Rapports de veille des menaces
Forrester : FireEye nommé leader de l'External Threat Intelligence
« Threat Intelligence » est devenu l'un des termes les plus galvaudés de la cybersécurité. Chaque prestataire y va de sa promesse d'une solution miracle à vos problèmes de sécurité. Face à une telle cacophonie, il est difficile de savoir vers qui se tourner.
Pour aider les entreprises à faire le point sur les offres de services de Threat Intelligence du marché, Forrester vient de publier son rapport de recherche :The Forrester New Wave™ : External Threat Intelligence Services (3ème trimestre 2018)..
AForrester a évalué 15 entreprises sur la base de 10 critères. Résultat : FireEye s'impose comme le leader :
- « Leader par ses capacités de capture de l'information. Il est important de ne pas dissocier iSight Partners et Mandiant de FireEye. Ensemble, ils ont mis au point une threat intelligence conjuguant analyse forensique, intelligence humaine et réseau de capteurs ».
- « C'est la meilleure option pour les entreprises à la recherche d'une solution tout-en-un ».
Plus d'infos sur la Cyber Threat Intelligence signée FireEye.
Cyberveille sur les groupes spécialisés dans les attaques avancées et les vulnérabilités technologiques
FireEye publie régulièrement des rapports de veille qui décrivent les membres de groupes APT (Advanced Persistent Threat), leurs modes opératoires et les moyens de reconnaître leurs outils, tactiques et procédures. Ces rapports se penchent également sur les vulnérabilités de technologies d'entreprise spécifiques, notamment la messagerie électronique, les environnements sandbox et les terminaux mobiles. Grâce à ces informations détaillées, les experts en cybersécurité sont en mesure de renforcer les mécanismes de défense contre ces groupes APT et leurs cyberattaques avancées.
APT28: au cœur de la polémique
Le cyberespionnage russe ne cesse de faire parler de lui à l’heure où ses services semblent impliqués dans un certain nombre d’affaires très sensibles, y compris lors de la campagne présidentielle américaine de 2016.
Le choix des cibles : L'analyse Web pour le repérage de victimes
Comment les attaquants exploitent des outils d'analyse Web et open source pour le suivi et le profilage des victimes potentielles afin d'infecter leurs ordinateurs à l'aide de malwares ciblés.
HAMMERTOSS : Un groupe de cyberpirates russe appose sa griffe sur des tactiques d'attaque furtives
Découvrez HAMMERTOSS, un malware de type backdoor récemment mis au jour et attribué au groupe APT russe APT29.
Cyberveille : recherche indépendante
- Étude 2015 sur la préparation aux compromissions de sécurité et l'intervention sur incidents Comment les attaquants exploitent des outils d'analyse Web et open source pour le suivi et le profilage des victimes potentielles afin d'infecter leurs ordinateurs à l'aide de malwares ciblés.
- Assez ou trop ? Quand le volume d'alertes devient ingérable Enquête mondiale réalisée auprès de responsables de la sécurité de grandes entreprises sur le thème de la gestion de gros volumes d'alertes de sécurité.
- Étude de l'agence IANS : Mieux budgétiser la détection et la prévention des menaces avancée Enquête sur la façon dont les équipes de sécurité tentent d'influencer l'allocation des budgets au profit de solutions de sécurité avancées dans leur entreprise.
- Definitive Guide™ de la protection contre les menaces de nouvelle générationGuide complet sur les cyberattaques d'un nouveau genre et solutions de nouvelle génération pour combler les failles dans les défenses réseau des entreprises.
- Étude Forrester : Déterminer la valeur métier d'un programme de sécurité efficaceRapport sur le modèle de calcul de la valeur de la sécurité informatique dans une optique de présentation des résultats aux dirigeants.
- Étude Forrester : Prévoir l'échecRapport présentant les éléments d'un plan d'intervention sur incidents réfléchi et correctement mis en œuvre, notamment la dotation en personnel, la formation et les tests.
- Étude 2013 du SANS Institute sur les commandes de sécurité stratégiques : de la prise de conscience aux mesures concrètesRésultats d'une étude portant sur la sensibilisation aux contrôles de sécurité stratégiques et leur utilisation.
- Étude 2013 du SANS Institute sur l'analyse forensique et l'intervention sur incidentsRésultats d'une étude sur les problèmes du cloud et du BYOD, ainsi que sur la façon de mieux se préparer aux analyses forensiques dans les nouveaux environnements informatiques.
- Étude de l'agence IANS sur la sensibilisation aux violations de donnéesRapport mettant en lumière l'inadéquation des systèmes traditionnels de protection informatique au sein des grandes entreprises.
Cyberveille : groupes d'attaque
- HAMMERTOSS : un groupe de cyberpirates russe appose sa griffe sur des tactiques d'attaque furtives Analyse de l'historique, des cibles et du mode opératoire du groupe russe APT29, auteur du fameux HAMMERTOSS, un backdoor particulièrement difficile à repérer.
- Plongée dans le milieu nigérian de l'escroquerie en ligne Analyse détaillée d'une arnaque orchestrée depuis le Nigeria, avec un gros plan sur ses cibles, son organisation, les tactiques, les outils et l'expertise mis en œuvre, mais aussi et surtout des conseils pour éviter de se faire extorquer des milliers d'euros.
- APT17 : caché à la vue de tous – FireEye et Microsoft mettent au jour une tactique de dissimulation Le point sur le groupe chinois APT17 et son exploitation du blog TechNet de Microsoft pour ses activités de commande et de contrôle (CnC).
- APT30 : les rouages d'une opération de cyberespionnage longue de dix ans Étude consacrée au groupe APT30 et à sa grande cyberoffensive contre des administrations et des entreprises dans le but d'obtenir des renseignements stratégiques d'ordre politique, économique et militaire.
- APT1 : une cellule de cyberespionnage chinoise mise à nu Portrait d'APT1, un groupe responsable de campagnes de cyberespionnage à l'encontre de cibles très diverses depuis au moins 2006.
- APT1 : annexe et indicateurs numériques Étude répertoriant plus de 3 000 indicateurs du groupe APT1, notamment des noms de domaine, des adresses IP, des certifications de cryptage X.509 et des hachages MD5 de malwares appartenant à l'arsenal numérique d'APT1.
- Derrière les lignes de front numériques du conflit syrien Rapport relatant l'acte de piratage mené de main de maître pour dérober aux forces d'opposition syriennes des communications et des plans secrets.
- Piratage à Wall Street ? FIN4 joue en bourse Le groupe FIN4 prend pour cible plus de 100 cabinets de conseil et sociétés cotées en bourse. Découvrez les secteurs visés, les techniques employées et bien plus encore.
- APT28 : une fenêtre ouverte sur le cyberespionnage russe ? Rapport qui montre comment un groupe d'attaque russe convoite les informations privilégiées d'instances gouvernementales, militaires et sécuritaires.
- Opération Saffron Rose Analyse de plusieurs opérations de cyberespionnage contre des complexes militaro-industriels américains et des dissidents iraniens.
- Opération “Ke3chang”: attaques ciblées contre des ministères européens des Affaires étrangères Analyse des attaques ciblées perpétrées par le collectif “Ke3chang” contre des ministères européens des Affaires étrangères.
- Analyse d'une chaîne logistique : de Quartermaster à Sunshop Examen de onze campagnes de menaces APT sans lien apparent mais qui, après enquête, ont pourtant révélé des caractéristiques communes évoquant la possibilité d'une infrastructure logistique partagée.
Cyberveille : technologies
- Le choix des cibles : L'analyse Web pour le repérage de victimes Comment les attaquants modifient les sites Web et redirigent les visiteurs vers un script de profilage appelé WITCHCOVEN.
- SYNful Knock: Un implant Cisco Analyse de l'utilisation des routeurs Cisco par les attaquants pour s'implanter au sein du réseau et compromettre les données.
- Windows Management Instrumentation (WMI) — Attaque, défense et forensique Analyse approfondie d'attaques utilisant Windows Management Instrumentation (WMI) et explications sur la manière dont les responsables de la sécurité du réseau doivent agir pour les détecter et les neutraliser.
- Rapport sur les menaces pour l'environnement mobile Examen de divers aspects des principales menaces pour les terminaux mobiles, en particulier les malwares ciblés, les adwares et les applications légitimes présentant d'importantes vulnérabilités.
- Simple comme bonjour : le contournement des sandbox d'exécution de fichiers Tour d'horizon des techniques utilisées pour échapper aux sandbox d'exécution de fichiers vendus dans le commerce.
- Le filtrage des données Java, un lot quotidien Rapport qui examine les mécanismes internes de trois vulnérabilités Java couramment exploitées, leurs comportements et les infections que les kits d'exploits y injectent.
- Analyse des attaques par PowerShell Rapport qui se penche sur l'analyse forensique et les contrôles de sécurité Windows conçus pour limiter l'utilisation malveillante de PowerShell, avant d'évoquer l'hypothèse des auteurs quant aux niveaux d'accès par les pirates.
- À la recherche de traces numériques : sept indices pour identifier l'auteur d'une cyberattaque Comment faire parler les traces laissées par les attaquants.
- Léviathan : communications de commande et de contrôle dans le monde Analyse des rappels de malwares de commande et de contrôle (CnC) effectués en première phase chez des clients FireEye à travers le monde.
- Attaque ciblée de Sidewinder contre Android à l'âge d'or des bibliothèques publicitaires Rapport décortiquant le schéma d'attaque ciblée Sidewinder, qui permet aux cybercriminels de prendre le contrôle des appareils Android pour localiser l'utilisateur, prendre des photos, envoyer des SMS, etc. via les bibliothèques publicitaires sous-jacentes aux applications Android.
- Chargement latéral de fichiers DLL, la bête noire du marché des logiciels antivirus Décryptage d'une méthode d'attaque répandue et solutions de prévention de l'exploitation des fichiers légitimes.
- Analyse de quatre vulnérabilités Java couramment exploitées Analyse des mécanismes internes des quatre vulnérabilités Java les plus couramment exploitées.
- Petit mais costaud : détecter et neutraliser le shell Web China Chopper Étude des caractéristiques qui font du shell Web « China Chopper » un outil très apprécié des cyberpirates et recommandations pour mieux le détecter.
- Poison Ivy : évaluation des dommages et enseignements tirés Étude de Poison Ivy, un outil d'administration à distance (RAT) toujours en activité, et de Calamine, une boîte à outils gratuite permettant de détecter les infections par Poison Ivy.
- Les principaux termes employés dans les attaques de spear phishing Analyse de la nature des fichiers utilisés par les cybercriminels pour contourner les systèmes de protection traditionnels.