ThreatQuotient et SEKOIA se rapprochent pour mieux anticiper la menace cyber
février 2021 par Marc Jacob
ThreatQuotient et SEKOIA annoncent une intégration technologique avec la disponibilité du connecteur SEKOIA.IO sur la plateforme ThreatQ.
Depuis 2016, les deux spécialistes de la Threat Intelligence, ont une approche fondamentale similaire : leur objectif commun est d’aider les entreprises dans leur stratégie de CTI pour leur permettre d’exploiter un renseignement contextualisé. C’est chose faite en ce début d’année 2021 avec la possibilité pour les infrastructures critiques et les SOCs européens, de disposer d’une base de renseignements (marqueurs, indicateurs de compromissions et TTPs) locaux.
SEKOIA dispose d’une équipe interne d’une dizaine d’analystes en charge d’investigations manuelles, d’analyse du contexte et de la création de nouveaux trackers. SEKOIA apporte un focus européen sur le renseignement de la menace cyber hautement qualifié pour les infrastructures critiques et OIV (opérateur d’importance vitale) adressés par ThreatQuotient.
La structure de données de SEKOIA présente les activités des groupes cybercriminels sous de multiples facettes. Cela offre à la fois la capacité d’anticiper et d’opérationnaliser la chaîne cyber dans ThreatQ aux responsables de SOCs ou directeurs de CERTs et de disposer de renseignements stratégiques pour aider les équipes de management dans la prise de décisions.
Une vision stratégique de la CTI permettant une anticipation réelle
Une représentation simplifiée de la force du feed SEKOIA.IO résiderait dans une image, celle d’un tracker GPS placé sous une voiture : les équipes de SEKOIA suivent les moindres mouvements des groupes d’attaquants à mesure qu’ils avancent et qu’ils créent leurs empreintes sur internet ce qui permet une capture en temps réel de leurs mouvements. Cette information récoltée est ensuite distribuée dans le feed accessible pour les clients de ThreatQuotient, qui devient un outil tout-en-un répertoriant à la fois des indicateurs techniques et opérationnels.
La particularité de ce feed est qu’il permet à des profils analystes comme managériaux de pouvoir consommer la threat intelligence avec leurs objectifs propres. Si les acteurs savent opérationnaliser leurs renseignements, ils peuvent aller jusqu’à se protéger avant même que ces points d’indicateurs ne deviennent des concrétisations de menaces.