Analyse des attaques : Kaspersky continue son adoption du framework Att&ck

Kaspersky vient d’annoncer l’ajout d’une base de données d’indicateurs d’attaque pour ses solutions de détection et reméditation sur le poste de travail (EDR) et de protection contre les attaques ciblées (Kata), afin d’aider les analyses dans leurs opérations de chasses aux menaces. Et pour chacun de ces indicateurs, l’éditeur présente ce à quoi il correspond, selon le framework Att&ck du Mitre.

Avec les indicateurs d’attaque, Kasperky entend permettre aux chasseurs de menaces d’aller plus loin qu’avec les seuls indicateurs de compromission traditionnels (condensats de fichiers, adresses IP, URL, etc.) pour couvrir, par exemple, des activités et ainsi, donner une chance d’identifier les techniques et tactiques des adversaires.

Dans ce contexte, la classification de ces indicateurs suivant le prisme fourni par le framework Att&ck permet de disposer d’un éclairage contextuel supplémentaire. Son adoption s’inscrit d’ailleurs dans un mouvement bien plus vaste. La plateforme de gestion et de partage de renseignements sur les menaces MISP intègre ce framework depuis bientôt deux ans. Des éditeurs tels qu’Awake Security, Crowdstrike, McAfee avec Mvision EDR, Anomali, Cybereason, ou encore SentinelOne et ThreatQuotient ne manquent en effet pas de jouer l’intégration.

Kaspersky lui-même n’était pas absent du mouvement. La dernière version de sa suite de protection des postes de travail d’entreprise, Endpoint Security for Business (ESB), annoncée mi-mars, prenait ainsi déjà en charge le framework Att&ck pour catégoriser les événements observés.

La commercialisation initiale de la brique d’EDR de Kaspersky remonte quant à elle au mois de mars 2018. La plateforme Kata avait pour sa part été présentée il y a près de trois ans, en juillet 2016.