Voir pour mieux comprendre. Les acteurs de la sécurité offrent des tableaux de bord aux riches visualisations pour mieux comprendre les dangers d’Internet et aider les entreprises à analyser l’état des différentes menaces. Voici 15 sites indispensables et pédagogiques…

L’observabilité est devenue l’un des « buzz words » de 2020 que l’on parle de fonctionnement d’applications multicloud, de compréhension de ce qui se passe dans les réseaux de neurones de nos IA, ou encore de cybersécurité.

En matière de sécurité justement, nombreux sont ceux qui se demandent d’où viennent les attaques, quels sont les pays les plus attaqués, ce qui se passe sur la planète Internet alors que les cyberattaquants lancent en moyenne une attaque toutes les 39 secondes, soit plus de 2240 attaques par jour.

Dans les entreprises, les logiciels de SIEM et les panneaux de contrôle des SOC se dotent de plus en plus d’outils de visualisation très sophistiqués permettant de visualiser l’origine des flux réseau, les consommations de bande passante, les vulnérabilités découvertes ou encore de suivre en temps réel différents indicateurs. De plus en plus, la cybersécurité d’une entreprise est affaire de données et donc de représentation avec l’apparition de nouvelles visualisations en 3D et d’expérimentations consistant à doter des administrateurs de casques Hololens par exemple.

Ces besoins ont conduit certains spécialistes de la cybersécurité à proposer en libre accès sur Internet des cartes de surveillance des attaques mondiales en s’appuyant sur les données remontées par leurs sondes et leurs outils de protection pour « gateways et endpoints ». Ces sites sont rarement aussi temps-réel qu’ils le prétendent. Les visualisations s’appuient sur une lecture de logs remontant à plusieurs heures voire plusieurs jours pour leur donner un côté plus spectaculaire mais aussi souvent plus parlant. En outre ces sites ont souvent une approche très marketing. Ils ne sont pas utiles au quotidien pour aider les entreprises à lutter contre des attaques. Mais ils sont en revanche des outils pédagogiques pour mieux cerner l’ampleur des problématiques auxquelles sont confrontées RSSI et équipes IT en charge de la sécurité des infrastructures.

Une petite remarque toutefois. L’origine des attaques est rarement significative. Elle s’appuie sur l’IP apparente d’où provient l’attaque. Or les cybercriminels n’attaquent jamais directement. Ils passent par des VPN ou par des Botnets. Les origines sont donc généralement celles des grands serveurs VPN des principaux fournisseurs de connexion sécurisée ou celles des machines infectées par des Botnets. Elles ne montrent pas l’origine réelle de l’attaquant qui peut être placé n’importe où sur la planète.

Voici une liste des sites de visualisation des cyberattaques les plus utiles et les plus spectaculaires.

Kaspersky Cyberthreat Real-Time Map

C’est l’une des représentations les plus populaires parce que l’une des plus spectaculaires. Les ingénieurs de Kaspersky Lab ont particulièrement soigné le rendu et l’interactivité de leur carte des menaces qui affichent les données des attaques DDoS, des détections de malwares, des détections de vulnérabilités, des attaques par Phishing et de l’activité des botnets.
Les informations de la Kaspersky Cybermap sont issues des différents boucliers intégrés dans les protections de l’éditeur à destination des particuliers et des entreprises. Il est ainsi possible de filtrer la vue pour un type de bouclier donné (anti-spam, anti-malware, etc.).
Sans doute la visualisation la plus impressionnante mais pas nécessairement la plus utile.

SonicWall Live Cyber Attacks Map

Le tableau de bord des attaques mondiales de SonicWall est l’un des plus riches qui soient proposés ainsi librement à tous les internautes. Il affiche une vue des attaques en temps réel avec de nombreuses statistiques sur les dernières 24 heures. Il montre les pays dont paraissent originaires les attaques (la France était d’ailleurs en tête de podium le jour de l’écriture de cet article) et différencie visuellement les tentatives d’intrusion des activités de malwares. Il affiche également le nombre d’attaques détectées par site.
Un second volet permet d’avoir des analyses plus détaillées par types d’attaque : malware, intrusions, ransomware, nouvelles menaces, spam, phishing, cryptojacking, Web App Attacks, malware IoT…
Il y a beaucoup à apprendre de ce tableau de bord si l’on y passe un peu de temps à analyser toutes les informations proposées.

Oracle Safer Internet Initiative

Oracle a lancé son initiative « Safer Internet » en 2018 avec une première carte. Désormais, celle-ci propose trois outils de visualisation.
Oracle Internet Intelligence Map ‎affiche une carte des perturbations et interruptions sur les différents points d’interconnexion donnant une certaine visibilité sur l’impact des attaques sur les performances de l’internet mondial.
IXP Filter Check est un outil complémentaire pensé pour améliorer la sécurité du routage Internet en surveillant le filtrage des itinéraires aux points d’échange Internet (IXP).
Routing 3D Visualization est le plus récent des tableaux de bord proposés par Oracle dans le cadre de son initiative. Ultra technique (comme IXP Filter Check), ce service vise à accroître la compréhension du public des événements de routage Internet tels que les fuites et les détournements de BGP grâce à de nouvelles visualisations en 3D.

NetScout Cyber Threat Map

NetScout Cyber Threat Map est sans doute, avec ceux d’Oracle, l’un des tableaux de bord les plus utiles aux experts de la sécurité par la richesse des informations contextualisées qu’il propose.
Le site se focalise sur les attaques DDoS observées mondialement et en temps réel.
De nombreux filtres sont proposés pour ne surveiller que certains types d’attaques en particulier par exemple. Les filtres comprennent le type d’événements, les pays, les secteurs industriels, les destinations, les déclencheurs, etc.

LookingGlass Threat Map

La carte des attaques LookingGlass Threat Map présente une vue en temps réel des attaques à partir du moment où vous vous connectez. Cela permet d’avoir une bonne vision du nombre d’attaques par secondes dans le monde.
La carte affiche deux données particulièrement intéressantes : les activités des botnets et les détections de Phishing. On a donc une vision assez claire des URL de Phishing et des noms de domaine infectés.
Pour en savoir plus sur une détection, il suffit de cliquer sur le point correspondant sur la carte.

Deteque Live Botnet Threats Worldwide

Les botnets sont un véritable fléau. Ces réseaux massifs de machines infectées sont commandés par des cybercriminels qui se font payer pour lancer des attaques par dénis de service, lancer des campagnes de spams, miner des cryptomonnaies, orchestrer des campagnes de ransomwares.
Deteque Live Botnet Threats offre un tableau de bord des principaux botnets actifs et permet de se rendre compte en temps réel de l’étendue de ces forces de frappe et de leur activité. Un site vraiment instructif avec ses informations temps réels, son Top des pays les plus infectés et son Top des botnets les plus actifs.

Akamai Real-Time Web Attack Monitor

De par son activité d’accélérateur du Web (une vaste partie du trafic Internet passe par ses serveurs de cache), Akamai bénéficie d’une place privilégiée pour surveiller ce qui se passe sur le réseau mondial.
D’ailleurs sa carte ne se contente pas d’afficher les attaques Web mais affiche également la volumétrie du trafic Web en temps réel.
Visuellement peu spectaculaire mais néanmoins parlante, la carte Akamai de Surveillance Web en Temps-Réel affiche une liste des pays les plus attaqués durant les 24 dernières heures ainsi que la moyenne des attaques sur 30 jours.

Talos Cyber Attack Map Top Spam & Malware Senders

Quels sont les pays qui envoient le plus de spams et de malwares à travers l’Internet ? Talos apporte une réponse très visuelle à cette question avec sa Cyber Attack Map.
La division cybersécu de Cisco s’appuie sur les données collectées auprès des clients ayant accepté de joindre le programme de « knowledge-sharing » et sur celles des capteurs (internes ou de tiers partenaires) de Talos.
Outre la carte mondiale, le service affiche le Top des 10 plus gros émetteurs de Spam et le Top des 10 plus gros diffuseurs de malwares. Seuls les noms des fournisseurs cloud apparaissent en réalité puisque ces émissions massives proviennent la plupart du temps de serveurs IaaS infectés et utilisés pour la diffusion de spams, phishings et malwares.

Arbor Networks DDoS Digital Attack Map

La Digital Attack Map d’Arbor Networks est sans doute l’une des visualisations les plus populaires du Net pour analyser les attaques par déni de service. Les données proviennent de plus de 300 fournisseurs d’accès Internet. La carte affiche un historique des attaques depuis 2015 et elle se met à jour toutes les heures. Elle donne des informations relativement utiles comme la taille en Gbps de l’attaque (pour mieux en mesurer l’ampleur), les ports utilisés, etc.

CheckPoint ThreatCloud Map

Autre marque réputée de protections, CheckPoint propose son service ThreatCloud combinant attaques par malware, attaques par Phishing et attaques par exploits.
La carte montre les attaques détectées en temps réel. Elle donne également une vue quotidienne des Pays les plus ciblés par les attaques, les industries les plus ciblées, et enfin les types de malwares les plus en vogue. En cliquant sur un pays, on obtient des informations complémentaires sur les menaces quotidiennes spécifiquement repérées sur les machines des utilisateurs de ce pays.
Une visualisation simple et plutôt très parlante.

FireEye Cyber Threat Map

Relativement minimaliste, la carte Cyber Threat Map de FireEye affiche des attaques en temps réel en montrant l’origine et la destination de celles-ci. Parmi les informations qui valent le coup d’œil on notera un affichage qui précise lorsque les attaques font appel à des APT (Advanced Persistent Threat) ainsi qu’un Top 5 mensuel des industries ou domaines d’activité les plus ciblés par les attaques repérées.

Fortinet Threat Map

Ce n’est pas nécessairement la carte la plus spectaculaire ou la plus riche visuellement mais la Threat Map de Fortinet permet de se concentrer facilement sur les attaques touchant un pays donné et d’avoir une bonne visibilité de leurs destinations.
Les attaques affichées sont essentiellement des attaques DDoS, des attaques mémoire et des attaques par exécution distante. Les informations proviennent des détections réalisées par les protections FortiGuard.

Threatbutt Internet Hacking Attack

Certains prennent la sécurité avec sérieux et humour. C’est le cas de Threatbutt avec son Internet Hacking Attack Attribution Map au look volontairement rétro et sonorisé pour lui donner un côté jeu vidéo old-school des années 80.
Chaque attaque est d’ailleurs décrite avec un trait d’humour histoire de dédramatiser un peu tout ça.
Ce qui en fait sans doute l’une des cartes les plus distrayantes du monde de la cybersécurité.

La cyber-résilience des entreprises dépend aussi de leur capacité à sensibiliser leurs collaborateurs aux différents risques et menaces. L’intégration de ces tableaux de bord très visuels dans les campagnes de formation est une approche à la fois fun et pédagogique. Des sites à conserver dans ses favoris à toutes fins utiles…