A la découverte du FLINT, le bulletin quotidien de veille et d’analyse des cybermenaces de SEKOIA
- Vous avez besoin de mettre en place une veille cyber mais vous n’avez pas le temps ou les expertises nécessaires en matière d’analyse des cybermenaces ?
- Vous désirez que votre veille devienne actionnable (aka utile) pour améliorer votre connaissance des cybermenaces et votre niveau de cybersécurité
- Vous souhaitez augmenter vos capacités de détection et de hunting avec des IOCs ?
Le FLINT est fait pour vous !
Le SEKOIA Threat Intelligence FLASH Report ou FLINT est un bulletin quotidien de veille et d’analyse des dernières cybermenaces et vulnérabilités critiques.
Transmis par e-mail, il est également disponible dans un format STIX2.1, structuré et actionnable, dans l’Intelligence Center de SEKOIA.IO, notre base de Cyber Theat Intelligence (CTI), accessible via API REST, feed MISP et bientôt sur un portail web.
Qu’allez-vous retrouver dans un FLINT ?
Prenons l’exemple du FLINT 2020–051 ”Cloudflare Worker leveraged by BlackWater malware for Command & Control” publié le 16 mars 2020 et consacré au malware BlackWater utilisant un nouveau canal de Command & Control (C2).
Chez SEKOIA, nous capitalisons notre veille, nos investigations et toute notre CTI en les structurant en STIX2.1 avec différents objets comme l’illustre la figure ci-dessous :
Il existe donc différents types de FLINT. Ici il s’agit d’une alerte concernant une CAMPAGNE.
Nous publions également régulièrement des FLINT de type MALWARE et VULNÉRABILITÉ.
Les informations traitées et analysées sont issues de nos trackers privés, de nos investigations et de notre veille quotidienne en sources ouvertes, de nos investigations et de nos trackers privés nous permettant de suivre des dizaines d’acteurs de la menace cyber ou différentes familles de malwares.
Nous retrouvons ensuite plusieurs informations permettant de contextualiser au maximum la menace décrite dans le FLINT :
- Les objectifs de la campagne d’attaque traitée dans le FLINT. S’agit-il d’une campagne d’espionnage ? de sabotage ? ou de la cybercriminalité financière ?
- Son statut : parle-t-on d’une campagne passée ? d’une campagne en cours (ou potentiellement en cours) ?
- Les modes opératoires (TTPs) : quand c’est possible, nous cartographions avec MITRE ATT&CK les campagnes, incidents ou les capacités des malwares que nous analysons.
Selon le type de FLINT, les informations de cette section sont différentes.
Par exemple, pour un FLINT analysant une nouvelle vulnérabilité critique, on retrouve des informations concernant l’existence d’un correctif de sécurité, le type de vulnérabilité, la disponibilité (ou non) d’un exploit public ou encore si elle est déjà activement exploitée dans la nature par des acteurs étatiques ou cybercriminels.
On retrouve également des informations (quand elles sont disponibles) sur les secteurs d’activité touchés et les zones géographiques impactées. Ces éléments permettent d’évaluer, simplement et rapidement, si la menace traitée dans le FLINT concerne directement ou indirectement son organisation.
Enfin, un TLP est appliqué au FLINT pour indiquer une règle de partage des informations qui y figurent. Les FLINT sont généralement marqués TLP GREEN ou AMBER voire WHITE quand il est destiné à être public.
A noter que nous devrions pas partager ce document TLP GREEN de cette façon mais il s’agit d’un exemple.
Au cœur du FLINT, vous retrouvez une synthèse de l’actualité traitée et une analyse réalisée par notre équipe pluridisciplinaire d’analystes CTI incluant du contexte et une mise en perspective (stratégique et technique, par exemple avec la Cyber Kill Chain ou à nos propres investigations techniques sur ce sujet).
L’objectif du FLINT est de donner accès à nos clients à une information filtrée, analysée et synthétisée par des experts en cybersécurité. Il peut être utilisé pour sensibiliser les équipes informatiques opérationnelles aux dernières cybermenaces mais également pour accélérer les réponses en fournissant des éléments de langage aux questionnement du top management.
Chaque FLINT propose également des recommandations actionnables, techniques et organisationnelles, des Course of Action selon la terminologie STIX.
Quand c’est possible, le FLINT propose également des détails techniques et des indicateurs de compromission (IOCs) permettant d’accélérer le rapprochement de piste en réponse sur incident, de réaliser du hunting, détecter ou bloquer ces menaces.
Tous ces IOCs (et encore plus) sont également disponibles avec leur contexte au format STIX2.1 au sein l’Intelligence Center de SEKOIA.IO, notre base de CTI, accessible via API REST, un feed MISP et bientôt un portail web.
A titre d’exemple, voici un screenshot d’un indicateur issu du FLINT représenté dans SEKOIA.IO :
Enfin, nous retrouvons en bas du FLINT les sources et références utilisées par les analystes pour rédiger leur synthèse et analyse ainsi que le degré de confiance que l’on peut accorder à ces renseignements.
Mais le mieux pour découvrir le FLINT, c’est de le tester ! Un mois d’essai gratuit est proposé => https://www.sekoia.fr/flint/
Et à titre exceptionnel, SEKOIA participe à l’effort collectif dans le cadre de la mobilisation nationale des acteurs du numérique et met à disposition gratuitement (pour les acteurs de services essentiels européens) les bulletins d’analyse FLINT ainsi que sa plateforme SEKOIA.IO sur toute la durée de la crise sanitaire du COVID-19.
Dans ce cadre, SEKOIA a également publié 2 FLINT gratuits :
Un premier FLINT dédié aux cybermenaces exploitant le thème du Coronavirus / COVID-19
Un deuxième FLINT dédié aux risques engendrés par le télétravail de masse lié au confinement.
Bonne lecture !
