Voir pour mieux comprendre. Des tableaux de bords créés par quelques acteurs phares de la cybersécurité réalisent des cartographies visuelles pour mieux comprendre les dangers d’Internet et aider les entreprises à analyser l’état des différentes menaces. Voici les meilleurs sites 2021 en la matière…

L’observabilité est bien plus qu’un Buzz Word. C’est une nécessité pour bien comprendre les failles, les risques, et les attaques qui menacent la résilience du système d’information de l’entreprise. Alors que les cyberattaquants lancent en moyenne une attaque toutes les 39 secondes, soit plus de 2240 attaques par jour, DSI, RSSI et autres spécialistes de la cybersécurité ont besoin savoir d’où viennent les attaques, quels sont les pays les plus attaqués, et l’évolution du paysage des menaces.

Dans les entreprises, les logiciels de SIEM et les panneaux de contrôle des SOC se dotent de plus en plus d’outils de visualisation très sophistiqués permettant de visualiser l’origine des flux réseau, les consommations de bande passante, les vulnérabilités découvertes ou encore de suivre en temps réel différents indicateurs. Aujourd’hui, la cybersécurité d’une entreprise est d’abord une affaire de données. Leur représentation sous des formes parlantes et visuelles devient un atout essentiel pour partager le savoir que l’on en tire et faciliter sa compréhension. Nouvelles visualisations en 3D et d’expérimentations consistant à doter des administrateurs de casques Hololens sont quelques exemples des avancées en la matière.

Ces besoins ont conduit certains spécialistes de la cybersécurité à proposer en libre accès sur Internet des cartes de surveillance des attaques mondiales en s’appuyant sur les données remontées par leurs sondes et leurs outils de protection pour « gateways et endpoints ». Ces sites sont rarement aussi temps-réel qu’ils le prétendent. Les visualisations s’appuient sur une lecture de logs remontant à plusieurs heures voire plusieurs jours pour leur donner un côté plus spectaculaire mais aussi souvent plus parlant. En outre ces sites ont souvent une approche très marketing. Ils ne sont pas forcément utiles au quotidien pour aider les entreprises à lutter directement contre des attaques. Mais ils sont en revanche d’excellents outils pédagogiques pour démocratiser auprès des employés et des directions l’ampleur des problématiques auxquelles sont confrontées RSSI et équipes IT en charge de la sécurité des infrastructures.

Une petite remarque toutefois. L’origine des attaques est rarement significative. Elle s’appuie sur l’IP apparente d’où provient l’attaque. Or les cybercriminels n’attaquent jamais directement. Ils passent par des VPN ou par des Botnets. Les origines sont donc généralement celles des grands serveurs VPN des principaux fournisseurs de connexion sécurisée ou celles des machines infectées par des Botnets. Elles ne montrent pas l’origine réelle de l’attaquant qui peut être placé n’importe où sur la planète.

A ces fins, voici une liste 2021 actualisée des sites de visualisation des cyberattaques les plus utiles et les plus spectaculaires. Des nouveautés sont apparues depuis l’édition 2020 de ce panorama : si certains dashboards ont disparu, d’autres font leur apparition à commencer par ceux de BitDefender, Sophos, Imperva, Akamai et Spamhaus.

Kaspersky Cyberthreat Real-Time Map

C’est l’une des représentations les plus populaires parce que l’une des plus spectaculaires. Les ingénieurs de Kaspersky Lab ont particulièrement soigné le rendu et l’interactivité de leur carte des menaces qui affichent les données des attaques DDoS, des détections de malwares, des détections de vulnérabilités, des attaques par Phishing et de l’activité des botnets.
Les informations de la Kaspersky Cybermap sont issues des différents boucliers intégrés dans les protections de l’éditeur à destination des particuliers et des entreprises. Il est ainsi possible de filtrer la vue pour un type de bouclier donné (anti-spam, anti-malware, etc.).
Sans doute la visualisation la plus impressionnante mais pas nécessairement la plus utile.

Arbor Networks DDoS Digital Attack Map

La première partie de l’année 2020 a été marquée par une recrudescence des attaques par Déni de Service ou attaques DDoS. Battant des records de bande passante et de complexité, elles sont redevenues l’une des menaces majeures du moment.
La Digital Attack Map d’Arbor Networks est sans doute l’une des visualisations les plus populaires du Net pour analyser les attaques par déni de service. Les données proviennent de plus de 300 fournisseurs d’accès Internet. La carte affiche un historique des attaques depuis 2015 et elle se met à jour toutes les heures. Elle donne des informations relativement utiles comme la taille en Gbps de l’attaque (pour mieux en mesurer l’ampleur), les ports utilisés, etc.

SonicWall Live Cyber Attacks Map

Le tableau de bord des attaques mondiales de SonicWall est l’un des plus riches qui soient proposés ainsi librement à tous les internautes. Il affiche une vue des attaques en temps réel avec de nombreuses statistiques sur les dernières 24 heures. Il montre les pays dont paraissent originaires les attaques (la France était d’ailleurs en tête de podium le jour de l’écriture de cet article) et différencie visuellement les tentatives d’intrusion des activités de malwares. Il affiche également le nombre d’attaques détectées par site.
Un second volet permet d’avoir des analyses plus détaillées par types d’attaque : malware, intrusions, ransomware, nouvelles menaces, spam, phishing, cryptojacking, Web App Attacks, malware IoT…
Il y a beaucoup à apprendre de ce tableau de bord si l’on y passe un peu de temps à analyser toutes les informations proposées.

NetScout Omnis Theat Horizon

NetScout Omnis Threat Horizon est sans doute l’un des tableaux de bord les plus utiles aux experts de la sécurité par la richesse des informations contextualisées qu’il propose.
Le site se focalise sur les attaques DDoS observées mondialement et en temps réel.
De nombreux filtres sont proposés pour ne surveiller que certains types d’attaques en particulier par exemple. Les filtres comprennent le type d’événements, les pays, les secteurs industriels, les destinations, les déclencheurs, etc.

Bitdefender Live CyberThreat Real-Time Map

Grand nom des solutions antivirus, Bitdefender propose son propre tableau de bord temps réel et interactif qui met en évidence les attaques (email et réseaux) ainsi que les infections et les spams repérés par ses solutions de sécurité. Bitdefender CyberThreat Real-Time Map affiche une carte temps réel avec une liste détaillée des attaques détectées spécifiant le type d’attaque, le pays d’où semble émaner l’attaque et le pays cible de l’attaque.

Imperva Cyber Threat Index & Attack Map

L’éditeur californien spécialisé dans la protection des applications Web et Cloud propose lui aussi sa carte de visualisation des menaces détectées par ses protections. Celle-ci est dissimulée derrière la section Cyber Threat Index qui affiche le niveau de dangerosité global du net et met en évidence les menaces sur les applications, sur la sécurité des données ainsi que les menaces DDoS. La section « Daily Attacks » affiche une carte des attaques détectées ainsi que des Top 3 (pays les plus attaqués, les plus utilisés pour attaquer, des types d’attaque, des industries les plus attaquées, etc.). En cliquant sur un pays, on obtient des statistiques cyber propres à celui-ci.

LookingGlass Threat Map

La carte des attaques LookingGlass Threat Map présente une vue en temps réel des attaques à partir du moment où vous vous connectez. Cela permet d’avoir une bonne vision du nombre d’attaques par secondes dans le monde.
La carte affiche deux données particulièrement intéressantes : les activités des botnets et les détections de Phishing. On a donc une vision assez claire des URL de Phishing et des noms de domaine infectés.
Pour en savoir plus sur une détection, il suffit de cliquer sur le point correspondant sur la carte.

Spamhaus Live Botnet Threats Worldwide

Les botnets sont un véritable fléau. Ces réseaux massifs de machines infectées sont commandés par des cybercriminels qui se font payer pour lancer des attaques par dénis de service, lancer des campagnes de spams, miner des cryptomonnaies, orchestrer des campagnes de ransomwares.
Spamhaus Live Botnet Threats (anciennement Deteque Live Maps) offre un tableau de bord des principaux botnets actifs et permet de se rendre compte en temps réel de l’étendue de ces forces de frappe et de leur activité. Un site vraiment instructif avec ses informations temps réels, son Top des pays les plus infectés et son Top des botnets les plus actifs.

Talos Cyber Attack Map Top Spam & Malware Senders

Quels sont les pays qui envoient le plus de spams et de malwares à travers l’Internet ? Talos apporte une réponse très visuelle à cette question avec sa Cyber Attack Map.
La division cybersécu de Cisco s’appuie sur les données collectées auprès des clients ayant accepté de joindre le programme de « knowledge-sharing » et sur celles des capteurs (internes ou de tiers partenaires) de Talos.
Outre la carte mondiale, le service affiche le Top des 10 plus gros émetteurs de Spam et le Top des 10 plus gros diffuseurs de malwares. Seuls les noms des fournisseurs cloud apparaissent en réalité puisque ces émissions massives proviennent la plupart du temps de serveurs IaaS infectés et utilisés pour la diffusion de spams, phishings et malwares.

CheckPoint ThreatCloud Map

Autre marque réputée de protections, CheckPoint propose son service ThreatCloud combinant attaques par malware, attaques par Phishing et attaques par exploits.
La carte montre les attaques détectées en temps réel. Elle donne également une vue quotidienne des Pays les plus ciblés par les attaques, les industries les plus ciblées, et enfin les types de malwares les plus en vogue. En cliquant sur un pays, on obtient des informations complémentaires sur les menaces quotidiennes spécifiquement repérées sur les machines des utilisateurs de ce pays.
Une visualisation simple et plutôt très parlante.

FireEye Cyber Threat Map

Relativement minimaliste, la carte Cyber Threat Map de FireEye affiche des attaques en temps réel en montrant l’origine et la destination de celles-ci. Parmi les informations qui valent le coup d’œil on notera un affichage qui précise lorsque les attaques font appel à des APT (Advanced Persistent Threat) ainsi qu’un Top 5 mensuel des industries ou domaines d’activité les plus ciblés par les attaques repérées.

Akamai Vizualization Tools & Monitor Enterprise Threats

Avec l’acquisition en 2021 de Guardicore, le leader mondial des CDN, Akamai, a encore renforcé son empreinte dans l’univers de la cyber-sécurité et des solutions Zero Trust. Le site d’Akamai propose plusieurs outils de visualisation. La page d’accueil affiche des statistiques sur les différents types d’attaques repérées à travers le monde et sur les secteurs actuellement les plus attaqués. Elle mène à l’affichage d’un globe 3D « Web Application Attacks » pour visuellement situer l’origine et la destination des attaques repérées. Elle mène également à un autre outil fondamental, dénommé « Monitor Enterprise Threats » affichant en pseudo temps-réel les menaces de type Malware, Phishing et C&C (botnets) détectées et bloquées par les infrastructures d’Akamai.
Autant d’informations visuelles instructives et utiles à garder sous les yeux…

Spamhaus Live Botnet Threats

Les botnets, ces réseaux de machines infectées et sous le contrôle de groupe de cybercriminels, sont les principaux vecteurs d’attaques DDoS, de diffusion de ransomwares et de diffusion de campagnes de phishing. Depuis deux décennies, les équipes de Spamhaus cherchent à protéger l’internet et ses utilisateurs des activités malveillantes. Elles proposent un tableau de bord temps réel « Spamhaus Live Botnet Threats » pour mieux comprendre l’importance et l’utilisation des botnets. Ce dernier montre les villes où l’activité des botnets est la plus intense ainsi que la position des serveurs C&C qui les contrôlent. D’un coup d’œil, on a ainsi la confirmation que la Chine et l’Inde hébergent les plus importants réseaux Botnets mais aussi que les infrastructures d’AWS sont massivement utilisées pour les C&C.

Fortinet Threat Map

Ce n’est pas nécessairement la carte la plus spectaculaire ou la plus riche visuellement mais la Threat Map de Fortinet permet de se concentrer facilement sur les attaques touchant un pays donné et d’avoir une bonne visibilité de leurs destinations.
Les attaques affichées sont essentiellement des attaques DDoS, des attaques mémoire et des attaques par exécution distante. Les informations proviennent des détections réalisées par les protections FortiGuard.

Threatbutt Internet Hacking Attack

Certains prennent la sécurité avec sérieux et humour. C’est le cas de Threatbutt avec son Internet Hacking Attack Attribution Map au look volontairement rétro et sonorisé pour lui donner un côté jeu vidéo old-school des années 80.
Chaque attaque est d’ailleurs décrite avec un trait d’humour histoire de dédramatiser un peu tout ça.
Ce qui en fait sans doute l’une des cartes les plus distrayantes du monde de la cybersécurité.

Sophos Map

De toutes les visualisations présentées ici, la carte Sophos est la seule à ne pas afficher les attaques en pseudo temps réel. La représentation est statique mais néanmoins interactive et permet d’obtenir des informations détaillées sur les sites infectés, l’origine des spams et celle des emails malveillants. La page débute par des indicateurs tels que le nombre moyen de requêtes malveillantes ou le nombre de malwares blockés sur les dernières 24 H.

 

Pour conclure, rappelons que la cyber-résilience des entreprises dépend aussi de leur capacité à sensibiliser leurs collaborateurs aux différents risques et menaces. L’intégration de ces tableaux de bord très visuels dans les campagnes de formation est une approche à la fois fun et pédagogique que DSI, RSSI et DPO devraient considérer pour l’année à venir.

Des sites à conserver dans ses favoris à toutes fins utiles alors que l’année 2022 s’annonce au moins aussi mouvementée que l’année 2021 dans le domaine des cyber-menaces et des cyber-attaques…