>
Blog

5 cas d’utilisation d’une solution de renseignement sur les menaces

Publié : 25 juin 2024
By: Esteban Borges

Les cybermenaces sont de plus en plus sophistiquées et fréquentes, ce qui oblige les organisations à tirer parti des renseignements sur les cybermenaces pour garder une longueur d’avance sur les cyberattaques potentielles. Les entreprises de tous les secteurs reconnaissent l’importance de mettre en œuvre des solutions robustes de renseignement sur les menaces pour garder une longueur d’avance sur les cybercriminels et protéger leurs précieux actifs.

Le rôle de la Threat Intelligence

Les organisations doivent être vigilantes et proactives dans leur approche de la sécurité pour protéger les informations sensibles et maintenir la continuité des activités. Et c’est là qu’intervient la Threat Intelligence . Mais qu’est-ce que la Threat Intelligence ?

Les renseignements sur les menaces sont les informations qu’une organisation utilise pour comprendre les menaces qui l’ont, vont ou la ciblent. Ces informations sont recueillies à partir de diverses sources telles que les sources ouvertes (OSINT), les médias sociaux, les données techniques et la surveillance du dark web. L’objectif principal de la Threat Intelligence est de fournir des informations exploitables pour prévenir, détecter et répondre aux cybermenaces.


Qu’est-ce que la Threat Intelligence ?


Les renseignements sur les menaces peuvent être classés en quatre catégories principales :

  • Strategic Threat Intelligence - fournit une vue d’ensemble de haut niveau du paysage des menaces, y compris les tendances émergentes, les événements géopolitiques et les principaux acteurs de la menace.
  • Threat Intelligence tactique : se concentre sur les tactiques, les techniques et les procédures (TTP) utilisées par les acteurs du renseignement sur les menaces.
  • Renseignements opérationnels sur les menaces : plus immédiats et plus exploitables, détaillant des incidents et des campagnes spécifiques actuellement actifs ou imminents.
  • Renseignements techniques sur les menaces : comprend des données sur des indicateurs de compromission spécifiques tels que les adresses IP, les noms de domaine, les hachages de fichiers et les signatures de logiciels malveillants.

En exploitant ces différents types de renseignements sur les menaces, les organisations peuvent mettre en place une défense complète et multicouche contre les cybermenaces potentielles.

Pourquoi la Threat Intelligence est-elle importante ?

Selon le rapport de Markets Insider, il y a eu une augmentation stupéfiante de 3 fois l’exploitation de l’invulnérabilité en 2023. Cette augmentation significative met en évidence le besoin crucial de renseignements efficaces sur les menaces pour protéger les informations sensibles.

L’importance de la Threat Intelligence réside dans le fait qu’elle convertit les données brutes en informations significatives que les équipes de sécurité peuvent utiliser pour prendre des décisions éclairées. En comprenant les tactiques, les techniques et les procédures (TTP) des acteurs de la menace, les organisations peuvent mieux se défendre contre les attaques potentielles. Les renseignements sur les menaces permettent également d’identifier les menaces émergentes, de hiérarchiser les dernières vulnérabilités et la posture de sécurité globale.

Les composants de la Threat Intelligence

Une veille efficace sur les menaces repose sur la collecte de données et une analyse sophistiquée. Il s’agit d’une approche à multiples facettes qui garantit que les informations collectées sont pertinentes, exactes et exploitables. Voici plusieurs éléments clés :

  • Collecte de données: Collecte de données brutes à partir de diverses sources, notamment les journaux réseau, les incidents de sécurité et les flux d’informations sur les menaces externes.
  • Analyse des données : Traiter et analyser les données recueillies afin d’identifier les modèles, les tendances et les indicateurs de menaces potentielles.
  • Dissémination: Partager les renseignements analysés avec les parties prenantes concernées au sein de l’organisation afin d’éclairer les décisions et les actions de sécurité.
  • Informations exploitables : Transformer les données analysées en informations exploitables qui peuvent être utilisées pour atténuer les risques et améliorer les mesures de sécurité.

Comment les cas d’utilisation de la Threat Intelligence peuvent-ils aider les organisations à lutter contre les cybermenaces ?

Les renseignements sur les menaces jouent un rôle central pour aider les organisations à se défendre contre le paysage en constante évolution des cybermenaces émergentes. Étant donné que les solutions de renseignement sur les menaces peuvent être utilisées de différentes manières, il est important d’identifier vos cas d’utilisation potentiels avant de choisir une plateforme de renseignement sur les menaces, plutôt que de choisir une solution et d’essayer ensuite de conformer vos cas d’utilisation aux points forts de cette solution.

Les cas d’utilisation de la Threat Intelligence peuvent rationaliser le processus de réponse aux incidents. Dans son récent Market Guide, le cabinet d’études technologiques Gartner suggère aux utilisateurs finaux de solutions de cyber-threat intelligence d’identifier leur meilleure solution en adoptant une approche « centrée sur les cas d’utilisation ».

Par exemple, vous pouvez souhaiter obtenir des informations sur l’identité, les méthodes et les motivations des acteurs malveillants qui vous ciblent afin d’éviter les menaces futures et d’ajuster ou de mettre à jour votre sécurité. Vous voudrez peut-être créer des études de cas à utiliser dans des exercices de formation ; Ou vous souhaiterez peut-être recueillir davantage de données sur les menaces afin de pouvoir hiérarchiser la gestion des vulnérabilités en fonction des risques auxquels votre organisation est particulièrement vulnérable : Gartner fournit une longue liste de cas d’utilisation possibles qu’il est important de prendre en compte avant de choisir une solution.

Avant de prendre des décisions de sécurité coûteuses et éclairées sur la façon d’améliorer vos opérations et vos programmes de sécurité, consultez les cinq exemples de Gartner ci-dessous sur les utilisations les plus efficaces des plateformes de renseignement sur les menaces.


Threat Intelligence Use Cases


1. Enrichir d’autres technologies de sécurité en intégrant la Threat Intelligence

Voici les principes de base : l’intégration des renseignements sur les cybermenaces dans vos processus de sécurité déjà existants améliore la prise de décision en matière de réponse aux incidents et renforce votre politique de sécurité. Selon Gartner, les renseignements sur les cybermenaces ont récemment commencé à être largement intégrés dans la plupart des technologies de sécurité, notamment la gestion des informations et des événements de sécurité (SIEM), les pare-feu et les systèmes unifiés de gestion des menaces, la détection et la prévention des intrusions, les passerelles Web sécurisées et les passerelles de messagerie sécurisées, la protection des terminaux, la protection des applications Web, le déni de service distribué, la gestion des vulnérabilités, l’orchestration de la sécurité, etc.

Si votre organisation n’inclut pas encore la Threat Intelligence dans son programme de sécurité, il est bon de commencer par examiner ce que vous utilisez déjà et de voir comment la Threat Intelligence peut la rendre plus efficace. De nombreuses solutions de renseignement sur les menaces offrent des informations lisibles par machine qui peuvent s’intégrer sans friction aux produits de sécurité que vous utilisez déjà, et un nombre croissant de solutions utilisent des normes open source, ce qui facilite plus que jamais le partage de données entre les plateformes.

2. Hiérarchisation des vulnérabilités pour les équipes de sécurité

L’une des meilleures utilisations d’un programme de renseignement sur les menaces efficace consiste à recueillir des données et à effectuer des analyses qui aideront votre organisation à créer une mesure simple pour évaluer les vulnérabilités. Cette mesure doit être une mesure du chevauchement entre les problèmes que vous pouvez résoudre et les solutions qui feront la plus grande différence, compte tenu du temps et des ressources dont vous disposez.

L’approche traditionnelle pour hiérarchiser les vulnérabilités vient de l’attitude selon laquelle la meilleure approche de sécurité est de « tout corriger, tout le temps, partout ». Atteindre cet objectif conduirait, en théorie, à un système parfaitement impénétrable, mais il établit une norme incroyablement élevée. Ainsi, les organisations qui suivent cette approche feront inévitablement des compromis et s’attaqueront d’abord aux « plus gros » problèmes.

Mais, contrairement à la croyance populaire, les problèmes les plus « importants » (en fonction de l’ampleur des dommages qu’ils causent réellement) ne sont pas des problèmes tels que les menaces zero-day ou les nouveaux exploits intelligents, mais les mêmes vieilles vulnérabilités qui continuent d’être exploitées, précisément parce que de nombreuses organisations donnent la priorité aux nouvelles menaces dans leur chasse aux menaces au lieu de se concentrer sur l’amélioration de leurs fondamentaux.

Les acteurs de la menace sont tout aussi limités, sinon plus, que vous par le temps et les ressources dont ils disposent. Ils auront naturellement tendance à utiliser l’exploitation la plus simple et la moins gourmande en ressources tant qu’elle continue à fournir des résultats.

Dans son analyse des vulnérabilités découvertes au cours de la dernière décennie, Gartner a constaté que de nouvelles CVE ont été découvertes à un rythme généralement régulier, tandis que le nombre d’exploits a augmenté de manière exponentielle au cours de la même période. Cela indique que la grande majorité des nouveaux exploits étaient des variantes des anciens, ce qui montre clairement que la priorité absolue de toute organisation devrait être de corriger les vulnérabilités déjà connues plutôt que de se soucier des nouvelles menaces.

3. Surveillance du Web ouvert, profond et sombre

Une solution de renseignement sur les menaces doit collecter ses données sur les menaces à partir de sources ouvertes et fermées sur Internet.

En bref, les sources ouvertes sont accessibles à tous sur Internet. Cela inclut toutes les données qui sont indexées sur les moteurs de recherche, ce que l’on appelle parfois le web de surface. Bien que cela représente environ 4,56 milliards de pages, la partie publique d’Internet ne représente qu’environ 4 % de toutes les données en ligne.

Les 96 % restants se répartissent entre le deep web et le dark web. Le deep web, qui représente environ 90 % de ces données, fait référence aux parties d’Internet qui sont verrouillées derrière des connexions sécurisées ou des murs payants, les laissant hors de portée des robots des moteurs de recherche. La plupart de ces informations comprennent des rapports scientifiques, universitaires ou gouvernementaux, des informations personnelles telles que des dossiers financiers ou des antécédents médicaux, et des bases de données d’entreprises privées.

Le dark web, qui représente les six pour cent restants de toutes les données sur Internet, est composé de sites Web qui ne peuvent être atteints que par des navigateurs comme Tor, qui fournissent le cryptage et l’anonymat. Bien que ce ne soit pas exclusivement le cas, de nombreux sites Web proposent des places de marché pour des biens et services illégaux.

Les vulnérabilités et leurs exploits sont couramment discutés et échangés dans des espaces sur le dark web et le deep web, à la fois par des parties qui souhaiteraient les protéger et par des acteurs de la menace. Il est donc essentiel de recueillir des données sur les menaces à partir de ces sources de renseignements sur les menaces afin de conserver une image plus complète et à jour des menaces existantes.

Étant donné que l’accès à ces espaces nécessite plus de compétences et comporte des risques plus élevés, l’une des principales valeurs de certaines solutions de renseignement sur les menaces est qu’elles le feront pour vous. Selon le Market Guide de Gartner, il faut parfois de nombreuses années d’expérience pour infiltrer efficacement ces espaces et fournir une analyse efficace et opportune, et le programme de renseignement sur les menaces le plus efficace sera accompagné d’une analyse d’experts qui ne peut être reproduite par aucun algorithme.

4. Surveillance de la marque

Bien que les discussions sur les vulnérabilités et les exploits aient principalement lieu dans les parties fermées d’Internet, il est toujours très utile de choisir une plate-forme de renseignement sur les menaces exploitable qui surveillera également les sources ouvertes, en particulier les cybermenaces émergentes sur les canaux de médias sociaux. L’identification des menaces dans ce domaine est une compétence en soi, qui nécessite une connaissance de l’image de marque de votre organisation et des nombreuses façons dont un auteur de menace peut chercher à l’exploiter.

Parce que ces menaces apparaissent dans les espaces publics et font l’objet d’un examen plus approfondi, elles peuvent être plus subtiles, s’appuyant souvent sur des techniques d’ingénierie sociale plutôt que sur des exploits logiciels, et nécessitent un certain degré d’expertise pour être reconnues.

Par exemple, une solution de renseignement sur les menaces qui inclut la surveillance de la marque peut rechercher des profils de médias sociaux faux ou malveillants qui ont été acceptés par votre personnel ou même imiter les profils de votre personnel, identifier des liens malveillants qui ont été publiés sur vos profils de médias sociaux, ou même évaluer la perte et le vol de propriété intellectuelle.

Les cyberattaques qui peuvent être identifiées grâce aux médias sociaux et à la surveillance des marques comprennent le phishing, les systèmes sous faux drapeau, la fraude de domaine ou les attaques d’activistes ou de « trolling ». Les solutions de renseignement sur les menaces développées par des professionnels sont beaucoup plus efficaces et génèrent moins de faux positifs que les outils open source ou les approches ad hoc.

5. Enquête, enrichissement et intervention en matière d’indicateurs de menace

Bien sûr, toutes les attaques ne peuvent pas être évitées, et l’une des valeurs de nombreuses solutions de renseignement sur les menaces est leur capacité à améliorer la rapidité et la précision de votre réponse aux incidents grâce à des renseignements opérationnels sur les menaces. Dans son guide, Gartner préconise de s’éloigner de l’accent mis sur la prévention au profit d’une approche plus équilibrée qui inclut également à la fois la détection des menaces et la réponse.

Une partie de ce cadre consiste à repenser la façon de hiérarchiser les vulnérabilités, comme détaillé ci-dessus. Il peut également être utile de disposer d’une solution de renseignement sur les menaces qui permet un accès à la demande pour soumettre des fichiers ou des objets et recherche des indicateurs de compromission tels que des hachages de fichiers, des noms de domaine ou des adresses suspects, et les compare aux grands ensembles de données que certaines solutions gèrent, enrichissant ainsi les données de votre organisation.

Certaines solutions ont même la capacité de partir à la chasse aux menaces de manière proactive. Alors que la réponse aux incidents est, par définition, un processus réactif, les solutions plus avancées peuvent rechercher les menaces avant qu’elles ne soient réellement mises en œuvre contre votre organisation.

La chasse aux menaces nécessite une organisation mature qui maintient déjà les principes fondamentaux de sa position de sécurité, comme le maintien de ses systèmes à jour et la surveillance étroite de son propre réseau, mais fournit une couche de sécurité supplémentaire inestimable pour les organisations qui peuvent le faire efficacement.

Un autre cadre d’évaluation des cas d’utilisation

Le Market Guide de Gartner fournit également un moyen simple d’évaluer différents services de renseignement sur les menaces en fonction de leur position sur deux échelles :

Exemples de cas d’utilisation d’Intel par période ou par type de risque

  • Tactique - Stratégique: Cette échelle est une mesure du temps. En gros, une solution de renseignement tactique sur les menaces peut être plus efficace à court terme, tandis qu’une solution stratégique sera meilleure à long terme. Par exemple, une solution peut être considérée comme plus tactique si ses points forts résident dans sa capacité à traiter rapidement les données sur les menaces et à identifier les menaces potentielles, tandis qu’une solution qui offre une analyse plus approfondie qui se prête à la planification à long terme pour l’avenir pourrait être mieux définie comme stratégique.
  • Technique - Entreprise: Cette échelle est une mesure du type de risque. D’une manière générale, une solution de threat intelligence technique sera davantage axée sur les opérations de sécurité, tandis qu’une approche stratégique de threat intelligence portera sur la gestion des risques numériques. Par exemple, une solution plus technique peut se concentrer sur des indicateurs de compromission immédiate tels que des adresses IP ou des domaines incorrects, mais une solution qui mesure le risque lié à une tactique émergente ou à un secteur vertical particulier est plus alignée sur le risque commercial.

La mise en œuvre de Cyber Threat Intelligence est nécessaire

L’intégration de la Threat Intelligence dans la stratégie de cybersécurité d’une organisation est cruciale pour garder une longueur d’avance sur l’évolution des cybermenaces. La mise en œuvre de solutions de renseignement sur les menaces est cruciale pour les organisations qui cherchent à renforcer leur posture de cybersécurité (ou leurs équipes de sécurité) et à se défendre contre des cybermenaces de plus en plus sophistiquées.

Les renseignements sur les menaces fournissent les informations exploitables nécessaires pour anticiper, identifier et répondre aux menaces, ce qui permet aux équipes de sécurité d’avoir toujours une longueur d’avance sur les cyberadversaires. Les entreprises peuvent protéger leurs actifs de manière proactive, réduire les risques et garantir un environnement numérique plus sécurisé en exploitant les renseignements sur les menaces pour divers cas d’utilisation, tels que l’amélioration de la réponse aux incidents, la chasse proactive aux menaces, la gestion des vulnérabilités, etc.

Pour découvrir comment les renseignements sur les menaces peuvent améliorer votre stratégie de cybersécurité et vos équipes de sécurité, demandez une démo de Recorded Future


Cet article a été initialement publié le 23 janvier 2018 et mis à jour pour la dernière fois le 25 juin 2024.

Esteban Borges
Esteban Borges

Esteban is an IT professional with over 20 years of experience, specializing in hardening systems and networks, leading blue team operations, and conducting thorough attack surface analysis to bolster cybersecurity defenses. He's also a skilled marketing expert, specializing in content strategy, technical SEO, and conversion rate optimization. His career includes roles as Security Researcher and Head of Marketing at SecurityTrails, before joining the team at Recorded Future.

Related