Les 3 ingrédients secrets pour une cybersécurité au top : analyser le passé, tester le présent et prédire l’avenir. Tout autre ingrédient est superflu

Si nous analysons minutieusement le passé, nous pouvons en tirer une image détaillée et précise du présent. Ensuite, l’esprit analytique des experts, ou encore mieux les neurones de plusieurs experts, peuvent nous avertir voire prédire le futur. C’est exactement comme ça qu’ici, chez K, nous arrivons souvent à deviner prédire exactement comment les programmes malveillants informatiques qui vont faire leur apparition vont évoluer. C’est aussi ce qui nous permet de nous tenir au courant des dernières tendances d’attaques informatiques et de développer en temps et en heures les technologies correspondantes afin de lutter contre ces difficultés informatiques. Notre prophétie informatique a aussi commis quelques erreurs : certains programmes malveillants informatiques ne peuvent pas être anticipés. Pourtant, ces quelques cas sont l’exception à la règle. Nous avons vu juste à plusieurs reprises.

Comment est-ce possible ? Est-ce qu’il s’agit seulement de quelques geeks barbus et super intelligents qui font cette analyse et arrivent à deviner le futur de l’informatique ? En toute honnêteté, non. Une grande partie de ce travail est automatique. Cela mérite quelques applaudissements : un être humain, même très intelligent, ne peut pas se battre contre la puissance des ordinateurs, des algorithmes et des robots actuels, sans oublier l’IA l’apprentissage automatique. Cet être humain intelligent est toujours nécessaire, évidemment. Mais pourquoi devrait-il faire le gros du travail tout seul ?

C’est de cette charge de travail dont je souhaite vous parler dans cet article.

Ce gros du travail technologique et basé sur la science qui nous permet de prédire l’avenir. Nous ne sommes pas des diseurs de bonne aventure à la Baba Vanga !

Laissez-moi d’abord vous parler de l’évolution de notre Threat Intelligence Platform (TIP).

Je vous ai déjà tout dévoiler dans le titre : comment nous analysons le passé, testons le présent et voyons dans notre boule de cristal prédisons l‘avenir

Analyser le passé

Lorsque nous avons commencé à développer ce service en 2016, les premiers outils s’occupaient de l’analyse du passé. Il étaient, et sont encore, la source du Threat-Data Feeds. Comme son nom le laisse entendre, il s’agit des données sur les menaces déjà connues : indicateurs d’attaque, adresses des sites de programmes malveillants, adresses des centres de contrôle de botnet, et bien d’autres. Vous pouvez vous abonner pour les recevoir en temps réel.

Si nous poussons un peu plus, nous avons nos rapports détaillés sur les menaces. Voici quelques exemples : rapports d’analyse des menaces APT qui se concentrent sur les attaques ciblées et les groupes de cybercriminels ; les rapports criminalistiques qui décrivent les nouvelles variantes des programmes malveillants ; et les rapports de cybersécurité industrielle et informatique sur les nouvelles menaces qui planent sur les systèmes de contrôle industriel.

Étant donné que nous n’allons jamais jeter à la poubelle les données que nous avons recueillies au cours de ce quart de siècle, nous avons désormais des pétaoctets sillyoctets exaoctets de données sur les menaces. Nous trouvions que c’était dommage qu’elles soient enfermées, du coup nous avons décidé de permettre aux clients de chercher dans notre base de données. Il est évident que nous parlons des organisations et des entreprises, et plus particulièrement de leurs services d’informatique et de sécurité informatique. C’est ainsi que notre service Threat Lookup, un genre de Google pour les menaces, a vu le jour. Des centaines d’entreprises connues et hautement respectées dans le monde entier l’utilisent déjà.

Tester le présent

En toute logique, nous passons du passé au présent…

Imaginons que ce matin vous avez trouvé un fichier suspect dans le réseau de votre entreprise et que vous avez besoin de l’analyser illico presto. Cela signifie que votre plateforme de Threat Intelligence (TI) doit avoir des outils d’enquête ici et maintenant, comme dirait Fatboy Slim.

Tout d’abord, vous avez besoin d’analyser le code statique. Nous le faisons depuis des années, et plus précisément depuis que nous avons lancé nos méthodes classiques d’antivirus (hachage, heuristique), qui ont ensuite évolué avec le temps et se sont transformées en un système d’attribution des menaces de pointe. Il est désormais capable de découvrir l’origine du programme malveillant même si c’est une version largement réécrite d’un programme malveillant déjà connu.

Vous voyez, il s’avère que certains « gènes », comme la distinction des fragments d’un code informatique, ressemblent à la signature d’un cybercriminel et ne changent pas. Ce sont ces gènes que notre solution Threat Attribution Engine détecte. Ce programme a été entraîné de façon à ce qu’il puisse reconnaître les centaines de millions de bons et de mauvais gènes que nous conservons depuis 25 ans. C’est ce qui nous permet de pouvoir attribuer un nouveau programme malveillant à des auteurs connus.

Est-ce que vous pensez que nous sommes encore dans le passé ? La prochaine étape consiste à introduire le fichier suspect dans notre technologie Cloud Sandbox. Il s’agit littéralement d’une analyse dynamique dans un « présent constant » du fichier lors de son exécution dans un environnement isolé. Si nous ne prenons en compte que son code, le programme pourrait sembler innocent, mais lorsqu’il est exécuté dans la sandbox… oh, surprise : il essaie de tout chiffrer ! Qui l’aurait cru ? Devrions-nous regarder dans les alentours s’il y a quelque chose d’autre qui traîne ? Vous avez vu juste : oui, il faut le faire !

Pour ce faire, nous vérifions notre Research Graph, où nous voyons les relations entre les fichiers étudiés et les autres objets : domaines avec lesquels il a interagi, fichiers qu’il a chargés ou qui l’ont téléchargé, et connexions avec les autres menaces et indicateurs de notre base de données. Le client peut ensuite rechercher ces indicateurs sur Internet pour vérifier que rien n’a été oublié et que les cybercriminels ont bel et bien été expulsés.

Prédire l’avenir

Nous avons utilisé nos connaissances passées pour enquêter sur quelque chose qui a eu lieu dans le présent. Mais qu’en est-il du futur ? Évidemment, il n’a pas encore eu lieu, mais nous pouvons discerner des signes qui révèlent à quoi il va ressembler. Il s’agit notamment de points faibles dans la protection de votre infrastructure, de vulnérabilités dans les logiciels et dans les paramètres, et d’éventuels points d’entrée pour des attaques informatiques. Vous pouvez trouver toutes ces choses dans les rapports par inscription mentionnés ci-dessus : Threat Intelligence Reporting. C’est dans ces rapports que nous décrivons en détail quels groupes de cybercriminels existent et, plus important encore, quels outils ils utilisent, comment ils s’en servent et dans quel objectif. En d’autres termes, nous révélons leurs tactiques, techniques et procédures (TTP). Grâce à ces connaissances, vous pouvez vous préparer beaucoup mieux aux éventuelles attaques.

Pourtant, les méthodes des cybercriminels peuvent varier suivant le contexte, et nos clients nous demandent souvent plus de renseignements sur comment certaines techniques d’attaque peuvent être utilisées dans des situations spécifiques et propres à un client. Ils peuvent désormais le consulter grâce à des analystes en temps réel et grâce à notre service Ask the Analyst (Demander à l’anlayste).

Le second type de signes qui annonce le futur est l’activité suspecte « quelque part sur Internet » qui se sert des données d’une entreprise, et qui peut être considérée comme la planification d’une attaque. Ce sont ces signes qui prédisent le futur que notre service Digital Footprint Intelligence analyse.

Il fonctionne de cette façon : grâce à l’aide de robots spécifiques, une équipe de nos experts fait le « portrait numérique » d’une entreprise spécifique puis suit l’utilisation de ces données sur Internet afin de prédire d’éventuelles attaques.

Par exemple, si quelqu’un enregistre un domaine qui ressemble beaucoup à celui de l’entreprise en question (une lettre différente ou l’ajout d’un tiret quelque part), et lance le site en utilisant cette adresse qui ressemble étrangement à celle du site original. Le service DFI vous avertit lorsqu’il y a des sites d’hameçonnage et le service Takedown vous aide à bloquer et à fermer le site qui se fait passer pour vous. De plus, la nouvelle version de notre portail Threat Intelligence est désormais équipée d’une fonction spéciale de recherche sur Internet. Ainsi, tout ce que vous trouvez auparavant dans notre base de données interne sur les menaces est complété par des données récentes qui proviennent de sources publiques vérifiées, dont des médias de cybersécurité, des forums de sécurité des informations et des blogs d’experts.

Enfin, notre portail Threat Intelligence peut être utilisé pour faire des recherches dans les endroits les plus obscurs du net : dark web et deep web. Vous pouvez vérifier si les données d’une entreprise ont été divulguées, voir si on a parlé des vulnérabilités d’une organisation et vérifier les autres signes qui indiqueraient la préparation d’une attaque. Les utilisateurs du dark web et du deep web croyaient qu’ils étaient intouchables ? Eh bien voilà !

Vous vous demandez peut-être… Ce service peut-il détecter un futur cybercriminel dès son plus jeune âge ? Peut-il dire comment le système administrateur X va organiser les fuites de données de l’entreprise Y dans trois ans ? La réponse est non. Nous pouvons tout de même donner aux utilisateurs de notre plateforme d’analyse les informations les plus importantes sur les menaces qu’ils peuvent rencontrer dans la réalité : par qui et pourquoi ils pourraient être attaqués, comment ces attaques peuvent être lancées et comment ils peuvent s’en protéger.

Vous savez tout les amis. Une cybersécurité qui voyage dans le temps, avec une Kouverture du passé, du présent et de l’avenir ! Malgré tous ces termes de science-fiction, j’espère que vous comprenez désormais pourquoi notre travail est tout sauf de la science-fiction. Nous ne sommes pas Vanga, ni Sauron, ni un chaman ou un voyant, et il ne s’agit ni d’astrologie ni de magie. Ce n’est que de la science et de la technologie, à 100 %.

Qui aurait cru que vous devez analyser le passé, enquêter dans le présent et prédire l’avenir pour une cybersécurité de premier ordre en 2022 ? C’est notre cas, et nous le faisons déjà avec notre portail Kaspersky Threat Intelligence. Vous aussi vous pouvez le faire.

LIRE LES COMMENTAIRES 0
Laisser un commentaire