\u2019il s\u2019agit du moyen de protection le plus efficace, puisque nulle part ailleurs, \u00e0 part dans les r\u00e9seaux des grandes entreprises, on trouve cette terre non trait\u00e9e qui contient des fragments de dinosaures.<\/p>\n Pour conclure, je souhaiterai bri\u00e8vement expliquer comment Kaspersky Managed Protection compl\u00e8te notre Centre d\u2019Op\u00e9rations de S\u00e9curit\u00e9 (SOC), le centre de contr\u00f4le des incidents li\u00e9s \u00e0 la s\u00e9curit\u00e9 des informations.<\/p>\n Il est certain que Kaspersky Managed Protection ne va pas remplacer le SOC mais (i) il pourrait donner un nouvel \u00e9lan \u00e0 sa cr\u00e9ation puisqu\u2019il r\u00e9sout de fa\u00e7on astucieuse une seule t\u00e2che qui est tout de m\u00eame la plus importante\u00a0: r\u00e9v\u00e9ler toutes les attaques, et ce peu importe leur complexit\u00e9\u00a0; (ii) il pourrait \u00e9tendre les comp\u00e9tences du SOC existant en y ajoutant la cyber-pal\u00e9ontologie\u00a0; et (iii) le dernier aspect qui est aussi le plus important, est qu\u2019il pourrait cr\u00e9er un commerce suppl\u00e9mentaire pour les fournisseurs qui g\u00e8rent les services de s\u00e9curit\u00e9 (MSSP) en \u00e9largissant les applications de services des fonctions \u00e9volutives de la cyber-pal\u00e9ontologie. Je pense que ce troisi\u00e8me facteur peut \u00eatre le vecteur principal du d\u00e9veloppement de Kaspersky Managed Protection.<\/p>\n","protected":false},"excerpt":{"rendered":" \u00c9tant donn\u00e9 que nos clients, qui sont des entreprises, en ont grandement besoin, et que nous sommes fid\u00e8les aux principes de l\u2019offre et de la demande du march\u00e9, nous avons r\u00e9cemment d\u00e9cid\u00e9 de fournir un nouveau service pour ce march\u00e9 : Kaspersky Managed Security<\/p>\n","protected":false},"author":235,"featured_media":11071,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[498,3188,3189],"class_list":{"0":"post-11070","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apt","10":"tag-cyber-paleontologie","11":"tag-soc"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cyberpaleontology-managed-protection\/11070\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cyberpaleontology-managed-protection\/14418\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cyberpaleontology-managed-protection\/12056\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cyberpaleontology-managed-protection\/16350\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cyberpaleontology-managed-protection\/14543\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cyberpaleontology-managed-protection\/13509\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cyberpaleontology-managed-protection\/17107\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cyberpaleontology-managed-protection\/16412\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cyberpaleontology-managed-protection\/21448\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cyberpaleontology-managed-protection\/24118\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cyberpaleontology-managed-protection\/11443\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cyberpaleontology-managed-protection\/17868\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cyberpaleontology-managed-protection\/17444\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cyberpaleontology-managed-protection\/21296\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cyberpaleontology-managed-protection\/21303\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11070","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/235"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=11070"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11070\/revisions"}],"predecessor-version":[{"id":12762,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11070\/revisions\/12762"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/11071"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=11070"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=11070"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=11070"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}