octobre 24, 2019
Portail de Renseignements sur les Menaces : nous devons aller plus loin
Je comprends parfaitement que pour 95 % d’entre vous, cet article n’aura aucune utilité. Cependant, pour les 5 % restants, il a tout le potentiel pour simplifier considérablement votre semaine et vos week-ends de travail. En d’autres termes, nous avons de bonnes nouvelles pour les professionnels de la cybersécurité (équipes SOC, chercheurs indépendants et férus d’informatique). Nos travailleurs acharnés, ainsi que les membres de notre équipe Global Research and Analysis (GReAT), vous invitent à utiliser gratuitement la version simplifiée de notre Portail de Renseignements sur les Menaces, aussi appelé TIP. Ce portail repose sur les outils dont nos spécialistes se servent quotidiennement pour publier les meilleures recherches internationales sur les cybermenaces et vous l’ajouterez obligatoirement à vos favoris après avoir lu cet article !
Le Portail de Renseignements sur les Menaces résout deux problèmes majeurs auxquels l’expert en cybersécurité débordé d’aujourd’hui est confronté. Premièrement : « Quel fichier suspect parmi une centaine devrais-je choisir en premier? » ; deuxièmement : « D’accord, mon antivirus dit que le fichier est sûr, et après ? »
À l’inverse des produits « classiques » comme Endpoint Security qui ne disent que si un fichier est sûr ou dangereux, les outils d’analyse intégrés dans le Portail de Renseignements sur les Menaces donnent des informations détaillées et précisent à quel point le fichier est suspect et pourquoi. Ce portail n’analyse pas seulement des dossiers. Les hashtags, les adresses IP et les liens URL peuvent également être soumis pour faire bonne mesure. Tous ces éléments sont rapidement analysés par notre Cloud et tous les résultats vous sont servis sur un plateau d’argent : quelle est la menace (le cas échéant), à quel point une infection est rare, à quelles menaces connues contrôlables à distance ils ressemblent, quels outils ont été utilisés pour la créer, etc. De plus, les fichiers sont exécutés dans notre sandbox breveté hébergé sur le Cloud et les résultats sont disponibles en quelques minutes.
J’entends déjà les 5 % crier : « C’est une copie de VirusTotal ! »
Oui et non.
D’une part, l’objectif est le même : donner aux spécialistes des outils supplémentaires pour analyser un incident concret et prendre une décision en connaissance de cause. D’autre part, notre approche est complètement différente.
VirusTotal a été conçu comme un simple scanner multiple. Il regroupe différents moteurs antivirus et les alimente à partir des fichiers envoyés par les utilisateurs. C’est pourquoi on accuse souvent les fournisseurs, y compris nous, de « ne pas détecter le fichier X ». Toutefois, il est plus exact de dire que nous ne détectons pas le fichier X avec un scanner de fichiers traditionnel. Par la suite, nous avons réussi à le détecter en utilisant d’autres outils. Mais sur VirusTotal, vous ne le verrez tout simplement pas. Bien sûr, d’autres outils sont apparus sur VirusTotal, mais ils ne se concentrent généralement que sur une large couverture de moteurs qui utilisent une technologie très conservatrice créée il y a plus de 30 ans.
En tant qu’experts en analyse approfondie des menaces complexes, nous nous efforçons de mettre cette profondeur à la disposition de tous les spécialistes. Le seul moteur du Portail de Renseignements sur les Menaces qui analyse les artefacts appartient à la société qui porte mon nom, et il se trouve que c’est la meilleure au monde. Ce portail combine des dizaines de technologies d’analyse avancées (voir ici, ici, ici et ainsi de suite) et vous permet ensuite d’avoir accès aux résultats détaillés. En comparaison avec la partie de notre moteur qui réside sur VirusTotal, TIP donne un niveau de détection très différent.
En plus de cela, il peut aussi être utile d’analyser les fichiers avec VirusTotal. Une deuxième, troisième et quatrième opinion n’est jamais de trop. Il est toutefois essentiel de savoir comment bien utiliser ces opinions. D’ailleurs, si jamais nous décidions d’élargir le Portail de Renseignements sur les Menaces en y ajoutant des renseignements provenant d’un partenariat avec d’autres fournisseurs, notre audit préalable serait très strict.
Une autre différence entre le Portail de Renseignements sur les Menaces et VirusTotal est… comment dire… la distribution limitée de l’information. Les fichiers téléchargés sur VirusTotal sont accessibles à un large éventail d’abonnés, alors qu’il n’y a pas d’abonnés ayant accès aux fichiers des autres personnes sur notre Portail de Renseignements sur les Menaces.
Au sujet des abonnements :
Il existe une version payante du Portail de Renseignements sur les Menaces, qui est beaucoup plus développée, notamment parce qu’elle permet aux utilisateurs de consulter les rapports détaillés de nos meilleurs analystes sur les cybermenaces détectées. S’il s’avère qu’un fichier téléchargé ressemble à un logiciel malveillant financier connu, alors la version complète du service fournit les informations les plus récentes et les plus détaillées sur la méthode utilisée par les cybercriminels pour attaquer les victimes, les outils qu’ils utilisent, et bien plus encore.