Cas d’utilisation :
Surveillance du dark web ; chasse aux menaces ; détection des menaces ; triage des alertes ; découverte d’identifiants divulgués et remédiation

Défi :
Délais excessifs pour détecter les cybermenaces et y répondre.

Solution :
Le nuage d’intelligence du futur enregistré

Résultats :

• Un renseignement sur les menaces plus riche, exploitable et fiable, intégré aux workflows de sécurité existants
• Chasse aux menaces proactive, plus efficace
• Meilleure priorisation des risques
• Fonction CTI avancée et capacités étendues

Face à un incident de sécurité, chaque minute compte. Malheureusement, les compétences en cybersécurité sont rares et très recherchées. Par conséquent, beaucoup d’organisations n’ont pas les ressources nécessaires pour stopper les attaques rapidement. C’est pourquoi les entreprises se tournent vers Bitdefender pour ses services gérés de détection et de réponse (MDR), et pourquoi l’équipe Bitdefender s’appuie sur Recorded Future, en complément de son propre renseignement sur les menaces, pour obtenir des informations exploitables en temps opportun.

L’équipe chargée du renseignement sur les cybermenaces (CTI) du service MDR de Bitdefender sait qu’il est essentiel d’éliminer toute faille pouvant donner un avantage aux acteurs malveillants : ce qui implique d’avoir la bonne expertise, entre les bonnes mains, au bon moment. Et même si l’équipe CTI utilise une variété d’outils internes et de données, incluant son propre renseignement sur les menaces ainsi que des outils tiers, Recorded Future joue un rôle clé en agrégeant et en corrélant les données pour offrir une vision complète du paysage des menaces, tout en validant ou en contextualisant les données internes et tierces.

Les deux entreprises entretiennent un partenariat étroit, Recorded Future intégrant une partie des flux de renseignement sur les menaces de Bitdefender (vulnérabilités, réputation des adresses IP et des ressources web et informations opérationnelles) dans l’Intelligence Cloud de Recorded Future.

« La quantité de temps et de travail économisée grâce à l’agrégation de renseignements supplémentaires sur les menaces nous rend beaucoup plus forts, et notre principal objectif est de garder une longueur d’avance sur les attaquants », déclare Sean Nikkel, analyste CTI principal pour Bitdefender MDR.

Une solution complète permet une mise sur le marché plus rapide

Avant de lancer le service Bitdefender MDR, l’équipe a évalué plusieurs solutions de renseignement sur les menaces pour trouver celle qui soutiendrait le mieux leurs cas d’utilisation. Leurs besoins principaux incluaient : la surveillance des risques exposés pour les clients MDR, la validation des données internes et l’approfondissement de la recherche et de l’analyse.

« Recorded Future remplissait une bonne partie des conditions requises pour démarrer nos opérations, et tout était prêt à l’emploi, dès le premier jour », indique Sean Nikkel. « Cette plateforme est très utile, car Recorded Future dispose déjà d’un accès au dark web, ce qui apporte un contexte approfondi à nos propres informations de manière évolutive, avec une visibilité sur un grand nombre de sources, y compris une partie de notre renseignement sur les menaces propriétaire. » L’utilisation de Recorded Future répond aussi à une demande essentielle des clients : avoir une équipe de renseignement qui surveille le dark web. »

L'intelligence permet une gestion proactive des risques

Le renseignement sur les menaces de Recorded Future aide l’équipe MDR de Bitdefender à gérer les risques des clients de manière proactive. « La première étape, c’est la prise de conscience. Connaître les données exposées, où elles sont exposées, et comment ces expositions peuvent être utilisées contre vous. Connaître les menaces pesant sur les environnements de nos clients nous permet de les aider à atténuer les risques », affirme S. Nikkel.

Grâce à la plateforme Recorded Future, l’équipe MDR de Bitdefender identifie les lacunes dans les environnements des clients et recommande des mesures proactives pour renforcer les défenses contre les menaces actives dans la nature. L’équipe CTI utilise également les alertes pour détecter rapidement les menaces. Les journaux de malwares infostealers, par exemple, fournissent des informations opportunes sur les compromissions d’identités.

Quelques minutes après avoir reçu une alerte concernant des identifiants divulgués, l’équipe CTI envoie des notifications aux clients via leurs responsables de comptes sécurité et lance immédiatement une chasse proactive pour vérifier si des comptes potentiellement concernés montrent des signes de compromission. L’Intelligence Cloud de Recorded Future aide l’équipe MDR de Bitdefender à agir rapidement pour protéger les clients

Recorded Future permet aux chasseurs de menaces de travailler plus intelligemment

Pour garantir que l’information arrive à la bonne personne au bon moment, l’équipe CTI utilise les API de Recorded Future pour intégrer les flux de renseignement (et d’autres sources de renseignement) dans le SOAR de Bitdefender. Lorsqu’une alerte survient, l’équipe de renseignement ouvre un dossier de recherche et l’inclut dans un ticket pour l’équipe SOC ou l’équipe chargée de la réussite client. Recorded Future a renforcé la communication entre les équipes, désormais encore plus automatisée et reproductible, ce qui nous permet de gagner encore plus de temps sur la réponse », explique S. Nikkel. Les intégrations aident l’équipe CTI à affiner continuellement ses processus, parallèlement à l’arrivée de nouvelles capacités sur la plateforme Recorded Future, et l’équipe prévoit d’en développer davantage.

Cette visibilité aide également l’équipe Bitdefender à identifier des risques externes dont les clients n’auraient autrement jamais connaissance. Cela inclut le shadow IT, comme le code d’un projet abandonné encore hébergé sur une page GitHub, ou un domaine récemment enregistré ressemblant beaucoup au domaine du client.

La priorisation est cruciale pour les chasseurs de menaces et les analystes de sécurité qui doivent protéger des environnements clients très variés. Même si de nombreux flux de renseignement fournissent de bonnes informations, indique Sean Nikkel, ils manquent souvent du contexte nécessaire pour orienter le passage à l’action.

« Recorded Future me permet d’accéder à des informations contextuelles supplémentaires », explique Nikkel. « Ces données m’aident à comprendre où je dois prioriser, plutôt que de recevoir un flot de 70 indicateurs dénués de contexte. »

Combinées aux sources de renseignement déjà en place, les informations du Recorded Future Intelligence Cloud facilitent la chasse aux menaces ainsi que la réponse aux incidents. L’équipe CTI peut rechercher des indicateurs potentiellement malveillants pour en apprendre davantage via Recorded Future, facilitant l’enquête et l’évaluation du SOC.

Le résultat est une fonction CTI bien plus mature, bénéfique à la fois pour les chasseurs de menaces du service MDR de Bitdefender et pour ses clients. « Lorsque vous disposez d’un flux de renseignement où les informations sont reproductibles et évolutives, vous pouvez facilement trouver le contexte et les éléments supplémentaires nécessaires à vos investigations. Toutes ces capacités ont permis de faire mûrir les processus de notre équipe et de fournir de meilleurs résultats à nos clients », indique S. Nikkel.