>
Blog

Ce que les 6 phases du cycle de vie de la Threat Intelligence signifient pour votre équipe

Publié : 15 janvier 2020
By: THE RECORDED FUTURE TEAM

Note de l’éditeur: Au cours des prochaines semaines, nous partagerons des extraits de la deuxième édition récemment publiée de notre livre populaire, « The Threat Intelligence Handbook : Moving Toward a Security Intelligence Program ». Ici, nous examinons le chapitre deux, « Le cycle de vie des renseignements sur les menaces ».

Dans votre parcours vers l’intelligence de sécurité, une intelligence complète et en temps réel doit être étroitement intégrée à vos processus de sécurité, à votre programme de gestion des risques liés aux tiers et à votre stratégie de protection de la marque. Mais pour y parvenir, comment pouvez-vous développer des renseignements sur les menaces qui ajoutent vraiment de la valeur à votre organisation ? Et comment pouvez-vous vous assurer que les informations que vous fournissez sont exploitables par les équipes dans toutes les fonctions de sécurité ?

Pour répondre à ces questions, il est important de considérer la production de renseignements sur les menaces comme un processus cyclique en plusieurs étapes, et non comme une tâche ponctuelle.

Tout d’abord, les objectifs du cycle de renseignement sur les cybermenaces doivent être définis par les principales parties prenantes. Ces objectifs peuvent varier considérablement d’une organisation à l’autre en fonction des cas d’utilisation, des priorités et des risques. À partir de là, les données doivent être recueillies à partir d’un éventail de sources – internes, techniques et humaines – afin d’obtenir une image complète des cybermenaces potentielles et réelles. Ensuite, ces données doivent être traitées et transformées en renseignements réels, opportuns, clairs et exploitables par tous, qu’il s’agisse de doter un SOC, de répondre à des incidents de sécurité, de gérer des vulnérabilités, d’analyser les risques liés aux tiers, de protéger votre marque numérique ou de prendre des décisions de sécurité de haut niveau. Cette production de renseignements finis est ensuite transmise aux principales parties prenantes, qui peuvent l’utiliser pour améliorer continuellement les cycles de renseignement futurs et affiner leur processus de prise de décision.

L’extrait suivant de « The Threat Intelligence Handbook : Moving Toward a Security Intelligence Program » a été édité et condensé pour plus de clarté. Dans ce document, nous examinerons chacune des six phases du cycle de vie du renseignement sur les menaces, examinerons les sources de renseignements sur les menaces et examinerons le rôle des outils de renseignement sur les menaces et des analystes humains.

Le cycle de vie de la Threat Intelligence en 6 étapes

Les renseignements sur les menaces s’appuient sur des techniques analytiques perfectionnées depuis plusieurs décennies par les agences gouvernementales et militaires. Le renseignement traditionnel se concentre sur six phases distinctes qui constituent ce que l’on appelle le « cycle du renseignement » : la direction, la collecte, le traitement, l’analyse, la diffusion et la rétroaction.

Qu’est-ce que le cycle de vie des Cyber Threat Intelligence ?

La Threat Intelligence et les six phases du cycle de vie du renseignement.

1. Mise en scène

La phase d’orientation du cycle de vie est celle où vous fixez des objectifs pour le programme de renseignement sur les menaces. Il s’agit de comprendre et d’articuler :

  • Les actifs informationnels et les processus métier qui doivent être protégés
  • Les impacts potentiels de la perte de ces actifs ou de l’interruption de ces processus
  • Les types de renseignements sur les menaces dont l’organisation de sécurité a besoin pour protéger les actifs et répondre aux menaces émergentes
  • Priorités concernant ce qu’il faut protéger

Une fois que les besoins en intelligence de haut niveau sont déterminés, une organisation peut formuler des questions qui canalisent le besoin d’information en exigences discrètes. Par exemple, si l’objectif est de comprendre les adversaires potentiels, une question logique serait la suivante : « Quels acteurs de la menace sur les forums clandestins sollicitent activement des données concernant notre organisation ? »

2. Collecte

La collecte est le processus de collecte d’informations pour répondre aux besoins les plus importants en matière de renseignement. La collecte d’information peut se faire de manière organique par divers moyens, notamment :

  • Extraction de métadonnées et de journaux à partir de réseaux internes et de dispositifs de sécurité
  • S’abonner aux flux de données sur les menaces provenant d’organisations industrielles et de fournisseurs de cybersécurité
  • Tenir des conversations et des entretiens ciblés avec des sources bien informées
  • Analyse des actualités et des blogs open source (une pratique OSINT courante)
  • Scraping et récolte de sites web et de forums
  • Infiltrer des sources fermées telles que les forums du dark web

Les données collectées sont généralement une combinaison d’informations de renseignement finies, telles que des rapports de renseignement d’experts et de fournisseurs en cybersécurité, et de données brutes, telles que des signatures de logiciels malveillants ou des informations d’identification divulguées sur un site de collage.

3. Traitement

Le traitement est la transformation des informations collectées dans un format utilisable par l’organisation. Presque toutes les données brutes collectées doivent être traitées d’une manière ou d’une autre, que ce soit par des humains ou des machines. Des méthodes de collecte différentes nécessitent souvent des moyens de traitement différents. Il peut être nécessaire de corréler et de classer les rapports humains, de déconflicter et de vérifier.

Par exemple, vous pouvez extraire des adresses IP du rapport d’un fournisseur de sécurité et les ajouter à un fichier CSV pour les importer dans un produit de gestion des informations et des événements de sécurité (SIEM). Dans un domaine plus technique, le traitement peut consister à extraire des indicateurs d’un e-mail, à les enrichir avec d’autres informations, puis à communiquer avec des outils de protection des terminaux pour un blocage automatisé.

4. Analyse

L’analyse est un processus humain qui transforme les informations traitées en informations susceptibles d’éclairer les décisions. Selon les circonstances, les décisions peuvent porter sur l’opportunité d’enquêter sur les menaces émergentes potentielles, les actions à prendre immédiatement pour bloquer une attaque, la manière de renforcer les contrôles de sécurité ou le montant justifié d’investir dans des ressources de sécurité supplémentaires.

La forme sous laquelle les informations sont présentées est particulièrement importante. Il est inutile et inutile de collecter et de traiter des informations, puis de les fournir sous une forme qui ne peut pas être comprise et utilisée par le décideur. Par exemple, si vous souhaitez communiquer avec des responsables non techniques, votre rapport doit :

  • Soyez concis (une note de service d’une page ou une poignée de diapositives)
  • Évitez les termes et le jargon déroutants et trop techniques
  • Articuler les enjeux en termes commerciaux (tels que les coûts directs et indirects et l’impact sur la réputation)
  • Inclure un plan d’action recommandé

Certaines informations peuvent avoir besoin d’être fournies dans une variété de formats pour différents publics, par exemple, par un flux vidéo en direct ou une présentation PowerPoint. Tous les renseignements n’ont pas besoin d’être digérés par le biais d’un rapport formel. Les équipes de renseignement sur les cybermenaces qui réussissent fournissent des rapports techniques continus à d’autres équipes de sécurité ayant un contexte externe sur les IOC, les logiciels malveillants, les acteurs malveillants, les vulnérabilités et les tendances des menaces.

5. Diffusion

La diffusion consiste à acheminer les renseignements finis là où ils doivent aller. La plupart des organisations de cybersécurité ont au moins six équipes qui peuvent bénéficier de la veille sur les menaces.

Pour chacun de ces publics, vous devez vous demander :

  • De quelles informations sur les menaces ont-ils besoin et comment des informations externes peuvent-elles soutenir leurs activités ?
  • Comment l’intelligence doit-elle être présentée pour la rendre facilement compréhensible et exploitable pour ce public ?
  • À quelle fréquence devons-nous fournir des mises à jour et d’autres informations ?
  • Par quels médias les renseignements doivent-ils être diffusés ?
  • Comment devrions-nous faire un suivi s’ils ont des questions ?

6. Commentaires

Nous pensons qu’il est extrêmement important de comprendre vos priorités globales en matière de renseignement et les exigences des équipes de sécurité qui consommeront les renseignements sur les menaces. Leurs besoins guident toutes les phases du cycle de vie du renseignement sur les menaces et vous indiquent :

  • Quels types de données collecter
  • Comment traiter et enrichir les données pour les transformer en informations utiles
  • Comment analyser les informations et les présenter sous forme de renseignements sur les menaces exploitables
  • À qui chaque type de renseignement doit être diffusé, à quelle vitesse il doit être diffusé et à quelle vitesse il faut répondre aux questions

Vous avez besoin d’une rétroaction régulière pour vous assurer de comprendre les exigences de chaque groupe et d’apporter des ajustements à mesure que leurs besoins et leurs priorités changent.

FAQ sur le cycle de Cyber Threat Intelligence

Pourquoi le cycle de renseignement sur les cybermenaces est-il crucial pour les équipes de sécurité ?

Le cycle de renseignement sur les cybermenaces est essentiel pour les équipes de sécurité, car il fournit une méthodologie structurée pour recueillir, analyser et utiliser les renseignements sur les menaces. Ce cycle permet de mieux comprendre le paysage des menaces, ce qui permet de se préparer et de réagir efficacement aux menaces de sécurité. Tout au long de ce cycle, des renseignements exploitables sont générés, ce qui permet de prendre des décisions éclairées pour renforcer la posture de sécurité de l’organisation contre les cyberattaques.

Quels sont les principaux avantages de la mise en place d’un programme de threat intelligence ?

La mise en œuvre d’un programme de renseignement sur les menaces permet aux organisations d’anticiper, de se préparer et d’atténuer les menaces de sécurité potentielles. Ce programme fait partie intégrante du processus de renseignement sur les menaces, car il permet de mieux comprendre les auteurs de menace et leurs tactiques. Cela permet ainsi à l’équipe de renseignement sur les menaces de fournir des renseignements finis sur les menaces, essentiels pour des mesures de défense proactives. De plus, un programme de renseignement sur les menaces enrichit les stratégies de réponse aux incidents et favorise une culture d’apprentissage continu et d’adaptation à l’évolution du paysage des menaces.

Quelles sont les organisations qui bénéficient le plus du cycle de renseignement sur les cybermenaces ?

Les organisations opérant dans des secteurs disposant de données de grande valeur, tels que la finance, les soins de santé et le gouvernement, sont souvent des cibles de choix pour les acteurs de la menace, et bénéficient donc grandement du cycle de renseignement sur les cybermenaces. Ce cycle, avec ses étapes de cycle de vie définies pour les renseignements sur les menaces, facilite la collecte et l’analyse des renseignements sur les menaces, ce qui est essentiel pour comprendre et atténuer les risques potentiels. De plus, les organisations ayant une présence en ligne importante, les entreprises qui se concentrent fortement sur la disponibilité ou celles qui sont soumises à la conformité réglementaire trouvent également le cycle de renseignement sur les cybermenaces indispensable pour naviguer dans le paysage complexe de la sécurité.

Quels sont les défis courants rencontrés lors de la mise en œuvre du cycle de renseignement sur les cybermenaces ?

Les défis courants lors de la mise en œuvre comprennent la mise en place initiale d’une plate-forme de renseignement sur les menaces robuste, la garantie d’une collecte de renseignements continue et pertinente et l’analyse précise des données pour générer des informations exploitables. L’efficacité des rapports de renseignement sur les menaces peut être entravée par un manque de personnel qualifié ou des ressources insuffisantes. En outre, l’intégration des informations obtenues à partir de l’analyse des renseignements sur les menaces dans les procédures de réponse aux incidents existantes et la garantie d’un flux d’informations continu peuvent également poser des défis importants.

Obtenir le « Manuel de renseignements sur les menaces »

Il y a beaucoup plus de contenu essentiel dans le chapitre complet du livre, y compris des diagrammes utiles, des notes et des conseils sur l’application de ces explications à votre propre programme efficace de renseignement sur les menaces, et des informations plus détaillées sur des choses comme les données sur les menaces.

Pour lire la suite, téléchargez dès aujourd’hui votre exemplaire complet (et entièrement gratuit) de « The Threat Intelligence Handbook ».

Cet article a été initialement publié le 15 janvier 2020 et mis à jour pour la dernière fois le 5 février 2024.

Related