Les cybercriminels peuvent rester cachés dans les réseaux des entreprises et obtenir des informations sensibles, ce qui entraîne des pertes financières, des atteintes à la réputation et des défaillances durables des systèmes. Selon les statistiques fournies par l’équipe de Kaspersky Global Emergency and Response, la durée moyenne d’une attaque longue durée est de 94.5 jours avant qu’elle ne soit détectée par un spécialiste de la sécurité de l’information. Pour se protéger des menaces cachées comme celles-ci, les entreprises devraient fournir des solutions de confiance à leurs équipes de sécurité pour qu’elles puissent conserver un temps d’avance sur les cybercriminels et éliminer les risques cyber avant qu’ils puissent affecter l’entreprise.

Pour atteindre cet objectif, Kaspersky a mis à jour sa Threat Intelligence avec des capacités de Threat Hunting et d’investigation. En fournissant de l’information avec des formats lisibles par les humains et les machines, la solution accompagne les équipes informatiques en leur apportant du contexte significatif à travers tout le cycle de gestion des incidents, accélère l’investigation sur les incidents et renseigne les prises de décision stratégiques.

Flux de données avancés pour une meilleure protection

La dernière version de Kaspersky Threat Intelligence contient de nouveaux flux sur les logiciels criminels, les services cloud et les menaces contre les logiciels open-sources. Ces flux aideront les clients à détecter ou à prévenir les fuites de données confidentielles et à atténuer les risques d’attaques de la chaîne d’approvisionnement et de composants logiciels vulnérables ou compromis. La nouvelle version introduit également un flux de données sur les vulnérabilités industrielles au format OVAL. Il permet aux clients de trouver facilement des logiciels ICS vulnérables sur les hôtes Windows de leurs réseaux en utilisant des scanners de vulnérabilité populaires.

Les flux existants sont enrichis d’informations supplémentaires précieuses et exploitables, telles que les nouvelles catégories de menaces, les tactiques et techniques d’attaque dans la classification MITRE ATT&CK, qui aideront les clients à identifier leur adversaire, à enquêter et à répondre aux menaces plus rapidement et plus efficacement.

L’intégration avec les solutions de gestion des informations et des événements de sécurité (SIEM) via Kaspersky CyberTrace est également améliorée avec l’analyse automatique des indicateurs de compromission (IoC) directement à partir des e-mails et des PDF. En outre, CyberTrace prend désormais en charge un format d’exportation flexible des IoC, ce qui permet une intégration transparente des flux de données sur les menaces filtrées dans des contrôles de sécurité tiers.

Plus de visibilité pour une investigation en profondeur

Kaspersky Threat Intelligence a étendu sa couverture aux adresses IP et ajouté de nouvelles catégories telles que DDoS, Intrusion, force-brute et Net scanners, car les clients effectuaient auparavant de nombreuses recherches liées à ces types de menaces. La solution mise à jour prend également en charge des filtres qui peuvent aider les utilisateurs à spécifier des critères de source, de sections et de périodes pour des recherches automatisées programmées.

Le Research Graph, un outil de visualisation graphique, a également été mis à jour pour prendre en charge deux nouveaux nœuds : les acteurs et les rapports. Les utilisateurs peuvent les appliquer pour trouver des connexions supplémentaires avec les IoCs. Cette option permet d’accélérer les activités de réponse aux menaces et de chasse aux menaces (threat hunting) en mettant en évidence les IoCs des attaques de haut niveau décrites dans les rapports APT, crimeware et industriels ainsi que dans les profils d’acteurs.

Protection de l’image de marque sur les réseaux sociaux et les marketplaces.

Les capacités de protection de l’image de marque de notre Threat Intelligence ont été améliorées en ajoutant de nouvelles notifications au service Digital Footprint Intelligence. Dorénavant, il supporte des alertes en temps-réel pour le phishing ciblé, les faux comptes sur les réseaux sociaux ou les fausses applications mobiles sur les marketplaces.

La solution aide à suivre l’apparition de pages de phishing ciblant le nom de l’entreprise, ses services en ligne ou ses marques déposées et de fournir des informations pertinentes, précises et détaillées sur les activités de phishing. La solution mise à jour surveille et détecte également les applications mobiles malveillantes se faisant passer pour la marque du client et les faux profils d’organisation sur les réseaux sociaux.

Amélioration des outils d’analyse des menaces

La mise à jour de Kaspersky Cloud Research Sandbox prend désormais en charge le système d’exploitation Android et la cartographie MITRE ATT&CK. Les mesures correspondantes seront affichées sur un tableau de bord de la Cloud Sandbox. Elle fournit également toutes les activités réseau à travers tous les protocoles, y compris IP, UDP, TCP, DNS, HTTP(S), SSL, FTP, POP3, IRC. L’utilisateur peut désormais spécifier des lignes de commande et des paramètres de fichiers pour lancer l’émulation de manière personnalisée.

« Nous nous concentrons sur la recherche sur la menace chez Kaspersky depuis plus de deux décennies. Avec des pétaoctets de riches données sur la menace, des technologies de machine learning avancées et un pôle unique d’experts internationaux nous travaillons à soutenir nos clients avec la threat intelligence la plus à la pointe, depuis le monde entier. Ce, pour les aider à se défendre contre des cyberattaques encore inconnues » commente Anatoly Simonenko, Directeur du Technology Solutions Product Management chez Kaspersky.