La cybersécurité pourrait aussi bien avoir sa propre langue. Il y a tellement d’acronymes, de termes, de paroles que les professionnels de la cybersécurité et les acteurs de menace utilisent tous les deux qu’à moins que vous ne soyez profondément bien informé, que vous ayez une expérience dans le domaine de la sécurité ou que vous ayez un vif intérêt, on ne peut pas savoir. La compréhension de ce que signifient ces acronymes et termes est la première étape pour développer une compréhension approfondie de la cybersécurité et, à son tour, mieux vous protéger, les clients et les employés.
Dans cette série de blogs, nous visons à expliquer et à simplifier certains des termes les plus couramment utilisés. Auparavant, nous avons couvert l’hébergement de balles, les CVE, les API, les attaques de force brute, les exploits zéro-jour, le doxing et la récolte de données. Dans cette édition, nous plongeons dans des indicateurs de compromis.
Indicateurs de compromis (CIO) 101
Les indicateurs de compromis (CIO) sont des éléments médico-légaux ou des artefacts trouvés sur un réseau ou un système d’exploitation qui, avec une grande confiance, indiquent une intrusion, une violation ou une activité malveillante potentielles. Considérez-les comme les «empreintes digitales numériques» ou les «indices» laissés par un attaquant et aider la sécurité à déterminer si une attaque a eu lieu.
Les indicateurs de compromis aident les professions de sécurité de plusieurs manières. Ils sont essentiels pour détecter les cyberattaques en cours et passées, même si la violation initiale est passée inaperçue. Une fois un CIO identifié, il sert de guide pour Les équipes de réponse aux incidents, les aidant à comprendre toute la portée, la nature et les méthodes de l’attaque. Cette compréhension leur permet de contenir efficacement la menace, d’éradiquer la présence malveillante et de récupérer des systèmes compromis. En outre, en analysant les CIO des incidents précédents, les organisations peuvent renforcer de manière proactive leurs défenses, mettre à jour des outils de sécurité tels que les pare-feu, les systèmes de détection d’intrusion et les logiciels antivirus pour empêcher des attaques similaires à l’avenir. Enfin, le partage des CIO au sein de la communauté de la cybersécurité est important pour aider d’autres organisations à se défendre contre les mêmes menaces en évolution, en favorisant une défense collective plus forte à travers le paysage numérique et en se tienant à jour avec les derniers TTP (tactiques, techniques et procédures) des acteurs de la menace.
Il est important de distinguer les CIO des indicateurs d’attaque (API). Bien que les CIO vous disent qu’un compromis s’est déjà produit, les IOA se concentrent sur les comportements et les tactiques qui suggèrent qu’une attaque est actuellement en cours ou sur le point de se produire. Les deux sont cruciaux pour une stratégie complète de cybersécurité. Nous plongerons dans des IOAs dans un prochain blog.
IOC dans la nature
Crowdsstrike IOC Liste
Les données prétendument provenant de CrowdStrike ont été publiées sur BreachForum, un forum de piratage, le 28 juillet 2024. Selon le Post, l’USDOD prétend avoir l’intégralité de la liste du CIO (indicateur du compromis) de CrowdStrike mais n’a publié que les 100 000 premiers records. Les données exposées comprennent des indicateurs, des types de logiciels malveillants, des acteurs, des rapports, des chaînes de tueurs, des dates publiées, des dernières mises à jour et des étiquettes. En savoir plus.
CISA et FBI: les ransomwares fantômes ont violé les organisations dans 70 pays
Le 19 février de cette année, la Cybersecurity & Infrastructure Agency (CISA), le Federal Bureau of Investigation (FBI) et le centre d’information et d’analyse multi-états (MS-ISAC) ont publié des indicateurs de détail des conseils conjoints du compromis (IOC) et des tactiques, des techniques et des procédures (TTPS) associés aux fantômes (Cring). Depuis 2021, les acteurs de la menace utilisant des ransomwares fantômes ont ciblé les organisations dans plus de 70 pays. Les victimes ont inclus des organisations dans une variété de secteurs, notamment des infrastructures critiques, de l’éducation et des soins de santé.
Solaire
Comme cela a été vu lors du piratage de Solarwinds, la surveillance du Darknet pour des discussions malveillantes permet aux organisations de comprendre quand et si elles sont une cible et de se préparer en conséquence. Dans le cas de Solarwinds, nous avons des preuves qu’ils ont été une cible par les pirates depuis plusieurs années. Quelques recherches dans la base de données de Darkowl Vision du contenu DarkNet révèlent des indicateurs potentiels flagrants de compromis qui, lorsqu’ils sont pris au sérieux, auraient pu être mis à profit par leurs clients comme un signal pour se protéger contre ce qui a finalement abouti au piratage dévastateur qui s’est produit cette année.
Darkowl Vision a collecté 98 documents auprès d’un seul marché populaire zéro-jour avec des mentions de vulnérabilités spécifiques à Solarwinds depuis février 2020 (illustré ci-dessous).
Suivi et partage des CIO
Comme partagé ci-dessus, le partage des CIO au sein de la communauté de la cybersécurité est essentiel pour développer des défenses collectives et partager les meilleures pratiques. En gardant à ce jour avec les CIO dans la nature, les organisations peuvent étendre leur compréhension des vecteurs d’attaque actuels, accélérer leur propre réponse des incidents, éviter d’analyser les menaces qui ont déjà été analysées et d’améliorer leur posture de sécurité globale.
Une façon de suivre et de partager les CIO consiste à des conseils (plates-formes de renseignement sur les menaces). Ces plateformes spécialisées sont conçues pour collecter, traiter et diffuser des renseignements sur les menaces cruciales, y compris les CIO, à la communauté au sens large. Pour assurer un partage efficace et interopérable, les CIO sont souvent échangés à l’aide de formats et de protocoles standardisés. Par exemple, STIX (Structured Threat Information Exchange) fournit un langage commun pour représenter et partager l’intelligence de la cyber-menace, englobant non seulement les CIO mais aussi les acteurs de la menace et leurs tactiques. Le protocole Taxii (Trust Automated Automated Exchange of Intelligence Information) facilite ensuite la transmission sécurisée de ces données formatées STIX entre différentes organisations ou plateformes de sécurité.
Au-delà des plateformes spécialisées, de nombreux fournisseurs de cybersécurité, organisations de recherche et agences gouvernementales fournissent des flux de renseignement sur les menaces. Ces flux offrent des mises à jour en temps réel ou en temps réel des CIO directement aux outils de sécurité d’une organisation. Les centres de partage et d’analyse d’informations (ISAC) et les organisations de partage et d’analyse de l’information (ISAOS) jouent également un rôle essentiel. Ces organisations sectorielles ou inter-secteur créent des environnements de confiance pour que leurs membres partagent des informations de menace sensibles, y compris les CIC, et collaborent sur les stratégies de défense. Par exemple, il existe des ISAC dédiés à des secteurs comme la finance, l’énergie et les soins de santé. Les gouvernements contribuent également de manière significative; Beaucoup ont des initiatives gouvernementales pour faciliter le partage des renseignements sur les menaces, comme le partage automatisé des indicateurs de CISA (AIS) aux États-Unis, qui fournit aux agences fédérales et aux partenaires des indicateurs de cyber-menaces lisibles par machine.
Enfin, la recherche en sécurité et les communautés open source plus larges sont des contributeurs inestimables. Des chercheurs indépendants en matière de sécurité, des pirates éthiques et des projets open source découvrent et publient fréquemment des CIO via divers canaux tels que des blogs, des forums en ligne, des référentiels GitHub et des sites Web spécialisés.
Présentation du produit: API de l’entité
L’API de l’entité permet l’identification et la contextualisation d’entités spécifiques, telles que les adresses e-mail, les adresses IP et les domaines – dans les données DarkNet de Darkowl. Cet outil est inestimable pour les intervenants incidents et les chasseurs de menaces cherchant à corréler les indicateurs de compromis (CIO) et à évaluer les menaces potentielles.
Les enquêteurs peuvent rassembler des CIO à partir de sources Web sombres et les relier à des acteurs ou des campagnes de menace. Cela aide à profilir les activités, les tactiques et les techniques des adversaires, permettant des évaluations proactives de la chasse aux menaces et de la vulnérabilité.
E-mails et domaines
L’adresse e-mail et les points de terminaison du domaine vous permettent de demander toutes les informations exposées relatives à une seule adresse e-mail ou à un domaine e-mail. Par exemple, vous pouvez demander une liste de tous les e-mails appartenant à un domaine particulier, ou voir si une adresse e-mail spécifique a été exposée avec un mot de passe haché ou en texte clair (s’il est détecté).
Cartes de crédit et poubelle
Les points de terminaison de la carte de crédit et de l’identification bancaire (BIN) vous permettent de demander des informations relatives à un seul numéro de carte de crédit ou à un bac. Par exemple, les utilisateurs finaux peuvent interroger toutes les cartes de crédit appartenant à un bac spécifique qui n’a pas expiré ou à la source URL des pages sur lesquelles une carte de crédit spécifique a été publiée.
Adresses de crypto-monnaie
Adresse de crypto-monnaie Les points de terminaison vous permettent de voir si des adresses de crypto-monnaie spécifiques ont été exposées. L’exemple de réponse comprend: un fragment de texte contextuel fourni à partir du document source d’origine.
Adresses IP
Les points de terminaison de l’adresse IP vous permettent de demander des informations relatives à une seule adresse IP. Par exemple, les utilisateurs finaux peuvent tirer parti des paramètres de recherche pour trouver: si une adresse IP spécifique a été publiée sur les forums DarkNet.
L’un des cas d’utilisation les plus répandus pour une compréhension des données de Darkowl est la récente augmentation persistante de l’activité cybercriminale dans son ensemble, et spécifiquement l’activité de ransomware, qui se présente largement dans la toile sombre. La taille mondiale du marché de l’intelligence Web de Dark devrait augmenter à un taux de TCAC de 22,3% d’ici 2028, à un total de 1,3 milliard de dollars.
D’autres rapports récents de Kaspersky soutient que le vecteur d’attaque le plus courant pour toutes les attaques de ransomwares continue d’être via la prise de contrôle du compte en utilisant des informations d’identification forcées volées ou brutes. L’API de l’entité autonomisera les équipes de renseignement des menaces avec les outils pour déterminer quand ces informations de compte ont été compromises et prendre des mesures de correction en conséquence.
Surveiller les mentions de crypto-monnaie à l’aide de l’API entité
Avec l’API Entity, les utilisateurs ont accès à des informations structurées hautement ciblées de la plus grande collection disponible dans le commerce de sources Web DarkNet et Deep. Cela inclut Tor, I2P, Zeronet, les violations de données, les chats cryptés, l’IRC et les forums authentifiés. Les utilisateurs peuvent rechercher une adresse cryptographique que Darkowl a capturé à partir de sources DarkNet, y compris des marchés illégaux et des forums de fournisseurs pour détecter les portefeuilles avec une activité problématique. Adresse de crypto-monnaie Les points de terminaison permettent aux utilisateurs de voir si des adresses de crypto-monnaie spécifiques ont été exposées.
Les types de crypto-monnaie comprennent:
- Bitcoin
- Ethereum
- Monero
- zcash
- Litecoin
- Tiret
