Principaux points à retenir
- Sekoia.io inclut une CTI directement opérationnalisable dans les activités de détection et de chasse des cybermenaces.
- Sekoia.io est un producteur de renseignement exclusif qui qualifie, modélise et consolide des données provenant de sources OSINT externes de premier plan.
- Lorsque vous utilisez la CTI dans la plateforme SOC Sekoia.io, vous bénéficiez de capacités inégalées de détection, de hunting et de contextualisation.
Introduction
La cybersécurité représente un enjeu de plus en plus important pour les organisations. Alors que les entreprises et les organisations dépendent de plus en plus de systèmes informatiques pour opérer leurs activités, la surface pour les attaquants, s’est, quant à elle, élargie et le risque d’attaque augmente. Pour lutter contre ces menaces, les organisations doivent pouvoir bénéficier d’une bonne compréhension de la menace à laquelle elles sont confrontées, ainsi que des outils et tactiques utilisés par les cybercriminels. C’est ici que rentre en jeu la Cyber Threat Intelligence (CTI).
Plus qu’un éditeur de logiciels, Sekoia.io est l’un des principal producteur européen de CTI. Notre équipe de chercheurs (#TDR), composée d’analystes passionnés, produit du renseignement de stratégique et technique sur les cybermenaces mondiales.
Présentation de la CTI Sekoia.io
La CTI produite et consolidée dans Sekoia.io fournit une vision globale des cybermenaces les plus actives et documentées, ainsi que des indicateurs de compromission (IoCs), révélant la présence d’attaquants. Nous produisons de l’intelligence dans un modèle “one-to-many” où nous construisons du renseignement contextualisé, pouvant être utilisés par toute organisation opérant dans n’importe quel secteur d’activité. À ce jour, notre base de données comprend environ 6 millions d’objets liés à des activités malveillantes et plus de 60 millions d’observables.
La philosophie de Sekoia.io est d’offrir une CTI qui répond aux objectifs opérationnels de vos équipes de sécurité. Le renseignement est conçu pour être opérationnalisé afin d’améliorer vos capacités de détection et vous offrir un haut niveau de contextualisation.
C’est la raison pour laquelle nous avons choisi de nous appuyer sur un standard pour la modélisation de notre renseignement : Le STIX 2.1 (Structured Threat Information eXpression), développé par la fondation OASIS (dont Sekoia.io est membre), avec lequel tous les objets de renseignement sont liés les uns aux autres. STIX est le langage utilisé par les analystes du monde entier pour modéliser et échanger des données de manière transparente et permettre une utilisation dans des systèmes de sécurité indépendants des fournisseurs. Chez Sekoia.io, nous pensons que STIX est le meilleur moyen d’offrir une CTI interopérable, consolidée dans une base de données unique.
Illustration des relations entre un malware et les autres objets STIX
Notre équipe d’analystes produit du renseignement exclusif et dispose de ressources dédiées. Nous suivons constamment les infrastructures de Command & Control pour détecter de manière proactive les nouveaux serveurs hébergeant des codes sources ou des outils malveillants qui pourraient être utilisés dans de futures attaques. La qualité, l’exclusivité et la pertinence de notre renseignement ont été saluées par de multiples acteurs publics et privés.
De plus, l’équipe s’appuie aussi sur des sources tierces qui enrichissent, complètent et valident notre renseignement.
Exemple de la page d’un IoC avec le contexte et relations associées
Utilisation de la CTI dans la plateforme SOC Sekoia.io
La CTI peut être facilement opérationnalisée au sein de la plateforme SOC de Sekoia.io, à des fins de détection, d’analyse et d’investigation. Dans un tel cas, les analystes bénéficient des fonctionnalités avancées et d’une intégration native entre CTI et plateforme SOC de détection.
La détection basée sur la CTI
Des règles de détection sont nativement présentes sur la plateforme et vérifient en permanence et en temps réel, si l’un des IoC de notre base de CTI est présent sur les logs de vos systèmes d’informations. Avec un large catalogue d’intégrations pour ingérer vos logs dans Sekoia.io, vous pouvez bénéficier instantanément de capacités de détection robustes, basées sur une liste de milliers d’IoC valides.
Illustration d’une alerte déclenchée grâce un indicateur CTI et qui est par ailleurs enrichie par des données de contexte
Capacités de retrohunt automatiques
Lorsqu’un nouvel IoC est ajouté à la base de CTI, la plateforme SOC cherchera cet indicateur dans vos logs, y compris dans le passé. Cette fonctionnalité, combinée à une gestion très stricte des cycles de vie de chaque IoC, vous donnera accès à de puissantes capacités de retrohunt, avec un risque très limité de faux positifs.
Bring Your Own IOCs
Notre plateforme SOC vous permet de créer vos propres listes d’IoCs spécifiques et de les utiliser pour la détection dans vos journaux grâce à des règles de détection spécifiques. Bien évidemment, le retrohunt fonctionne aussi, tel qu’évoqué précédemment, lorsqu’il s’agit de vos propres IoCs !
Télémétrie
Pour chaque IoC, que ce soit le nôtre ou le vôtre, il est possible, en un coup d’oeil de visualiser la présence de ces derniers, sur votre environnement Sekoia.io mais aussi sur tous les environnements clients Sekoia.io. Cela vous donnera l’occasion de voir si un indicateur que vous pourriez observer sur vos systèmes a été repéré sur d’autres systèmes de nos clients (de façon anonyme évidemment). Cela vous aidera également à vérifier si cet indicateur a été présent sur vos systèmes dans le passé.
Exemple de tableau de bord de télémétrie permettant d’observer la présence d’un IoC Sekoia.io (observations étendues à l’ensemble des environnements Sekoia.io)
Contextualisation totale des activités du SOC avec la CTI
Le renseignement est disséminé partout sur la plateforme SOC de Sekoia.io pour apporter un contexte au travail de l’analyste. Le contexte est fourni sur ce qui est observé dans les logs de l’organisation et lors de toutes les étapes des opérations de sécurité (détection, hunting, alertes, gestion des dossiers, etc.).
Plus important encore, la CTI de Sekoia.io apportera un contexte lorsqu’il s’agira de travailler sur une menace spécifique ayant un impact sur les systèmes. Elle fournira des renseignements opportuns aux analystes concernant la menace spécifique à laquelle ils sont confrontés et les détails d’un logiciel malveillant, d’un intrusion set, etc.
Illustration d’une investigation réalisée sur une menace potentielle qui a été détecté sur le système d’information. Elle révèle les liens entre les utilisateurs et les menaces associées observées
Diffusion de la CTI dans des solutions tierces
La CTI Sekoia.io peut également être externalisée et opérationnalisée dans des systèmes tiers.
Il est important de garder à l’esprit que certaines solutions tierces (plateformes TIP, SIEM, etc.) n’offrent pas les mêmes fonctionnalités et capacités d’exploration des menaces que celles de la plateforme SOC Sekoia.io. Dans certains cas, vous ne pourrez pas accéder à tous les types d’objets STIX ou à toutes les relations entre les objets de renseignement. Cela peut être dû au fait que certaines solutions peuvent ne pas prendre en charge la norme STIX 2.1 par exemple.
Néanmoins, même lors de la diffusion du renseignement et des IoCs vers des systèmes tiers, vous aurez toujours accès à notre plateforme afin de pouvoir accéder au renseignement dans son contexte complet.
La CTI Sekoia.io peut être diffusé :
- Au sein de SIEM, pour améliorer vos capacités de détection et de hunting en utilisant des IoC supplémentaires, ou pour apporter une contextualisation étendue à vos opérations.
- Au sein de SOAR, pour enrichir, contextualiser et soutenir les analystes dans leurs activités de réponse aux incidents.
- Dans des plateformes Threat Intelligence (TIP), pour ajouter une source de renseignement à une base de données consolidée qui peut ensuite être utilisée pour la détection.
- Directement dans les équipements de sécurité (EDR, pare-feu, etc.) pour alimenter la solution avec des indicateurs supplémentaires tels que des listes IP ou des hash de fichiers, afin d’améliorer les capacités de blocage préventif ou de détection. Par exemple, vous pouvez exporter notre liste d’adresses IPV4 et IPV6 et les saisir dans la liste noire de vos pares-feu. Vous bénéficieriez alors d’un blocage préventif sur une liste de milliers d’adresses, connues de nos services comme étant malveillantes.
Ces intégrations, selon la technologie, peuvent s’appuyer sur une application Sekoia.io disponible sur la marketplace de l’éditeur, un connecteur TAXII (STIX transportation protocol), un connecteur MISP ou encore l’utilisation d’une API.
La liste complète des intégrations est accessible sur notre site Web, en suivant ce lien.
La CTI Sekoia.io peut également être diffusée dans vos services cloud tels qu’AWS ou Azure à l’aide d’applications dédiées disponibles sur ces marketplaces cloud.
Enfin, les renseignements peuvent également être consommés et diffusés par le biais d’API qui sont documentées publiquement ici.
Vue globale de la construction et diffusion de la threat intelligence de Sekoia.io
À travers cet article, nous avons souhaité vous fournir une compréhension globale de notre CTI et vous montrer surtout comment elle peut être opérationnalisée pour les cas d’utilisation que vous pouvez rencontrer dans vos opérations de sécurité quotidiennes.
Pour plus d’informations, n’hésitez pas à nous contacter et à consulter notre site web!
Vous pouvez également découvrir la manière dont notre Cyber Threat Intelligence (CTI) native vous donne accès à des informations cruciales sur les cybermenaces, afin de mieux comprendre les techniques des attaquants et les signes précurseurs à surveiller.
Merci d’avoir lu cet blogpost. N’hésitez pas à lire d’autres contenus disponible sur notre blog :