FAQ Flare – Foire aux questions

 

À propos de Flare : la société

Pourquoi Flare a-t-il été créé ?

Nos co-fondateurs montréalais Mathieu Lavoie, Israël Hallé et Yohan Trépanier Montpetit ont créé Flare en 2017 après avoir travaillé dans des équipes rouges dans les services financiers/bancaires. Ils voulaient trouver un moyen de fournir leurs connaissances et leur expertise en cybersécurité dans un système qui pourrait être mis à la disposition de n'importe quelle organisation, quelle que soit sa taille ou son niveau d'expertise. L'objectif est de démocratiser ces services et de les rendre plus largement disponibles. En savoir plus sur le Histoire de fusée éclairante.  

Avec quelles industries Flare travaille-t-elle ?

Flare a des clients dans divers secteurs verticaux à l'échelle internationale. Les cas d'utilisation pour la surveillance du dark web, la surveillance des fuites de données, etc. peuvent s'appliquer à tous les secteurs et s'adapter aux défis uniques de chaque organisation. Lisez notre Cas clients pour en savoir plus.  

Comment fonctionne la tarification de Flare ? Quelle est la différence entre la tarification par siège et par identifiant ?

Nous avons un modèle de tarification flexible et transparent qui permet à votre organisation d'évoluer en fonction de ce que vous souhaitez surveiller. Au lieu de facturer par siège, qui ne tient pas compte du fait que les différents membres de l'équipe ont différents niveaux d'utilisation de la plateforme, la facturation par identifiant trouve la meilleure solution pour votre organisation en fonction du nombre d'employés et du secteur.   

Qu'est-ce qu'un identifiant ? 

Nos identifiants sont des termes de recherche qui parcourent le Web sombre et clair et renvoient une liste de risques hiérarchisés dans la plateforme SaaS intuitive de Flare. Certains exemples d'identifiants incluent des domaines, des mots clés, des noms de cadres, des adresses e-mail, des adresses IP et d'autres types de recherches qui peuvent aider à détecter les menaces liées à votre organisation. La plate-forme automatise la découverte des identifiants et recommande les zones de votre surface d'attaque à surveiller.  

Quelle est la propriété intellectuelle de Flare ? Avez-vous des brevets?

Notre propriété intellectuelle est la combinaison de tous les systèmes que nous avons construits au cours des cinq dernières années de R&D qui peuvent collecter, structurer et analyser les données sur la cybercriminalité et les cyberrisques. Nous ne prévoyons pas de le breveter car nous préférons le garder secret et conserver notre avantage concurrentiel.  

Est-ce que Flare achète des méthodes ou des données ?

Ce que nous avons vu avec nos clients, c'est qu'ils sont capables d'identifier le problème sans acheter les méthodes basées sur la description donnée dans la liste. Les acteurs de la menace doivent inclure une certaine quantité d'informations dans la liste pour attirer les acheteurs, ce qui est souvent suffisant pour que les cyber-analystes agissent.  

Flare travaille-t-il avec les forces de l'ordre ?

Oui, nous avons des liens avec les forces de l'ordre et pouvons aider à combler le fossé entre eux, les institutions financières et les régulateurs. Nous avons aidé le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) à démanteler l'un des plus grands marchés du dark web au monde. En savoir plus sur l'assistance de Flare dans ce démontage dans le Communiqué de presse du CRTC  

Quelles sont les pratiques de sécurité et de conformité de Flare ?

Flare applique les meilleures pratiques de l'industrie en matière de cybersécurité. Toutes les données sont chiffrées au repos sur AWS avec AES 256 bits et en transit à l'aide de SSL. Nous effectuons également un test d'intrusion annuel avec un prestataire externe. Nous sommes conformes à la norme SOC 2 Type 1 et visons à être conformes à la norme SOC 2 Type 2 en 2023.  

À propos de Flare : la plateforme

Comment fonctionne la plateforme Flare ?

Les clients fournissent un ensemble de termes de base (ce que nous appelons des identifiants) tels que votre nom de domaine, les noms des VIP clés de votre organisation, les noms de projets internes ou d'autres termes que vous souhaitez que nous recherchions. Nous ajoutons ensuite à vos termes des centaines d'autres termes pertinents. Avec cela combiné, la plate-forme collecte des données et surveille les secrets, les fuites techniques, les bavardages des acteurs de la menace sur votre organisation, etc., puis les hiérarchise. Non seulement nous crawlons, mais nous structurons et analysons également les données à l'aide de l'intelligence artificielle pour hiérarchiser les menaces et présenter à nos clients des niveaux de risque précis sur les activités et les acteurs.  Nous éliminons le risque de localiser vos données car nous avons mis en place un moyen sûr d'accéder, de rechercher et de surveiller ces sources illicites. Vous pouvez tout voir via une interface unique et intuitive avec des alertes proactives.  Vous voulez jeter un œil à la plateforme Flare par vous-même ? Regarder le visite de la plate-forme.  

Comment les autres équipes de renseignement utilisent-elles Flare ? 

Il existe un certain nombre de cas d'utilisation. Les équipes de renseignement sur les menaces recherchent généralement sur le dark web des menaces ou des risques ciblés autour de l'entreprise, soit des mentions spécifiques de l'organisation en tant que cible, soit une conversation sur les méthodes permettant de contourner l'authentification à deux facteurs pouvant entraîner un ATO client ou d'autres risques cybernétiques.   

Les analystes juniors/membres de l'équipe non avertis en technologie peuvent-ils utiliser Flare ?

Absolument. Nous avons conçu la plate-forme pour qu'elle soit conviviale et crée un moyen sûr et facile de rechercher parmi des sources illicites.  Lisez notre témoignage client, Flare a réduit de 97 % le temps d'investigation sur le dark web pour un important fournisseur de services de sécurité managés, pour en savoir plus sur la manière dont Flare peut aider les analystes juniors à se perfectionner.   

Les mauvais acteurs sauront-ils que j'ai recherché mes informations sur Flare ?

Non, ils ne veulent pas. Lorsque vous recherchez des informations particulières, Flare collecte tout largement et vous permet de rechercher de manière anonyme.  

Combien de temps dure le processus d'intégration de Flare ?

Flare peut être installé en aussi peu que 15 minutes.   

Quelles langues Flare prend-il en charge ?

Flare indexe et prend en charge la recherche dans n'importe quelle langue, avec n'importe quel jeu de caractères. Avec L'assistant alimenté par l'IA de Flare, votre équipe cyber peut recevoir instantanément des rapports contextualisés, quelle que soit la langue d'origine du message. Notre interface est en anglais et en français. D'autres langues arrivent bientôt !   

Quels types de sources Flare couvre-t-il ? À quelle fréquence ajoutez-vous et supprimez-vous des sources ?

Nous couvrons de nombreuses sources sur le Web clair et sombre et sur les canaux Telegram illicites. Ces sources incluent Shodan, GitHub, des compartiments publics, des sites de code source et des sites de collage, où les cybercriminels se rassemblent. Nous mettons à jour les sources chaque semaine et informons les clients des changements chaque mois.   

Flare s'occupe-t-il de la sécurité du réseau ?

Flare ne fait pas vraiment de sécurité réseau. Une solution de sécurité réseau surveille et protège généralement un réseau en demandant à des agents d'analyser ou de bloquer l'activité et de rechercher des événements malveillants. Un pare-feu est un outil de sécurité réseau typique, et des fournisseurs tels que Fortinet ou Cisco sont des acteurs bien connus de la sécurité réseau. Flare, d'autre part, complète les solutions de sécurité réseau en surveillant le côté externe d'une organisation et en identifiant les menaces et les problèmes qui s'y trouvent.  

Flare s'occupe-t-il de la sécurité des applications (appsec) ?

Flare fournit certaines fonctionnalités pour la sécurité des applications, en particulier dans le cadre de la surveillance des fuites de code source, qui se produisent généralement lorsque des organisations ou des consultants développent une application. Des solutions comme Sonatype qui aident à améliorer le pipeline DevSecOps, ou Static and Dynamic Application Testing Security (SAST/DAST) comme Acunetix, sont des fournisseurs de sécurité applicative bien connus.  

Comment Flare aide-t-il à profiler les cybercriminels ? 

Flare collecte des données sur le Web clair et sombre et crée des profils pour les cybercriminels sur la base de points de données provenant de plusieurs sources différentes. En rassemblant ces informations, nous sommes en mesure de fournir un aperçu de la crédibilité et de l'activité d'un acteur menaçant à partir de sources illicites. Si l'acteur a des adresses e-mail publiées, des poignées Telegram ou d'autres informations identifiables, elles seront disponibles dans une seule zone de l'interface Flare, vous aidant à obtenir une meilleure visibilité et à extraire des informations exploitables.  Avec le modèle d'acteur similaire, Flare s'applique traitement du langage naturel pour identifier différents noms d'utilisateur qui peuvent en fait être le même acteur de la menace, et aider à trouver des acteurs qui peuvent être liés puisqu'ils vendent des articles/services similaires.  

Quelles sont les considérations de confidentialité autour de Flare Assistant alimenté par l'IA?

Nous envoyons uniquement les résultats de Flare au service d'IA externe, et rien sur votre organisation ou votre identifiant ne quitte Flare. Les données ne sont pas utilisées par le service d'IA pour la formation ou l'amélioration du modèle, et sont gardées privées. L'assistant alimenté par l'IA ne s'exécute que si vous cliquez sur l'onglet AI Assist. Nous pouvons désactiver la fonctionnalité pour votre organisation si vous le souhaitez.   

Quel est le nombre minimum de membres de l'équipe de sécurité nécessaire pour utiliser Flare ?

Nous servons des clients qui varient en tailles d'équipes cybernétiques et en industries. Les équipes d'au moins trois membres bénéficient d'une couverture approfondie sur des sources spécifiques.   

Comment Flare suit-il les changements constants au sein des communautés illicites ?

Divers membres de l'équipe de Flare examinent chaque jour les communautés illicites pour mieux surveiller et ajouter du contexte aux conclusions sur la plate-forme Flare. L'équipe de recherche fournit des informations sur les menaces en temps opportun à nos clients et à notre public afin qu'ils puissent être mieux informés des menaces (émergentes).  Jetez un œil à certaines ressources de Flare, y compris l'équipe de recherche, dans notre Centre de documentation.  

Intégrations de la plateforme Flare

Comment intégrer mon environnement à Flare ?

La plate-forme de surveillance de l'empreinte numérique de Flare est conçue pour être flexible et compatible avec le flux de travail et l'environnement de n'importe quelle organisation, et peut fonctionner avec presque toutes les autres plates-formes via notre API REST. Les clients peuvent créer eux-mêmes des intégrations ou des automatisations avec l'API Flare. Il existe trois types d'intégrations prêtes à l'emploi : avec d'autres outils de sécurité comme SIEM/SOAR (Splunk, Sentinelle Azure), systèmes de messagerie (Slack, Microsoft Teams) et les systèmes de billetterie (Jira, ServiceNow).  

Puis-je surveiller toutes mes infrastructures publiques avec Flare ? Comment puis-je identifier les hôtes/serveurs dont j'ai peut-être perdu la trace ?

Oui, nous fournissons une surveillance externe de la surface d'attaque. Vous pouvez surveiller tous vos domaines et sous-domaines associés et nous interrogerons des outils tels que Shodan pour toutes les adresses IP associées. Chaque événement spécifiera l'identifiant de domaine par lequel il a été trouvé, l'adresse IP, les métadonnées, les CVE associés et le port ouvert en question. Vous pourrez également vérifier la validité du certificat SSH et approfondir l'adresse IP. Ces événements se verront attribuer un score de risque en fonction du port resté ouvert et du nombre de vulnérabilités qui y sont associées, entre autres.  Nous avons également un onglet Historique pour tous les résultats de l'hôte qui vous donne l'historique de tous les ports qui ont été ouverts et fermés sur l'hôte. Cela permet à votre équipe de voir quand des ports ont été laissés ouverts par erreur et combien de temps ils sont restés ouverts pour évaluer le risque.  

Comment recevoir des alertes ? Quand Flare envoie-t-il des alertes ?

Vous pouvez choisir de configurer des alertes pour vous envoyer un e-mail ou intégrer Slack et Azure Sentinel. Nous n'envoyons des alertes que pour les résultats d'identifiants spécifiques ou de groupes d'identifiants pour lesquels des alertes sont configurées dans la plateforme. Chaque fois qu'un nouveau document est trouvé sur le web clair et sombre, nous envoyons des alertes.  

Pourquoi utiliserais-je un Jira/Intégration ServiceNow-Flare ?

L'avantage d'un système de billetterie est qu'il permet de trier les alertes sans surcharge importante. Ce n'est pas aussi sophistiqué par rapport à un SIEM/SOAR, mais très simple.  

Pourquoi utiliserais-je un Sentinelle Azure/Intégration Splunk-Flare ?

L'avantage est qu'une plate-forme comme Sentinel ou Splunk comprend de nombreuses autres données de sécurité qui peuvent être utilisées pour pivoter et ajouter du contexte aux alertes Flare. Il peut également automatiser les corrections et les étapes suivantes.  

Comment fonctionnent les partenariats Flare avec MSSP

Comment les crédits de service Flare fonctionnent-ils avec les MSSP ?

Nous collaborons avec les MSSP qui souhaitent nous décharger du travail Intel avec des crédits de service. Nous ne proposons pas de version gérée de Flare, et proposons uniquement des services pour les RFI et les retraits. Nous ne répondons pas aux incidents, n'analysons pas les journaux ou n'effectuons pas d'évaluations comme les MSSP proposent aux clients.  

Puis-je remplacer le rapport par ma propre marque ?

Pour l'instant, vous pouvez utiliser la fonctionnalité pour exporter vers un document Word et mettre à jour le document directement ou copier-coller le contenu dans votre propre modèle ou rapport. Cela vous donne un contrôle total sur l'aspect et la convivialité pour le faire correspondre à votre marque. Un certain nombre de partenaires ajoutent les résultats Flare Footprint à un rapport réel qu'ils produisent déjà et ils apprécient la flexibilité.  

Définitions : ABC du Dark Web

Qu'est-ce qu'un autoshop ?

Dans le milieu criminel, le terme autoshop est utilisé pour décrire les sites Web qui permettent aux cybercriminels d'acheter « automatiquement » des actifs numériques illicites tels que des cartes de crédit, des informations de compte bancaire, des informations d'identification ou autres. Ces sites Web incluent généralement un concept "d'ajout au panier", un système de paiement en ligne basé sur la crypto-monnaie et la livraison automatique de l'article numérique. Les autoshops ont généralement un petit nombre de fournisseurs qui travaillent directement avec les administrateurs pour rendre leurs données illicites disponibles (par rapport aux marchés Web sombres peer-to-peer courants où n'importe qui peut répertorier et vendre des produits et services).  

Qu'est-ce qu'une empreinte digitale de navigateur ?

Une empreinte digitale de navigateur fait référence à un ensemble de caractéristiques et de configurations uniques de l'appareil et du navigateur d'un utilisateur qui peuvent être utilisées pour identifier et suivre l'utilisateur sur des sites Web et des services en ligne. Bien que les empreintes digitales du navigateur puissent servir à des fins légitimes, telles que la détection des fraudes et les mesures anti-bot, elles peuvent également être exploitées par des acteurs malveillants pour diverses cybermenaces et attaques. Certains logiciels malveillants ciblent les empreintes digitales du navigateur pour ensuite les revendre à des acteurs malveillants.  

Quelle est la différence entre le Web clair, sombre et profond ? Quelle est l'importance de surveiller plus que le dark web ?

Le Web clair, également connu sous le nom de Web de surface, est la partie d'Internet accessible au public que les moteurs de recherche standard indexent et recherchent. Il se compose de sites Web et de ressources qui sont librement accessibles aux utilisateurs sans aucune exigence d'accès particulière ni protocole de cryptage. Le Web clair représente une partie relativement petite de l'ensemble d'Internet (environ 4%), la majorité du contenu Internet existant dans le Web profond et Web sombre, qui ne sont pas accessibles via les moteurs de recherche standard. Le web profond comprend toutes les pages que les moteurs de recherche n'indexent pas et ne sont donc pas visibles sur les pages de résultats des moteurs de recherche (SERP). Cela inclut les sites Web protégés par mot de passe et les sites Web qui choisissent de ne pas être «explorés» par les moteurs de recherche. Le Web profond contient du contenu stocké dans des bases de données qui prennent en charge des services sur le Web clair, tels que des plateformes de médias sociaux ou des services de diffusion en continu par abonnement.  Le dark web nécessite un logiciel, des configurations ou une autorisation d'accès spécifiques (il n'est pas indexé par les moteurs de recherche standard). Le dark web est intentionnellement caché et nécessite l'utilisation d'outils spéciaux comme le navigateur Tor, qui permet une communication et une navigation anonymes. Alors que le dark web est souvent associé à des activités illégales, telles que la vente de drogues, d'armes et de données volées, il existe également d'autres activités, notamment la communication axée sur la confidentialité, l'activisme politique et le partage d'informations sensibles dans des régimes oppressifs. L'anonymat fourni par le dark web le rend attrayant à des fins légales et illégales, car il permet aux utilisateurs de communiquer et de partager des informations sans révéler leur identité ou leur emplacement. Bien que les acteurs de la menace soient souvent associés au dark web, ils se rassemblent dans de nombreuses zones du web clair, sombre et profond. Chaînes de télégrammes illicites gagnent en popularité en tant qu'alternative populaire aux forums et marchés du dark web. Surveillez tous ces domaines pour une stratégie complète de renseignements sur les cybermenaces.   

Qu'est-ce qu'une liste déroulante ?

Liste combinée est un terme utilisé par les acteurs de la menace pour décrire une grande liste organisée d'informations d'identification (nom d'utilisateur et mot de passe) qui est généralement exploitée avec une attaque de bourrage d'informations d'identification pour tenter d'accéder à un système.   

Qu'est-ce qu'un forum du dark web ?

A forum du darknet est un forum de discussion en ligne ou une communauté où les utilisateurs peuvent participer à des discussions sur divers sujets. Ces forums se concentrent souvent sur des intérêts spécifiques, tels que le piratage, la cybercriminalité, l'activisme ou la confidentialité. Les visiteurs du forum peuvent poser des questions, partager des connaissances, fournir des conseils et collaborer sur des projets. Les forums du dark web peuvent être une source d'informations, d'outils et de techniques pour les cybercriminels, mais ils peuvent également être utilisés par les défenseurs de la vie privée, les lanceurs d'alerte et les personnes cherchant à éviter la censure.  

Qu'est-ce qu'un marché du dark web ?

A marché du dark web est une place de marché en ligne qui opère sur le dark web, facilitant principalement l'achat et la vente de biens et de services (souvent illicites). Les transactions sont généralement effectuées avec une crypto-monnaie pour fournir l'anonymat. Les marchés du dark web proposent une gamme de produits, notamment des médicaments, des armes, des données volées, des produits contrefaits, des outils de piratage, etc.  

Qu'est-ce qu'une violation de données?

Une violation de données est un incident au cours duquel une personne ou une entité non autorisée accède à des données sensibles, généralement par le biais d'actions délibérées telles que le piratage ou l'exploitation des vulnérabilités d'un système. Les auteurs de menaces peuvent utiliser diverses tactiques, telles que le phishing, les logiciels malveillants ou l'ingénierie sociale, pour infiltrer un système et exfiltrer des données sensibles. L'objectif d'une violation de données est généralement d'acquérir des informations précieuses à des fins financières, d'usurpation d'identité ou à d'autres fins malveillantes.  

Qu'est-ce qu'une fuite de données ?

Une fuite de données est une exposition ou une divulgation involontaire de données sensibles, souvent due à une erreur humaine, à une mauvaise configuration ou à l'absence de mesures de sécurité appropriées. Une fuite de données peut se produire lorsque des informations sensibles sont accidentellement partagées avec des parties non autorisées, par exemple par e-mail, stockage dans le cloud ou bases de données non protégées. Dans ce cas, il se peut qu'il n'y ait pas de tentative délibérée d'accéder aux données, mais le résultat est toujours une exposition d'informations sensibles.  

Qu'est-ce qu'un appareil infecté ?

Un appareil infecté fait référence à un appareil électronique, généralement un ordinateur, qui a été compromis par un logiciel malveillant. Dans ce contexte, "infecté" signifie que l'appareil a été ciblé et exploité avec succès par des pirates qui ont réussi à installer des logiciels malveillants sur l'appareil à l'insu ou sans le consentement de l'utilisateur. Une fois qu'un appareil est infecté, le logiciel malveillant peut effectuer diverses activités malveillantes, en fonction de son type et de son objectif. Ils peuvent être vendus sur les marchés d'appareils infectés.   

Qu'est-ce qu'une fuite d'informations d'identification ?

Informations d'identification divulguées font référence à des informations de connexion sensibles, telles que des noms d'utilisateur, des adresses e-mail et des mots de passe, qui ont été accidentellement exposées en l'absence de mesures de sécurité appropriées ou intentionnellement volées et ensuite rendues publiques ou partagées entre des acteurs malveillants. Les fuites d'informations d'identification peuvent survenir à la suite de violations de données, de fuites de données, d'attaques de phishing ou d'autres incidents de cybersécurité.  

Qu'est-ce qu'un journal de vol ?

Un journal de voleur fait référence à un enregistrement ou à un fichier généré par un type de malware connu sous le nom de "voleur", "voleur d'informations" ou malware voleur. Ce type de logiciel malveillant est conçu pour collecter et exfiltrer des informations sensibles à partir d'un appareil compromis. Le journal du voleur contient les données collectées, qui peuvent inclure des noms d'utilisateur, des mots de passe, l'historique du navigateur, des cookies, des détails de carte de crédit ou d'autres informations confidentielles que le logiciel malveillant voleur a réussi à capturer.  

Qu'est-ce qu'un logiciel malveillant (info)stealer ?

Logiciel malveillant Stealer, également connu sous le nom de voleur d'informations ou voleur de données, est un type de logiciel malveillant conçu pour collecter et exfiltrer des informations sensibles à partir d'appareils infectés. L'objectif principal des logiciels malveillants voleurs est de collecter des données précieuses, telles que les identifiants de connexion, les informations de carte de crédit, les détails d'identification personnelle et d'autres données confidentielles, qui peuvent être utilisées à diverses fins malveillantes ou vendues sur le dark web. Les informations volées par les logiciels malveillants voleurs sont un journal voleur. 

Qu'est ce que Ransomware?

liés aux rançongiciels est un type de logiciel malveillant (malware) qui infecte l'ordinateur ou le réseau d'une victime, chiffre ses données et exige le paiement d'une rançon en échange de la clé de déchiffrement pour restaurer l'accès aux fichiers chiffrés. L'objectif principal des rançongiciels est d'extorquer de l'argent aux victimes. Les acteurs de la menace ont eu tendance à intensifier leurs attaques, passant d'un seul rançongiciel d'extorsion à un double, voire triple extorsion.  

Qu'est-ce que le harponnage ?

Hameçonnage est une forme ciblée d'attaque de phishing où les cybercriminels envoient des e-mails soigneusement conçus à des individus ou des organisations spécifiques dans le but de les amener à révéler des informations sensibles, à cliquer sur des liens ou des pièces jointes malveillants, ou à effectuer des actions qui profitent à l'acteur de la menace. Contrairement aux attaques de phishing traditionnelles, qui sont généralement envoyées à un grand nombre de destinataires sous une forme plus générique, le spear phishing est adapté à la victime ciblée, ce qui le rend plus convaincant et efficace. Les acteurs de la menace élaborent des campagnes de harponnage en recherchant de manière approfondie leurs cibles, en recueillant des informations auprès de sources publiques telles que les réseaux sociaux et les sites Web d'entreprise. Les e-mails de spear phishing usurpent souvent l'identité de sources fiables, telles que des collègues, des partenaires commerciaux ou des cadres supérieurs au sein de l'organisation cible.   Curieux de connaître le jargon des acteurs menaçants ? Lire notre article de blog, Parlez-vous fraudeur ?, pour apprendre plus.