IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Pour automatiser la classification et l'identification des logiciels malveillants les plus sophistiqués
Kaspersky présente son nouveau moteur d'attribution des menaces, Threat Attribution Engine

Le , par Sandra Coret

42PARTAGES

3  0 
En découvrant qui attaque leur entreprise et dans quel but, les équipes de sécurité peuvent rapidement mettre au point un plan d'intervention adapté pour contrer la menace. Cependant, identifier l’organisation derrière toute attaque est une tâche difficile, qui nécessite non seulement une grande quantité de renseignements sur la menace (Threat Intelligence), mais aussi les compétences nécessaires pour les interpréter. Pour automatiser la classification et l'identification des logiciels malveillants les plus sophistiqués, Kaspersky présente son nouveau moteur d’attribution des menaces, Kaspersky Threat Attribution Engine.

La solution a été mise au point à partir d'un outil interne utilisé par l'équipe de recherche et d'analyse mondiale (le GReAT, pour Global Research and Analysis Team) de Kaspersky. Le moteur d'attribution des menaces de Kaspersky a été, entres autres, utilisé dans le cadre d’enquêtes sur le malware iOS LightSpy ainsi que les campagnes TajMahal, ShadowHammer, ShadowPad ou encore Dtrack.

Bonne nouvelle : le GReAT proposera une démonstration de cet outil lors de sa première session de « GReAT talks » qui se déroulera le 17 juin, à 16h.


Comparer chaque nouveau code malveillant aux 60 000 référencés par Kaspersky

Afin de déterminer si une menace est liée à un groupe ou une campagne APT connue et pour permettre son identification, le moteur d'attribution des menaces de Kaspersky décompose automatiquement les codes binaires de chaque nouveau malware détecté. Par la suite, ces échantillons sont comparés avec ceux enregistrés dans la base de données de Kaspersky, laquelle compte plus de 60 000 fichiers liés à l'APT. Pour affiner la détection et donc déterminer l’auteur de l’attaque, la solution intègre également une importante base de données de fichiers whitelisted (liste blanche filtrée). Cette configuration permet d’augmenter considérablement la qualité d’identification des logiciels malveillants et des attaques, pour faciliter la mise en place d’une réponse à chaque incident.

En fonction des similitudes entre le fichier analysé et les échantillons contenus dans la base de données, Kaspersky Threat Attribution Engine détermine son score de réputation. Il met également en évidence son origine ainsi que l’auteur potentiel, au travers d’un court résumé de l’analyse présentant des liens vers des ressources privées et publiques, ainsi que les campagnes précédentes pouvant être reliées à l’échantillon analysé. Les entreprises qui font appel à Kaspersky APT Intelligence Reporting peuvent notamment accéder à un rapport dédié aux tactiques, techniques et procédures utilisées par l'acteur de la menace en question, ainsi que les potentielles réponses à l’attaque.

Une solution on premise à enrichir selon ses propres analyses et découvertes

Kaspersky Threat Attribution Engine est conçu pour être déployé au sein du réseau de l’entreprise, « sur site » (on premise), plutôt que dans un environnement cloud tiers. Cela offre notamment plus de contrôle à l’entreprise sur le partage de données confidentielles et sensibles en son sein.

En complément de la base de données de Threat Intelligence clé en main proposée par Kaspersky, les entreprises peuvent également créer leur propre base de données et la compléter par des échantillons de logiciels malveillants identifiés à l’aide de leurs analystes internes. De cette façon, la solution apprend à identifier le créateur des logiciels malveillants analogues à ceux de la base de données de l’entreprise, tout en assurant la confidentialité de ces informations.

« Il y a plusieurs façons d’attribuer une attaque. Par exemple, les analystes peuvent s'appuyer sur les artefacts du malware, qui peuvent permettre de déterminer la langue maternelle des auteurs, ou les adresses IP suggérant leur localisation. Toutefois, comme cela a été vu dans de nombreux cas, ces données peuvent aisément être manipulées par un cybercriminel habile dans le but de freiner l’enquête voire d’empêcher sa résolution. Notre expérience montre que le meilleur moyen est de rechercher un code partagé entre les échantillons et d’autres déjà identifiés lors d'incidents ou de campagnes précédentes. Malheureusement, une telle enquête, réalisée individuellement et sans automatisation peut prendre des jours, voire des mois aux analystes. Pour accélérer cette analyse, nous avons créé Kaspersky Threat Attribution Engine, désormais disponible aux services de sécurité de chaque entreprise », commente Costin Raiu, directeur de l'équipe de recherche et d'analyse globale (GReAT) de Kaspersky.


Découvrez Kaspersky Threat Attribution Engine
Malware iOS LightSpy
Projet TajMahal - un nouveau framework sophistiqué pour l'APT
Opération ShadowHammer
ShadowPad dans les réseaux d'entreprises
Dtrack

Inscrivez-vous pour le « GReAT talks », le 17 juin, à 16h.

A propos de Kaspersky

Kaspersky est une société internationale de cybersécurité fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 250 000 entreprises à protéger ce qui compte le plus pour eux.

Source : Kaspersky

Une erreur dans cette actualité ? Signalez-nous-la !