Gestion du renseignement sur les menaces : à la découverte de ThreatConnect et de RiskIQ

De quoi mettre l’eau à la bouche

Les deux plateformes permettent de créer et d’étudier des éléments observables. L’un parlera d’artefacts, quand l’autre évoquera des indicateurs. RiskIQ supporte ainsi les noms de domaine, adresses IP, adresses e-mail, extraits ou mots clés Whois, etc. A partir d’un indicateur, il est facile et rapide de chercher où il a pu être observé, et quelles sources l’ont fait remonter. Pour un domaine, par exemple, on dispose d’une chronologie d’observation et d’activité, des éléments de résolution DNS et d’hébergement, ou encore de sous-domaines, et même d’un historique WHOIS à partir de la première insertion dans la plateforme, pour peu que le suivi ait été activé. Le genre d’information que DomainTools fait payer cher.

Mais cela va plus loin : l’utilisateur peut accéder à des informations sur les composants logiciels associé au serveur Web installé pour un domaine/sous-domaine donné.

A cela peuvent s’ajouter des signatures, correspondant par exemple à une menace émergente repérée par un tiers de l’industrie. Mi-juillet dernier, la rédaction a ainsi enquêté sur une tentative de hameçonnage au compte Paypal visant les utilisateurs de ProtonMail. A la même date, le nom de domaine utilisé dans le cadre de cette campagne était référencé par Proofpoint comme menace émergente.

L’outil permet ainsi de faire le lien, via des marqueurs, entre indicateurs observés et campagnes ou acteurs, ou types de menaces.

Mais la version gratuite de ThreatConnect s’avère plus riche. Elle n’impose pas de déclarer manuellement un par un les indicateurs. Par exemple, il est possible d’importer directement un e-mail suspect pour qu’en soient extraits de manière semi-automatique des indicateurs tels qu’adresses e-mail et IP, et URL. Les noms de domaines liés à ces URL ne sont toutefois pas extraits automatiquement pour générer des indicateurs de type hôte, conduisant à des surveillances WHOIS ou DNS.

Des intégrations multiples

Pour accéder à ce niveau d’automatisation – et aller au-delà –, il faut passer par les playbooks, qui permet de créer des workflows personnalisés. Mais la version gratuite de ThreatConnect ne permet pas de les utiliser.

Les indicateurs peuvent toutefois être également injectés à partir de fichiers texte brut, PDF, Word, PowerPoint ou encore Excel.

Les playbooks de ThreatConnect donnent un aperçu des capacités d’intégration. Ainsi, ils permettent de gérer les indicateurs avec FireEye, ArcSight, QRadar, Palo Alto ou OpenDNS Umbrella, mais également de créer/enquêter sur des incidents en lien avec les outils d’IBM Resilient et ServiceNow, et demander des enrichissements variés, avec OpenDNS ou DomainTools, par exemple.

Les capacités d’intégration vont toutefois plus loin, supportant les outils de Carbon Black, Cisco AMP, Crowdstrike, le bac à sable Cuckoo, Cymmetria, Lastline, LogRythm, Maltego, McAfee, Phantom Cyber, Qualys, Splunk, RSA, Tanium, Symantec ou encore Tenable.

Accessoirement, ThreatConnect peut désormais être déployé sur SAP HANA.

De base, la plateforme de RiskIQ s’intègre nativement et de manière bidirectionnelle avec Splunk et QRadar. Mais une API REST tout aussi bidirectionnelle est également disponible, de même que des clients Python et Ruby.

Des éditeurs au coude-à-coude ?

RiskIQ peut apparaître plus robuste que ThreatConnect, mais ce n’est peut-être qu’une illusion.

Le premier a levé plus de 65 M$ depuis sa création en 2009, dont plus de 30 M$ fin 2016. Et il s’est offert PassiveTotal fin 2005, puis Maccabim.com, fin janvier dernier, pour étendre ses capacités de lutte contre les menaces. Parmi ses clients – plus de 200 revendiqués l’an dernier –, on compte notamment Box, DocuSign, Facebook, The Economist, le Citizen Lab, ou encore Rackspace et le groupe Lagardère.

Il y a un an, RiskIQ faisait état d’une croissance de 80 % de ses abonnements, au premier semestre 2016, par rapport à la même période l’année précédente. Pour l’heure, il n’a pas encore communiqué sur ses ventes au premier semestre 2017.

Plus jeune de deux ans, ThreatConnect s’est contenté de lever 22 M$, avec un dernier tour de table en décembre 2015. Il ne fournit pas de liste de références, mais revendiquait en début d’année une progression de plus de 50 % de son chiffre d’affaires lié à l’abonnement, en 2016.

En fin d’année dernière, sa plateforme aurait regroupé près de 13 000 utilisateurs représentant plus de 1600 organisations, dont 66 % figurant dans le classement Fortune 100, et 26 % dans le Fortune 500. Deloitte et British Telecom utilisent ThreatConnect pour leurs services de sécurité managés.