Démarrage du service « Veille sur les attaques et IOC » du Cert-IST
Date : 07 Juin 2016
Le 1er juillet 2016, le Cert-IST a ouvert un nouveau service orienté sur la détection des attaques et basé sur l’utilisation des IOC (Indicators Of Compromise : ce sont les marqueurs techniques, comme les adresses IP ou les empreintes MD5 de fichiers, dont la présence indique qu’une attaque a probablement eu lieu).
Ce service se matérialise par deux principales fournitures :
- Un bulletin d’actualité mensuel qui permet de rester au courant des événements les plus marquants dans le domaine des attaques.
- Une base de données qui répertorie les attaques connues. Cette base contient les « fiches attaques » construites par le Cert-IST pour décrire chaque attaque, et pointe vers une instance MISP gérée par le Cert-IST qui contient les IOC connus pour ces attaques. MISP est une solution « open-source » pour le stockage et le partage d’IOC (cf. le site www.misp-project.org).
Pour le moment, ce service s’intéresse en priorité à deux types d’attaques :
- les APT (attaques de type « espionnage industriel »),
- et les « malware outbreaks » ; c’est le terme que nous avons adopté pour désigner les attaques soudaines qui frappent les entreprises (comme les vagues d’infection « Dridex »).
Nota : ce service nécessite une souscription spécifique.
Il a été conçu sur la base des besoins adhérents, qui ont été discutés au cours de plusieurs réunions adhérents en 2015 et 2016. Ainsi, le service n’a pas pour objectif premier de produire de nouveaux IOC, mais plutôt d’enrichir les IOC existants de façon à les rendre mieux utilisables par les adhérents.