Introduction
Team Cymru Inc. a annoncé le lancement de Total Insights Feed, une plateforme d'intelligence de menaces unifiée conçue pour remplacer les listes de menaces basées sur des indicateurs par une intelligence actionnable et notée en temps réel sur l'ensemble de la surface d'Internet.
Contexte Technique
La nouvelle plateforme évalue plus de 57 millions d'adresses IP et de blocs de routage inter-domaine sans classe par jour en utilisant des scores de risque pondérés sur une échelle de 0 à 100 avec un modèle de décroissance. Cela permet aux centres d'opérations de sécurité d'automatiser les politiques de blocage sans examen d'analyste.
La plateforme évalue également plus de 400 millions de domaines par jour, dont 3,5 millions sont étiquetés comme malveillants, couvrant les infrastructures de phishing, les domaines générés algorithmiquement et l'hébergement malveillant.
Analyse et Implications
Chaque indicateur utilisé par la plateforme est enrichi de plus de 2 000 étiquettes contextuelles couvrant les familles de logiciels malveillants, les frameworks de commandes et de contrôle, l'appartenance à des botnets, la cartographie MITRE ATT&CK, les étapes de la chaîne de kill et l'attribution d'acteurs lorsque disponibles.
La plateforme vise à résoudre une faille structurelle dans la façon dont les flux traditionnels fonctionnent, car les adversaires modernes font pivoter les infrastructures en quelques heures, opèrent sur des dizaines de millions d'adresses IP et exécutent des campagnes de phishing sur des centaines de millions de domaines.
Perspective
Josh Picolet, chef d'équipe du S2 Threat Research Team chez Team Cymru, a déclaré : « L'ère de la liste d'indicateurs est révolue. La couverture sans contexte est du bruit et le contexte sans couverture crée des angles morts. Total Insights Feed offre les deux sur l'ensemble de la surface d'Internet dans une seule intégration que les équipes de sécurité peuvent exploiter à la vitesse de la machine. »
La plateforme est proposée en trois niveaux : un niveau de notation de risque pour la réputation des adresses IP et des domaines, un niveau d'étiquettes et d'analyse pour une intelligence contextuelle plus approfondie, et un niveau complet qui unifie toutes les fonctionnalités en un seul flux.
