Kaspersky Attribution Engine : une solution pour comparer les nouveaux codes malveillants à ceux des principaux groupes APT
juin 2020 par Marc Jacob
Kaspersky dévoile sa nouvelle solution de Threat Intelligence, conçue pour aider les intervenants et analystes des SOC à attribuer les échantillons de malwares détectés à des groupes APT déjà identifiés. Grâce à sa méthode unique et brevetée, Kaspersky Threat Attribution Engine compare tout nouveau code malveillant découvert à ceux référencés dans l’une des plus grandes bases de données du secteur et, en fonction des similitudes, le relie à un groupe ou une campagne APT spécifique. Ces informations aident les experts en sécurité à hiérarchiser les menaces à haut risque par rapport aux incidents moins graves.
En découvrant qui attaque leur entreprise et dans quel but, les équipes de sécurité peuvent rapidement mettre au point un plan d’intervention adapté pour contrer la menace. Cependant, identifier l’organisation derrière toute attaque est une tâche difficile, qui nécessite non seulement une grande quantité de renseignements sur la menace (Threat Intelligence), mais aussi les compétences nécessaires pour les interpréter. Pour automatiser la classification et l’identification des logiciels malveillants les plus sophistiqués, Kaspersky présente son nouveau moteur d’attribution des menaces, Kaspersky Threat Attribution Engine.
La solution a été mise au point à partir d’un outil interne utilisé par l’équipe de recherche et d’analyse mondiale (le GReAT, pour Global Research and Analysis Team) de Kaspersky. Le moteur d’attribution des menaces de Kaspersky a été, entres autres, utilisé dans le cadre d’enquêtes sur le malware iOS LightSpy ainsi que les campagnes TajMahal, ShadowHammer, ShadowPad ou encore Dtrack.
Comparer chaque nouveau code malveillant aux 60 000 référencés par Kaspersky
Afin de déterminer si une menace est liée à un groupe ou une campagne APT connue et pour permettre son identification, le moteur d’attribution des menaces de Kaspersky décompose automatiquement les codes binaires de chaque nouveau malware détecté. Par la suite, ces échantillons sont comparés avec ceux enregistrés dans la base de données de Kaspersky, laquelle compte plus de 60 000 fichiers liés à l’APT. Pour affiner la détection et donc déterminer l’auteur de l’attaque, la solution intègre également une importante base de données de fichiers whitelisted (liste blanche filtrée). Cette configuration permet d’augmenter considérablement la qualité d’identification des logiciels malveillants et des attaques, pour faciliter la mise en place d’une réponse à chaque incident.
En fonction des similitudes entre le fichier analysé et les échantillons contenus dans la base de données, Kaspersky Threat Attribution Engine détermine son score de réputation. Il met également en évidence son origine ainsi que l’auteur potentiel, au travers d’un court résumé de l’analyse présentant des liens vers des ressources privées et publiques, ainsi que les campagnes précédentes pouvant être reliées à l’échantillon analysé. Les entreprises qui font appel à Kaspersky APT Intelligence Reporting peuvent notamment accéder à un rapport dédié aux tactiques, techniques et procédures utilisées par l’acteur de la menace en question, ainsi que les potentielles réponses à l’attaque.
Une solution on premise à enrichir selon ses propres analyses et découvertes
Kaspersky Threat Attribution Engine est conçu pour être déployé au sein du réseau de l’entreprise, « sur site » (on premise), plutôt que dans un environnement cloud tiers. Cela offre notamment plus de contrôle à l’entreprise sur le partage de données confidentielles et sensibles en son sein.
En complément de la base de données de Threat Intelligence clé en main proposée par Kaspersky, les entreprises peuvent également créer leur propre base de données et la compléter par des échantillons de logiciels malveillants identifiés à l’aide de leurs analystes internes. De cette façon, la solution apprend à identifier le créateur des logiciels malveillants analogues à ceux de la base de données de l’entreprise, tout en assurant la confidentialité de ces informations.
Kaspersky Threat Attribution Engine est désormais disponible dans le monde entier.