SophosLabs Intelix
Opérations de sécurité

SophosLabs Intelix s’intègre désormais à OpenCTI

Les clients peuvent enrichir leurs outils internes avec les données des SophosLabs.

Le rapport Sophos 2023 sur les menaces met en évidence la manière avec laquelle les attaquants modernes sont de plus en plus organisés alors que l’économie du cybercrime continue de se transformer en une véritable industrie à part entière. Le partage d’intelligence sur les menaces est une opportunité majeure permettant aux défenseurs de mieux se protéger contre le nouveau modèle appelé “malware-as-a-service“.

C’est l’un des principaux piliers de la philosophie de Sophos en matière de sécurité et la vision qui anime la plateforme SophosLabs Intelix. En soutenant l’initiative qui consiste à publier, à grande échelle, le plus grand ensemble de données de recherche sur les malwares pour la communauté de la sécurité dans son ensemble afin de fournir un accès aux puissantes fonctionnalités d’analyse des menaces de la plateforme Intelix aux membres de CompTIA, Sophos a clairement montré un engagement majeur dans l’innovation et la collaboration au niveau des efforts déployés dans la mise en œuvre d’une intelligence sur les cybermenaces.

Comprendre l’intégration avec OpenCTI

Après avoir étendu les fonctionnalités d’intelligence et d’analyse des menaces de la plateforme Intelix à MISP, ThreatQuotient et l’ISAO de CompTIA, nous avons ajouté une autre façon pour les clients de profiter de notre intelligence sur les menaces : grâce à l’intégration avec OpenCTI.

OpenCTI est une plateforme open source en libre accès qui permet aux professionnels de la sécurité et aux équipes de cybersécurité de gérer, d’ingérer et de normaliser une intelligence sur les cybermenaces à forte valeur. Cette possibilité inclut des connaissances sur les TTP et les comportements actuels de divers acteurs malveillants, les campagnes malveillantes en cours et la surveillance des nouvelles menaces provenant des vulnérabilités et des malwares.

L’ANSSI, l’agence nationale de la sécurité des systèmes d’information française, et le CERT-EU (Computer Emergency Response Team for the EU) restent les principaux contributeurs au projet OpenCTI. Il a été conçu pour structurer, stocker, organiser et visualiser des informations techniques et non techniques sur les cybermenaces. Pour en savoir plus sur OpenCTI, regardez cette vidéo.

L’intégration avec SophosLabs Intelix fournira à la communauté OpenCTI une intelligence sur les menaces faciles à comprendre qui permettra de prendre des décisions plus éclairées en matière de sécurité concernant un large éventail d’artefacts malveillants, notamment les fichiers, les pages Web et les adresses IP, couvrant à la fois les menaces connues et les risques jamais observés auparavant.

L’exemple ci-dessous montre le tableau de bord OpenCTI dans lequel un utilisateur exploite l’intelligence sur les menaces de SophosLabs Intelix pour enrichir les données au niveau des fichiers et des URL.

SophosLabs Intelix

La sélection en surbrillance dans la colonne de gauche, qui indique “Observations“, représente des ‘propriétés avec état’ (stateful properties) telles que le hachage d’un fichier ou la recherche de données de réputation concernant une URL. Lorsqu’elles sont combinées à des sources d’intelligence sur les menaces contextuelles ou exploitables comme la plateforme Intelix, de telles observations aident à identifier les indicateurs de compromission (IOC) pour divers artefacts malveillants.

Découvrez, ci-dessous, une autre illustration, qui explique comment l’intégration de l’intelligence sur les menaces de SophosLabs Intelix fournit davantage de données détaillées aux utilisateurs d’OpenCTI.

SophosLabs Intelix

Dans le sillage de la sophistication et de la complexité croissantes des menaces et des outils informatiques, les professionnels de la sécurité et les experts en menaces ne trouvent pas l’aide souhaitée au niveau des données d’intelligence sur les menaces à forte proportion de texte (text-intensive) et semi-structurées. En combinant l’intelligence sur les menaces précise et exploitable de SophosLabs Intelix avec les analyses visuelles interactives d’OpenCTI, les professionnels de la sécurité peuvent considérablement faciliter la détection des menaces, les investigations et les actions de réponse.

Pour exploiter les données Intelix dans l’environnement OpenCTI, les utilisateurs doivent ajouter leur clé API pour SophosLabs Intelix (depuis AWS Marketplace) dans la configuration OpenCTI pour les enrichissements.

Si vous avez des questions, veuillez nous laisser un commentaire ci-dessous ou bien nous contacter directement.

Billet inspiré de SophosLabs Intelix now integrates with OpenCTI, sur le Blog Sophos.