Comment les experts CERT de Thales luttent contre le typosquatting en collaborant avec TheHive

Thales est une entreprise internationale présente dans 68 pays qui réalise un chiffre d’affaires de 18,4 milliards d’euros. Le groupe produit des solutions, des services et des produits de haute technologie pour les domaines de la défense et la sécurité, l’aérospatiale et l’espace, la cybersécurité et l’identité numérique.

Comptant plus de 81 000 collaborateurs présents sur tous les continents, Thales dispose de nombreuses équipes de cybersécurité dans le monde entier qui doivent travailler en collaboration pour fournir des solutions de sécurité respectant des standards élevés. Ces experts ont pourtant eu du mal à trouver un outil capable d’automatiser les workflows, d’établir un système pratique pour la gestion des tickets d’assistance, de suivre les incidents et de partager les informations sur l’ensemble de leur réseau distribué.

Les plateformes SOAR existantes n’étaient pas adaptées à leur utilisation. Le système RTIR n’a pas non plus permis de leur rendre la tâche plus facile. Leur choix s’est finalement porté sur TheHive 4, qu’ils ont commencé à utiliser pour ses capacités de gestion avancée des incidents.

Cette plateforme a changé la donne. Ils ont décidé d’aller plus loin en procédant à une migration intégrale vers la toute dernière version de TheHive pour développer des workflows optimisés permettant de répondre à leurs problématiques les plus pressantes. La surveillance et la neutralisation des domaines typosquattés, un enjeu en matière de prévention des fraudes qui s’inscrit dans le cadre des activités régulières de Thales, figuraient notamment au rang de leurs priorités.

En cybersécurité, le typosquatting s’apparente à l’usurpation de l’identité d’une entreprise, mais par le biais de faux domaines. Un typosquatteur crée une copie intégrale d’un domaine officiel. Seule différence : le nom du faux domaine comporte une faute de frappe quasiment imperceptible.

Les risques d’être victime d’une arnaque au typosquatting sont innombrables. Par exemple, un escroc peut utiliser un faux domaine pour créer une adresse e-mail. Avec cette adresse e-mail, le cybercriminel peut se faire passer pour un employé, généralement un cadre dirigeant et tenter de dérober de l’argent (arnaque au président, par exemple). L’escroc peut également utiliser cette adresse e-mail pour demander l’accès à des données ou à des systèmes sensibles.

Il peut également passer des commandes d’un montant exorbitant en se faisant passer pour un employé, attaquant ainsi par typosquatting la réputation de la marque ciblée et les finances des fournisseurs. Pour faire face à cette menace, pour eux-mêmes, comme pour leurs clients, les analystes CERT de Thales ont mis au point un workflow dédié avec TheHive. La plateforme de gestion des incidents de StrangeBee y joue un rôle essentiel en matière de gestion et d’orchestration.

1. Un script maison, associé à une solution de vérification de domaines, surveille en permanence la disponibilité des noms de domaines contenant des fautes de frappe. Lorsqu’un nom de domaine est disponible, le script l’achète automatiquement. Cela empêche les escrocs d’en faire l’acquisition ou de le renouveler pour mener des activités malveillantes en prétendant agir au nom de l’entreprise d’origine.

2. À chaque achat de nouveau domaine, TheHive reçoit une alerte. Cela déclenche un workflow Node-RED qui inspecte les redirections du domaine au moyen de plusieurs services (par exemple, Lookyloo et VirusTotal).

3. Enfin, grâce aux capacités de corrélation de TheHive, les analystes peuvent vérifier si ce domaine a déjà été détecté dans des incidents ou des alertes antérieurs :

• Si TheHive constate que le domaine qui vient d’être acheté est lié à un incident précédent, l’alerte et l’incident sont fusionnés. Le système publie un commentaire et informe le propriétaire.
• Si aucun incident correspondant n’est trouvé, TheHive en crée un nouveau, qu’il attribue à un groupe d’analystes. Ces analystes reçoivent alors une notification, les informant qu’ils peuvent commencer à mener leurs investigations en utilisant les fonctionnalités dédiées de la plateforme.

Grâce à TheHive, la gestion du typosquatting chez Thales est désormais beaucoup plus efficace et transparente.

Désormais, les analystes de l’entreprise peuvent non seulement gagner en productivité en automatisant les étapes de routine du workflow mais aussi adapter l’ensemble du processus de gestion des incidents et de réponse aux incidents en fonction de leurs besoins.

L’API polyvalente de TheHive a permis une intégration fluide avec la pile interne et externe de Thales. L’association de la plateforme à des outils tiers, à Node-RED et à d’autres logiciels assure un flux de données fluide et une gestion centralisée des alertes. Les analystes peuvent également utiliser des solutions de messagerie et des adresses e-mail personnalisées pour faciliter les communications, accélérer la réception de notifications, et se connecter à l’outil MISP pour partager les IOC.

La transparence de TheHive est renforcée par des tableaux de bord pratiques. Des modèles pour les incidents, tâches et rapports contribuent à économiser du temps et de l’énergie, et à standardiser le traitement des incidents.

En s’appuyant sur des fonctions multi-tenant et collaboratives, l’entité CERT de Thales a permis un partage d’informations automatisé mais contrôlé avec ses équipes de sécurité distribuées, y compris avec l’équipe principale et des centaines d’acteurs régionaux champions de la cybersécurité. Tous les participants peuvent désormais facilement assigner et gérer les tâches de réponse aux incidents, à une échelle individuelle ou collective, ajouter des commentaires et joindre des fichiers pour que les autres membres puissent les consulter.

L’environnement multi-tenant a également permis de personnaliser TheHive et Cortex (le moteur « cérébral » sous-jacent) pour répondre aux exigences spécifiques de Thales. Les experts ont créé plusieurs dizaines d’organisations pour les équipes au sein de la plateforme. Chacune d’elles a sélectionné différentes instances de Cortex en fonction de ses besoins :

– Pour les analyses d’observables, ils ont opté pour VirusTotal, AbuseIPDB, des analyseurs de domaines, des outils de vérification de partenaires ou un décodeur de code QR, et ont intégré avec succès des analyseurs personnalisés, par exemple des outils de vérification des employés.

– Pour la réponse aux incidents, ils ont développé leur propre outil : achat de domaines, isolation des appareils via la détection et réponse des terminaux (EDR), ajout de commentaires et alimentation de Collections sur VirusTotal, envoi d’e-mails de sensibilisation, révocation de certificats et réinitialisation de mots de passe.

Les analystes peuvent créer de nouveaux analyseurs et outils de réponse via Cortex si nécessaire et automatiser l’analyse et la réponse pour gagner du temps. Le moteur peut être configuré pour analyser jusqu’à des centaines d’événements observables simultanément de manière autonome et pour neutraliser automatiquement les menaces détectées.

TheHive a permis aux analystes de l’équipe CERT de Thales de gagner en rapidité, en commodité et en efficacité.

L’entreprise vise à développer encore davantage les scénarios de réponse aux incidents autour du typosquatting. Elle a également développé un workflow standard pouvant servir de base, ainsi qu’un workflow permettant de traiter automatiquement les alertes concernant les partenaires.

À l’avenir, Thales envisage d’utiliser TheHive pour d’autres projets, tels que la sécurité des e-mails.

L’entreprise souhaiterait par ailleurs intégrer une division stratégique majeure dans TheHive afin de créer des alertes automatiques dans le cas où un partenaire serait la cible d’une attaque.