Kaspersky étend les services gratuits de son Threat Intelligence Portal avec une carte cyber et davantage de données sur la menace
octobre 2022 par Marc Jacob
Le Threat Intelligence Portal de Kaspersky étend ses services gratuits pour aider les entreprises à accélérer et améliorer l’analyse des menaces cyber les concernant. Parmi les nouveautés, la « Cybermap » permet de visualiser la distribution des différents types de cyberattaques dans le monde et montre les principales menaces par zone géographique en temps-réel. L’onglet « Lookup » a été mis à jour et fournit dorénavant plus de données sur l’analyse des adresses IP, des noms de domaines et des URLs. Les utilisateurs qui automatisent leurs flux par l’API RESTful peuvent à présent suivre 10 fois plus de projets avec un quota étendu de 200 à 2000 requêtes par jour.
Selon une étude récente, pour les entreprises, la threat intelligence est l’outil au cœur de la gestion des vulnérabilités (68%), des opérations de sécurité (66%) et de la réponse à incidents (62%). Les analystes en cybersécurité et les équipes SOC l’utilisent pour prendre des décisions plus renseignées, et en temps voulu en cas de cyberattaques. L’objectif du Threat Intelligence Portal de Kaspersky est de responsabiliser les spécialistes en leur offrant les données sur la menace les plus précises possibles.
Avec la « Cybermap » (carte cyber), les analystes en cybersécurité peuvent évaluer rapidement l’échelle et la distribution des menaces à travers le monde, y compris les ransomwares, les exploits, les menaces web, les spams, les attaques réseaux etc. Pour chaque type de menace, ils peuvent choisir de filtrer les résultats pour une période spécifique, et connaître les 10 principaux pays-cibles pour chaque objet malveillant, ainsi que les 10 principaux échantillons. La carte leur permet ainsi de se renseigner sur les menaces les plus actives et le nombre de détection par pays.
Kaspersky Cybermap.jpeg
Les capacités de l’option « Lookup » (observations) ont également été étendues pour supporter des catégories supplémentaires pour l’analyse des adresses IP, des noms de domaines et des URLs afin de donner plus de détails aux experts sur les communications suspectes. Pour les adresses IP, il existe de nouvelles catégories : « Spam » et « Compromise ». Les IPs marquées par le statut « Spam » sont celles ayant été utilisées pour envoyer des emails de spam.
Les adresses IP, noms de domaines ou URLs entrées dans la catégorie « Compromise » sont généralement légitimes, mais infectés ou compromis au moment de la requête. Il peut s’agir par exemple de pages web populaires dans le script desquelles des agents malveillants ont injecté un malware. Sur la base de cette catégorisation, les analystes peuvent vérifier qui, au sein de leur organisation, a visité cette page compromise, et utiliser ces données pour une investigation sur incident.
L’augmentation du quota dans le Threat Lookup pour l’API RESTful permet aux équipes SOC d’automatiser l’analyse d’une base conséquente d’adresses web, de domaines, d’adresses IP, de hashs. En intégrant les données sur la menace dans leur SIEM, SOAR, XDR ou autre système de gestion de la sécurité, ils peuvent ainsi accélérer leurs procédures d’investigation et de réponses.