L'étude des menaces cyber
Nous mettons un point d'honneur à fournir une protection efficace contre les menaces cyber qui pèsent sur les entreprises. Cela se traduit par une équipe dédiée, le Stormshield Customer Security Lab. Notre équipe de Cyber Threat Intelligence remplit deux missions principales : étudier les menaces cyber pour les comprendre et améliorer en continu les protections des produits de Stormshield. Le tout, dans l’optique de contribuer à l’effort de la communauté de la cybersécurité pour faire face aux menaces cyber.
Pour une amélioration continue de nos protections
Pour enrichir notre connaissance des IoC, cette équipe de Cyber Threat Intelligence s’appuie sur les grandes quantités d'informations fournies par nos propres solutions UTM, EDR et de sandboxing, couplées à des sources de données externes. En ligne de mire, l’objectif continu de sécurisation des solutions Stormshield et une place centrale de la CTI dans l'approche d'eXtended Detection & Response (XDR).
Et avec notre portail de Sécurité Produit, nous poursuivons également une mission d’information auprès de nos partenaires et clients quant à l'état de la menace cyber dans le monde. Identifier si une adresse IP est présente dans nos bases d’IP réputation, retrouver les protections existantes sur nos produits (signatures SNS comme règles SES) ou encore accéder à la liste des CVE détectées par notre module de Vulnerability Management ; autant d’informations de sécurité ouvertes à tous.
Une équipe dédiée à la Threat Intel
L’analyse approfondie des technologies et mécanismes exploités par les cyber-criminels fait partie du quotidien de notre équipe de Cyber Threat Intelligence : le Stormshield Customer Security Lab.
Une question à leur poser sur des TTP (tactiques, techniques et procédures) ? sur une attaque avancée (Advanced Persistent Threat - APT) ? sur d'autres termes de CTI ? Un incident à remonter ? Les membres de notre équipe de Cyber Threat Intelligence sont à votre disposition.
Des postes cyber à pourvoir. De nouveaux profils viennent régulièrement enrichir notre équipe de Cyber Threat Intelligence. Expert cyber, consultants dédiés et autres profils en tout genre, vous êtes à la recherche d’une nouvelle aventure en cybersécurité ? Jetez un œil à nos postes ouverts et postulez.
Alertes de sécurité et billets techniques
Notre équipe de Cyber Threat Intelligence s’intéresse également de très près à l’approche technique de la cybersécurité.
Les mains plongées dans le code, nos experts en cybersécurité s’attaquent au mécanisme des malwares et livrent leur analyse de haut niveau, parfois en avant-première. Des contenus techniques pour lecteurs avertis.
Une doute sur un fichier ?
Vous n’avez pas vraiment confiance dans le dernier e-mail que vous avez reçu ? Et encore moins dans la pièce-jointe qui l’accompagne ? Testez-le avec Breach Fighter. À travers un portail en accès libre, cet outil de recherche détecte les éventuels comportements malveillants. Ce service de détection de malware est une partie intégrante de notre solution de sandboxing Breach Fighter. Une solution basée sur l’analyse comportementale issue de notre produit Stormshield Endpoint Security et des recherches de notre équipe de Cyber Threat Intelligence. Breach Fighter peut ainsi analyser et détecter des comportements malveillants dans des e-mails contenant des pièces-jointes et dans des fichiers de type Microsoft Office, PDF, fichiers JAR et Java, scripts (Powershell, Jscript…), fichiers exécutables Windows, ou encore des archives (ZIP, RAR, 7zip…).
C'est quoi la CTI ?
La CTI est l'activité consistant à recueillir des informations pour connaître les tendances en matière de cyber-menaces et fournir des informations exploitables. Une activité de Cyber Threat Intelligence qui peut prendre plusieurs formes.
- CTI Stratégique : un aperçu haut niveau du paysage de la menace, sur les aspects géographiques, politiques et commerciaux à l'intention des décideurs non techniques.
- CTI Tactique : un accent mis sur les approches, méthodes et outils utilisés par les groupes de cyber-attaquants.
- CTI Opérationnelle : une approche en temps réel sur les nouveautés, au niveau des logiciels, méthodes d'attaque ou encore acteurs de la menace cyber.
- CTI Technique : une analyse approfondie des caractéristiques techniques des vulnérabilités, logiciels malveillants et méthodes d'attaque à l'intention des SOC et autres équipes d'intervention.
C'est quoi un IoC ?
Un IoC est un marqueur, un élément technique issu d'un incident de sécurité. Cet indicateur de compromission (Indicator of Compromise) peut prendre plusieurs formes : signatures de fichiers (file hash, malware hash), URL, domaines, DNS, IP malveillantes, clés de registre... Ces indicateurs, ou renseignements cyber, servent autant en détection de la menace, en analyse et recherche (Threat Hunting) qu'en contextualisation d'événement (pour pouvoir attribuer les cyberattaques par exemple).
Dans les faits, ce terme d'IoC englobe généralement les IoA (Indicator of Attack, indicateurs d'attaque). Ces autres indicateurs sont eux liés à des cyberattaques en cours et utilisés dans les solutions de sécurité pour détecter et bloquer en temps réel.
La nécessaire durée de vie des IoC. La menace cyber évolue ; face aux risques de faux positifs et de surcharge de bases de données des IoC, c'est le cycle de vie des marqueurs qui permettra l'efficacité des solutions de Detection & Response. Un IoC possède donc une date de découverte, un statut actuel ainsi qu'une date de validité.