{"id":17907,"date":"2021-10-21T16:22:18","date_gmt":"2021-10-21T14:22:18","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=17907"},"modified":"2021-10-21T16:22:18","modified_gmt":"2021-10-21T14:22:18","slug":"ask-the-analyst","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/ask-the-analyst\/17907\/","title":{"rendered":"Comment poser une question \u00e0 un analyste"},"content":{"rendered":"

Les personnes qui travaillent dans les SOC (Centres d\u2019op\u00e9rations de s\u00e9curit\u00e9) ou dans les services de s\u00e9curit\u00e9 informatique demandent souvent de l\u2019aide aux sp\u00e9cialistes de Kaspersky pour avoir l\u2019avis d\u2019un expert. Nous avons analys\u00e9 les raisons les plus courantes qui justifient ce genre de demandes et nous avons cr\u00e9\u00e9 un service sp\u00e9cialis\u00e9 qui aide les clients \u00e0 poser directement leurs questions \u00e0 un expert dans ce domaine.<\/p>\n

Pourquoi pourriez-vous avoir besoin de l\u2019aide d\u2019un expert<\/h2>\n

La menace des cyberattaques ne cesse de cro\u00eetre \u00e0 mesure que les cybercriminels trouvent de nouvelles fa\u00e7ons d\u2019atteindre leurs objectifs, et d\u00e9couvrent de nouvelles vuln\u00e9rabilit\u00e9s dans le hardware et dans le logiciel des applications, des serveurs, des passerelles VPN ou des syst\u00e8mes d\u2019exploitation qu\u2019ils exploitent imm\u00e9diatement. Des centaines de milliers de nouveaux \u00e9chantillons de malwares apparaissent au quotidien et grand nombre d\u2019organisations, y compris des grandes entreprises et des organismes gouvernementaux, sont victimes d\u2019attaques de ransomwares. De plus, de nouvelles menaces sophistiqu\u00e9es et de nouvelles campagnes d\u2019APT sont r\u00e9guli\u00e8rement d\u00e9tect\u00e9es.<\/p>\n

Les renseignements sur les menaces (TI)<\/a> jouent un r\u00f4le cl\u00e9 dans ce contexte. Ce n\u2019est qu\u2019en ayant des informations pr\u00e9cises sur les outils et les m\u00e9thodes utilis\u00e9s par les cybercriminels que nous pouvons construire un syst\u00e8me de protection ad\u00e9quat et, en cas d\u2019incident, r\u00e9aliser une enqu\u00eate efficace, d\u00e9tecter les intrus dans le r\u00e9seau, les expulser et trouver le vecteur d\u2019attaque initial pour \u00e9viter qu\u2019une attaque de ce genre ne se reproduise.<\/p>\n

La mise en place d\u2019une plateforme TI au sein d\u2019une organisation exige la pr\u00e9sence d\u2019un sp\u00e9cialiste qualifi\u00e9 en interne capable de mettre en pratique les donn\u00e9es du fournisseur du service TI. Cet expert devient alors l\u2019atout le plus pr\u00e9cieux lorsqu\u2019il faut enqu\u00eater sur une menace. Cela \u00e9tant dit, l\u2019embauche, la formation et le maintien d\u2019analystes en cybers\u00e9curit\u00e9 ont un co\u00fbt \u00e9lev\u00e9 et certaines entreprises ne peuvent pas se permettre d\u2019avoir une \u00e9quipe d\u2019experts.<\/p>\n

Foire aux questions<\/h2>\n

Plusieurs services de Kaspersky aident les clients \u00e0 g\u00e9rer les incidents informatiques. En quelques mots, il y a l\u2019\u00e9quipe d\u2019analyse et de recherche mondiale (GReAT), l\u2019\u00e9quipe Global Emergency Response<\/em> (GERT) et l\u2019\u00e9quipe Kaspersky Threat Research<\/em>. Nous avons ainsi regroup\u00e9 plus de 250 analystes et experts internationaux. Les \u00e9quipes re\u00e7oivent r\u00e9guli\u00e8rement beaucoup de demandes de la part des clients au sujet de menaces informatiques. Apr\u00e8s avoir analys\u00e9 les derni\u00e8res requ\u00eates, nous avons pu identifier les cat\u00e9gories suivantes.<\/p>\n

Analyse d\u2019un malware ou d\u2019un programme suspect<\/h3>\n

Une situation que nous rencontrons fr\u00e9quemment implique le d\u00e9clenchement d\u2019une logique de d\u00e9tection dans la s\u00e9curit\u00e9 des points d\u2019acc\u00e8s ou de r\u00e8gles de chasse des menaces<\/a>. Le service de s\u00e9curit\u00e9 de l\u2019entreprise ou le SOC enqu\u00eate sur l\u2019alerte et trouve un objet malveillant ou suspect mais manque de ressources pour faire une \u00e9tude d\u00e9taill\u00e9e. L\u2019entreprise demande alors \u00e0 nos experts de d\u00e9terminer la fonctionnalit\u00e9 de l\u2019objet d\u00e9tect\u00e9, d\u2019indiquer \u00e0 quel point il est dangereux et d\u2019expliquer comment s\u2019assurer que l\u2019incident est clos apr\u00e8s que l\u2019objet ait \u00e9t\u00e9 supprim\u00e9.<\/p>\n

Si nos experts peuvent rapidement identifier l\u2019objet envoy\u00e9 par le client (gr\u00e2ce \u00e0 notre gigantesque base de connaissances sur les outils g\u00e9n\u00e9ralement utilis\u00e9s par les cybercriminels et plus d\u2019un milliard d\u2019\u00e9chantillons uniques de malwares), ils r\u00e9pondent imm\u00e9diatement. Dans le cas contraire, nos experts doivent faire des recherches et cela peut prendre un certain temps s\u2019il s\u2019agit d\u2019un cas complexe.<\/p>\n

Plus de renseignements sur les indicateurs de compromission<\/h3>\n

La plupart des entreprises utilisent plusieurs sources pour les indicateurs de compromission (IoC). La valeur de l\u2019IoC d\u00e9pend principalement de la possibilit\u00e9 d\u2019avoir un contexte. En d\u2019autres termes, il s\u2019agit des informations suppl\u00e9mentaires sur l\u2019indicateur et sur sa port\u00e9e. Ce contexte n\u2019est pas toujours disponible. Ainsi, apr\u00e8s avoir d\u00e9tect\u00e9 un certain indicateur de compromission dans, par exemple, le syst\u00e8me SIEM, les analystes des SOC pourraient remarquer qu\u2019il y a un d\u00e9tonateur et qu\u2019un incident pourrait se produire mais ne pourraient pas faire plus de recherches par manque d\u2019informations.<\/p>\n

Dans cette situation, ils peuvent nous envoyer une demande pour obtenir plus de renseignements sur l\u2019IoC d\u00e9tect\u00e9 et, dans la plupart des cas, l\u2019indicateur de compromission s\u2019av\u00e8re \u00eatre int\u00e9ressant. Par exemple, une fois nous avons re\u00e7u une adresse IP trouv\u00e9e dans le flux de trafic de l\u2019entreprise (c\u2019est-\u00e0-dire obtenue dans le r\u00e9seau de l\u2019entreprise). Parmi les choses h\u00e9berg\u00e9es par cette adresse, se trouvait un logiciel de gestion du serveur connu comme Cobalt Strike, un outil d\u2019administration \u00e0 distance puissant (autrement dit une porte d\u00e9rob\u00e9e) que de nombreux cybercriminels utilisent. Nos experts ont fourni plus de renseignements sur l\u2019outil et ont conseill\u00e9 \u00e0 l\u2019entreprise de lancer imm\u00e9diatement une proc\u00e9dure de r\u00e9ponse \u00e0 un incident pour neutraliser la menace et pour d\u00e9terminer la cause principale de ce danger.<\/p>\n

Demande d\u2019informations sur les tactiques, les techniques et les proc\u00e9dures<\/h3>\n

L\u2019indicateur de compromission n\u2019est en aucun cas la seule chose dont l\u2019entreprise a besoin pour arr\u00eater une attaque ou pour enqu\u00eater sur un incident. Une fois que le groupe de cybercriminels \u00e0 l\u2019origine de l\u2019attaque est connu, les analystes des SOC demandent g\u00e9n\u00e9ralement des informations sur les tactiques, les techniques et les proc\u00e9dures (TTP). Ils ont besoin d\u2019une description d\u00e9taill\u00e9e du mode op\u00e9ratoire du groupe pour les aider \u00e0 d\u00e9terminer o\u00f9 et comment les criminels ont pu p\u00e9n\u00e9trer dans le r\u00e9seau et comment ils ont pu extraire les donn\u00e9es. Nous fournissons ces renseignements dans le cadre de notre service Threat Intelligence Reporting<\/em>.<\/p>\n

Les m\u00e9thodes des cybercriminels, y compris au sein du m\u00eame groupe, peuvent \u00eatre diverses et il s\u2019av\u00e8re impossible de d\u00e9crire tous les d\u00e9tails, y compris lorsqu\u2019il s\u2019agit d\u2019un rapport extr\u00eamement pointilleux. Ainsi, les clients de plateforme TI qui utilisent nos rapports sur les menaces APT et les logiciels criminels (crimeware<\/em>) nous demandent parfois plus de renseignements \u00e0 propos d\u2019un point sp\u00e9cifique d\u2019une technique d\u2019attaque dans un contexte pr\u00e9cis et pertinent pour le client.<\/p>\n

Nous avons fourni toute sorte de r\u00e9ponses, et bien d\u2019autres choses, via ces services sp\u00e9ciaux ou dans le cadre limit\u00e9 de notre assistance technique. Pourtant, apr\u00e8s avoir constat\u00e9 une augmentation du nombre de demandes et apr\u00e8s avoir compris la valeur du savoir-faire et des connaissances de nos unit\u00e9s de recherche, nous avons d\u00e9cid\u00e9 de lancer un service exclusif : Kaspersky \u00ab\u00a0Demander \u00e0 l\u2019analyste\u00a0\u00bb. Ainsi, les clients peuvent obtenir rapidement les conseils de nos experts gr\u00e2ce \u00e0 un seul point de contact.<\/p>\n

Service \u00ab\u00a0Demander \u00e0 l\u2019analyste\u00a0\u00bb de Kaspersky<\/h2>\n

Notre nouveau service permet aux repr\u00e9sentants des clients (principalement les analystes des SOC et les personnes charg\u00e9es de la s\u00e9curit\u00e9 des informations) de demander conseil aux experts de Kaspersky, et donc de r\u00e9duire les co\u00fbts de recherche. Nous comprenons l\u2019importance d\u2019avoir des informations pr\u00e9cises sur les menaces et c\u2019est pourquoi nous avons mis en place un SLA (service-level agreement<\/em>) pour tous les types de demandes. Gr\u00e2ce au service Kaspersky \u00ab\u00a0Demander \u00e0 l\u2019analyste\u00a0\u00bb les sp\u00e9cialistes en s\u00e9curit\u00e9 des informations peuvent :<\/p>\n