Connexion
Kaspersky a dévoilé lundi sa nouvelle solution de Threat Intelligence, conçue pour aider les intervenants et analystes des SOC à attribuer les échantillons de malwares détectés à des groupes APT (Advanced Persistent Threat) déjà identifiés.
"Kaspersky Threat Attribution Engine" compare, en effet, tout nouveau code malveillant découvert à ceux référencés dans l'une des plus grandes bases de données du secteur et, en fonction des similitudes, le relie à un groupe ou une campagne APT spécifique. Ces informations aident les experts en sécurité à hiérarchiser les menaces à haut risque par rapport aux incidents moins graves.
En découvrant qui attaque leur entreprise et dans quel but, les équipes de sécurité peuvent rapidement mettre au point un plan d'intervention adapté pour contrer la menace. Cependant, identifier l’organisation derrière toute attaque est une tâche difficile, qui nécessite non seulement une grande quantité de renseignements sur la menace (Threat Intelligence), mais aussi les compétences nécessaires pour les interpréter.
"Notre expérience montre que le meilleur moyen pour attribuer une attaque est de rechercher un code partagé entre les échantillons et d’autres déjà identifiés lors d'incidents ou de campagnes précédentes. Malheureusement, une telle enquête, réalisée individuellement et sans automatisation peut prendre des jours, voire des mois aux analystes. Pour accélérer cette analyse, nous avons créé Kaspersky Threat Attribution Engine, désormais disponible aux services de sécurité de chaque entreprise", explique Costin Raiu, directeur de l'équipe de recherche et d'analyse globale (GReAT) de Kaspersky.
En fonction des similitudes entre le fichier analysé et les échantillons contenus dans la base de données, Kaspersky Threat Attribution Engine détermine son score de réputation. Il met également en évidence son origine ainsi que l’auteur potentiel, au travers d’un court résumé de l’analyse présentant des liens vers des ressources privées et publiques, ainsi que les campagnes précédentes pouvant être reliées à l’échantillon analysé. Les entreprises qui font appel à Kaspersky APT Intelligence Reporting peuvent notamment accéder à un rapport dédié aux tactiques, techniques et procédures utilisées par l'acteur de la menace en question, ainsi que les potentielles réponses à l’attaque.
Le moteur d'attribution des menaces de Kaspersky a été, entres autres, utilisé dans le cadre d’enquêtes sur le malware iOS LightSpy, ainsi que les campagnes TajMahal, ShadowHammer, ShadowPad ou encore Dtrack.
