Acteur dans le domaine de le renseignement et l'investigation des cybemenaces (threat intelligence), ThreatQuotient vient de renforcer son offre ThreatQ avec un module d'enquête collaborative. Utilisée par des entreprises (clients finaux) ou des sociétés de services informatiques comme Sopra-Steria pour leur centres d'opérations de sécurité (SOC), ThreatQ permet d'agréger des données d'attaques multi-sources et de comprendre les scénarios d'attaques élaborés par les pirates pour s'introduire dans des systèmes.

« ThreatQ est très bien pour agréger et distribuer des informations de sécurité valables », a confirmé Léon Ward, vice-président produits de ThreatQuotient, de passage à Paris le 29 mars à l'occasion d'une conférence de presse. « Toutes ces informations sont dans des silos et il fallait un moyen pour permettre aux gens de collaborer au travers d'une seule interface, comprendre et orchestrer la réponse à une menace ». C'est désormais chose faite avec Investigations, le dernier module lancé par ThreatQuotient pour sa solution ThreatQ qui permet à des équipes sécurité de construire une enquête, de suivre son cycle de vie et d'affecter des tâches à des utilisateurs pour la résoudre.

ThreatQ Investigations

Investigations est le dernier module de la solution de détection et d'analyse des cybermenaces ThreatQ de ThreatQuotient pour permettre aux métiers, à la DSI et aux équipes sécurité de collaborer pour résoudre ou éviter un incident de sécurité. (crédit : D.F.)

Rejouer le film d'une attaque pour mieux la contrer

« L'équipe de Threat intelligence fournit des informations et attend un feed-back pour enrichir ses processus et savoir à quelle menace ils ont affaire ». Cet enrichissement, qui peut se faire aussi bien auprès des équipes admin, systèmes et réseaux ou d'autres entités de la DSI voire des métiers, est facilité par une couche graphique permettant de construire un arbre de relation entre une menace (réelle ou potentielle) et différentes propriétés (sources, descriptions...). « Une timeline découpée en zones permet de rajouter différents objets comme des adresses et des ports réseaux pour représenter une situation qui vont être ajoutés à l'investigation », a précisé Cyrille Badeau, vice-président Europe de ThreatQuotient. L'objectif étant de permettre à plusieurs personnes (équipe sécurité, DSI, métiers...) de « nourrir » l'enquête sécurité de leurs données et informations, sachant que chaque tâche peut être reliée à un ticket d'incident.

« Il est possible de rejouer le film d'une attaque et de l'étudier pour éviter qu'elle se reproduise même s'il n'est pas tout le temps possible d'en identifier les auteurs », prévient Cyrille Badeau. Parmi les cas pratiques auxquels ThreatQ Investigations peut répondre, l'éditeur met en avant un usage dans le cadre de la compréhension d'attaques de type spear phishing, réponse à incident, analyse threat intelligence, compréhension du fonctionnement d'un sample de malware... La société n'est pas la première à proposer ce type de solution de sécurité. Cisco, Brainwave, DarkTrace ou encore F-Secure proposent aussi des outils similaires.