Les êtres humains sont très curieux. C’est dans leur nature d’essayer tout et n’importe quoi sur le « pourquoi du comment ». Et ceci s’applique également à la cybersécurité, doublement, le « pourquoi du comment » des cybermenaces est la base sur laquelle la cybersécurité repose, par conséquent, sur laquelle KL est fondée.
Le « pourquoi du comment » pour nous signifie détruire méticuleusement chaque cyberattaque en ses pièces constitutives respectives, les analyser et, si nécessaire, développer une protection spécifique contre elle. Et c’est toujours mieux de le faire de manière proactive, en se basant sur les erreurs des autres, et ne pas attendre que ce que nous protégeons soit attaqué.
Pour résoudre ce défi de taille, nous disposons d’une série de services de renseignements aux entreprises. Dans cet ensemble d’outils de cyber précision, on trouve la formation du personnel, les renseignements de sécurité afin d’arriver à des informations détaillées sur les attaques découvertes, les services de test d’intrusion d’experts, des audits d’applications, des enquêtes sur les incidents, et plus encore.
Le « et plus encore » inclut en réalité notre nouveau service KTL (Kaspersky Threat Lookup), le microscope intelligent de décorticage des objets suspicieux qui trouve les sources de suivi des cyberattaques, corrélations multivariées, et degrés de danger pour les infrastructures d’entreprise. C’est une espèce de rayons X pour les cybermenaces.
En réalité, tous nos utilisateurs ont la version simplifiée de ce service. Le taux de sécurité d’un fichier peut être également vérifié avec nos produits pour les particuliers, en revanche les clients d’entreprise ont besoin d’une analyse des menaces plus profonde et plus approfondie.
En premier lieu, KTL peut être utilisé non pas seulement pour vérifier des fichiers mais aussi des URL, adresses IP et des domaines. Il peut analyser des objets pour identifier des attaques ciblées, des spécificités comportementales et statistiques, des données WHOIS/DNS, des attributs de dossier, des chaînes de téléchargement et autres.
Oui, c’est comme une sorte de moteur de recherche mais uniquement dédié aux cybermenaces. Le personnel dévoué n’a besoin que d’y saisir des détails d’un certain objet suspicieux et KTL fournira des informations complètes, y compris des données géographiques, historiques et d’autres aspects, ainsi que des connexions avec d’autres évènements et objets. Le tout en temps réel, 24/7.
Les résultats, les objets suspicieux et autres indicateurs de compromis peuvent être exportés dans des formats de partage lisibles par machine (STIX, OpenIOC, JSON, Yara, Snort, CSV…) pour l’intégration des informations sur la sécurité et gestion des événements d’entreprise (SIEM).
Par conséquent, où KTL puise-t-il toutes ses données ? Il y a plusieurs sources.
Premièrement, il y a notre KSN basé sur le cloud, qui comporte des signaux anonymes sur la situation épidémiologique de milliers de millions d’utilisateurs à travers le monde. En l’utilisant, les clients non seulement s’occupent d’eux-mêmes (la participation au KSN augmente automatiquement la qualité de la protection), mais aussi contribuent à remplir une importante mission humanitaire : s’occuper des autres également, et en faisant ceci ils réduisent le niveau global des cybermenaces sur Internet.
Deuxièmement, nous disposons d’une technologie qui analyse l’activité du réseau, y compris les trams de spams, la surveillance des botnets, les robots d’indexation, différents capteurs en réseau, et des robots intelligents alimentés par l’apprentissage automatique. Et bien sûr il y a les résultats des enquêtes des attaques ciblées complexes par les cyber-ninjas de l’Equipe internationale de recherche et d’analyse (GReAT).
Troisièmement, il y a nos développeurs de logiciels partenaires. A propos, le rôle de ces derniers va évoluer au fil du temps, pour finir par être prédominant. Eh oui, nous avons de grands projets pour l’avenir, mais je ne vais pas entrer dans les détails maintenant.
A présent, un peu plus sur nos projets futurs…
Nous sommes actuellement en train de travailler sur l’ajout de fonctions d’analyse d’objets suspicieux sur KTL dans un environnement sécurisé – une sandbox sur le Cloud.
Par exemple, un fichier est placé dans la sandbox et fonctionne sur une machine virtuelle spéciale (avec un système d’exploitation breveté). Les machines virtuelles sont complètement isolées les unes des autres et des réseaux internes, et possèdent également une connectivité externe limitée. Les machines virtuelles sont identiques aux ordinateurs physiques de sorte que les objets se sentent en sécurité de le faire somme s’ils le faisaient dans le monde réel. Les machines notent ensuite toutes les actions accomplies par un objet d’exécution (tout comme notre protection KATA contre les attaques ciblées). Tous les résultats sont compilés dans un rapport détaillé, ici on voit comment le fichier aurait réagi s’il avait été dans une situation réelle, un contrôle de l’étendue du comportement de la menace est également donné.
Il existe également des outils utiles pour travailler avec des fichiers de métadonnées et des URL. Sur des versions à venir, sera ajoutée la capacité d’extraire différentes métadonnées et faire des recherches personnalisées dans ces métadonnées. Ainsi, il sera possible de conduire des investigations profondes de malwares basées sur des similarités par le biais de paramètres variés afin de comprendre le portrait global d’attaques sophistiquées. Par exemple, à l’aide de cet outil, il sera possible de lui demander de « trouver des fichiers pour telle ou telle chose ou avec tel nom, ou qui sont détectés par tel ou tel verdict d’un antivirus ou en fonction de son code de telle ou telle ligne ».
Donc, comme vous pouvez le voir, nous disposons de rayons X multi fonctions en développement, mais certaines de ces fonctionnalités peuvent déjà être utilisées (vous pourriez par conséquent recommander de nouvelles fonctionnalités :)).
Plus de détails concernant KTL ici.