Qu’est-ce qu’une source de renseignement sur les menaces ?

Note de l’éditeur : Le billet de blog suivant est un résumé partiel d’un webinaire SANS que nous avons co-organisé avec Dave Shackleford.

De nombreuses organisations perçoivent les renseignements sur les menaces comme étant « difficiles » et hors de leur portée. En réalité, si vous avez une vision claire dès le départ, vous pouvez adapter votre programme pour résoudre des problèmes spécifiques au lieu de simplement mettre en évidence les lacunes en matière de compétences.

Il y a quelque temps, Recorded Future a co-organisé un webinaire avec le SANS Institute, dans le but d’aider les organisations soucieuses de la sécurité à identifier et à éviter certains des plus grands pièges du renseignement sur les menaces. Le webinaire a abordé la manière dont les organisations devraient envisager de collecter, d’analyser et de diffuser des données de renseignement sur les menaces provenant de diverses sources afin de développer des renseignements exploitables pour les équipes de sécurité et les parties prenantes. Cela leur permet de protéger leurs actifs numériques et de répondre efficacement aux incidents de cybersécurité, ainsi qu’aux dangers de s’appuyer trop fortement sur une seule source.

Les intervenants étaient Chris Pace, défenseur de la technologie chez Recorded Future, et Dave Shackleford, analyste, instructeur et auteur du cours SANS.

Key Takeaways

• Si vous n’abordez pas les renseignements sur les cybermenaces avec un objectif clair, votre choix de sources influencera votre compréhension de comment et où les renseignements peuvent apporter de la valeur à votre organisation.
• De nombreuses organisations perçoivent les renseignements sur les menaces comme étant « difficiles » et hors de leur portée. En réalité, si vous avez une vision claire dès le départ, vous pouvez adapter votre programme pour résoudre des problèmes spécifiques au lieu de simplement mettre en évidence les lacunes en matière de compétences.
• S’appuyer uniquement sur les flux de menaces est une recette pour la surcharge d’informations et la fatigue des alertes.
• Il existe de nombreuses sources différentes de renseignements sur les cybermenaces, chacune ayant ses propres avantages et inconvénients. Les résultats optimaux proviennent de la combinaison automatique de plusieurs sources pour corroborer et contextualiser les informations avant de les transmettre à des analystes humains.
• Il est essentiel d’établir une boucle de rétroaction continue pour s’adapter à l’évolution du paysage des menaces. En collectant, analysant et diffusant des données de renseignement sur les menaces, les équipes de sécurité peuvent développer des renseignements exploitables pour les parties prenantes.

Que sont les sources de Cyber Threat Intelligence ?

Les sources de renseignements sur les menaces comprennent une variété de points de données et de flux qui fournissent des informations essentielles sur les cybermenaces potentielles ou existantes. Ils permettent aux organisations de protéger leurs actifs numériques (un élément clé de la surface d’attaque) et de répondre efficacement aux incidents de cybersécurité.

Ces sources recueillent des données de renseignement sur les menaces à partir de différents canaux, tels que des flux de renseignements sur les menaces en temps réel qui surveillent les activités et les modèles malveillants sur Internet, et des journaux de sécurité internes des systèmes d’une organisation, qui permettent d’identifier les comportements inhabituels et les signatures d’attaques passées.

Types de sources de renseignements sur les menaces

Le renseignement sur les menaces est un processus continu impliquant la collecte, l’analyse et l’application de données de renseignement sur les menaces concernant les menaces potentielles ou existantes. Il existe de nombreuses sources différentes de données de renseignement sur les menaces, chacune ayant ses avantages et ses inconvénients. Les résultats optimaux proviennent de la combinaison automatique de plusieurs sources pour corroborer et contextualiser les renseignements avant de les transmettre à des analystes humains, souvent au sein d’un centre d’opérations de sécurité. Cette approche est cruciale pour maintenir et améliorer la posture de sécurité globale d’une organisation.

Si vous n’abordez pas la Threat Intelligence avec un objectif clair, votre choix de sources influencera votre compréhension de comment et où la Renseignement peut apporter de la valeur à votre organisation. S’appuyer uniquement sur les flux de menaces est une recette pour la surcharge d’informations et la « fatigue des alertes ».

Bien sûr, pour comprendre quels problèmes peuvent être résolus à l’aide de la Threat Intelligence, vous devez d’abord comprendre quelles informations sont potentiellement disponibles. Au cours du webinaire, Dave et Chris ont tous deux passé du temps à couvrir les sources les plus courantes.

1. Flux de renseignements sur les menaces open source

L’Open Source Intelligence (OSINT) consiste à recueillir des informations auprès de sources accessibles au public. Il s’agit notamment d’articles de presse, de blogs, de médias sociaux, de forums et de bases de données publiques. En 2023, la plupart des données recueillies pour les renseignements sur les menaces provenaient de sources externes telles que des reportages et des médias, ainsi que de groupes communautaires ou industriels.

Il en existe des centaines et couvrent tous les aspects de la sécurité que vous pouvez imaginer. Mettez en place une plate-forme de renseignement sur les menaces (TIP) de base, et vous avez tout ce dont vous avez besoin pour commencer à digérer un nombre d’alertes vraiment ingérables. De plus, les plateformes qui offrent un accès ouvert à la communauté ont généré des données sur les menaces provenant d’une communauté mondiale de chercheurs en menaces et d’experts en sécurité. Cela favorise la recherche collaborative et automatise le processus de mise à jour de l’infrastructure de sécurité avec des données sur les menaces provenant de n’importe quelle source, disponibles dans divers formats, notamment STIX, OpenIoC, MAEC, JSON et CSV.

2. Renseignements internes sur les menaces

Souvent appelées « analyses de sécurité », les informations internes sont produites par les équipes de réponse aux incidents , le personnel du centre d’opérations de sécurité (SOC), les analystes de sécurité et les professionnels de la sécurité. La surveillance du réseau interne consiste à analyser les données provenant des systèmes d’une organisation. Cela inclut les journaux des pare-feu, des systèmes de détection d’intrusion (IDS) et d’autres périphériques réseau.

3. Communautés verticales

Certains secteurs et secteurs verticaux ont accès à des communautés de partage de renseignements, comme le Centre d’analyse et de partage d’informations sur les services financiers (FS-ISAC). De plus, la Cybersecurity and Infrastructure Security Agency (CISA) joue un rôle crucial en tant qu’agence de sécurité des infrastructures, en fournissant des informations sur les menaces et un flux de renseignements sur les menaces par partage automatisé d’indicateurs (AIS). Ces communautés peuvent être extrêmement précieuses, mais elles sont souvent fermées, ce qui signifie que même les organisations traitant un volume élevé de transactions peuvent se voir refuser l’accès si elles ne possèdent pas la « bonne » marque.

4. Services commerciaux

En 2022, environ 78 % utilisaient les flux de renseignements sur les menaces commerciales comme principale source de renseignements sur les menaces. Les services de renseignement sur les menaces commerciales offrent des données organisées et en temps réel sur les menaces et les vulnérabilités les plus récentes.

Proposés par des dizaines de fournisseurs de sécurité, souvent appelés fournisseurs, les services de renseignement sur les menaces commerciales varient énormément en qualité et en portée. Ces services, fournis par des entreprises de cybersécurité, regroupent et analysent des informations provenant de diverses sources, fournissant des renseignements détaillés et exploitables.

Dans le meilleur des cas, ils offrent des informations essentielles sur un ou plusieurs domaines du renseignement avec beaucoup moins de faux positifs que leurs alternatives open source. Cependant, il est important de noter la disponibilité d’une plateforme gratuite de renseignement sur les menaces comme MISP, qui permet aux utilisateurs de rechercher, d’analyser, d’enrichir et de partager des informations sur les menaces sans aucun frais. Dans le pire des cas, les services commerciaux sont coûteux et ne fournissent pas d’informations véritablement exploitables.

5. Intelligence du Dark Web

Le dark web est une partie d’Internet qui n’est pas indexée par les moteurs de recherche traditionnels et qui est souvent utilisée pour des activités illicites. Essayez d’oublier vos idées préconçues. D’un point de vue fonctionnel, le dark web n’est pas « tout ce qui n’est pas indexé par Google ». Du point de vue de la cybersécurité, le dark web est composé d’environ 500 à 600 forums clandestins, auxquels on ne peut accéder qu’à l’aide de navigateurs spécialisés.

La surveillance du dark web peut fournir des alertes précoces sur les nouvelles menaces, notamment les violations de données et les logiciels malveillants émergents. Le dark web, dernier chouchou du monde du renseignement sur les menaces, offre aux organisations la possibilité d’identifier les actifs volés, d’explorer le ciblage des acteurs malveillants, d’analyser les kits d’exploitation, et bien plus encore. En se concentrant sur des types spécifiques d’activités malveillantes, telles que les URL de logiciels malveillants ou les adresses IP de spam, les entreprises peuvent obtenir des informations et un contexte précieux à partir de flux de menaces de source sombre.

Malheureusement, étant donné la nécessité de comprendre plusieurs langues (y compris l’argot pertinent) et la possibilité d’attirer l’attention de parties dangereuses, rassembler ces joyaux en interne peut être plus difficile que cela n’en vaut la peine. Il est extrêmement difficile d’adhérer à la plupart des communautés les plus secrètes (et donc les plus précieuses), ce qui oblige les membres existants à se porter garants des nouveaux candidats et exige des frais d’adhésion s’élevant à des milliers de dollars.

Vos sources déterminent la façon dont vous « voyez » les renseignements sur les menaces

Pour commencer, Dave a mis en place un graphique illustrant certains des résultats d’une enquête menée l’année dernière par SANS sur les cybermenaces. Dans ce cas, les répondants ont été invités à indiquer leurs trois principaux cas d’utilisation de la Threat Intelligence au sein de leur organisation.

Tout de suite, nous avons vu quelque chose d’intéressant. Une très grande proportion d’organisations utilisaient déjà les données de renseignement sur les menaces pour bloquer les domaines et les adresses IP malveillants, et beaucoup les utilisaient également pour ajouter du contexte aux enquêtes ou aux évaluations de compromission.

Cependant, très peu d’organisations sont allées plus loin. La troisième utilisation la plus courante de la Threat Intelligence a été utilisée par moins d’un tiers de tous les répondants, et les choses n’ont découlé que de là.

Chris Pace, de Recorded Future, a expliqué pourquoi :

« Si vous avez une pile de flux qui vous donnent des domaines malveillants et des adresses IP à risque de manière très binaire, c’est ainsi que vous allez percevoir l’utilité des renseignements sur les menaces, car c’est ce qui vous est accessible. »

« Je pense que la raison pour laquelle ce nombre à gauche du graphique est si élevé, et que les autres choses plus intéressantes et potentiellement plus utiles sont plus bas, est la barrière perçue à l’entrée pour accéder à ces renseignements, les ingérer et les convertir dans un format utilisable. »

La pratique courante veut qu’une initiative de renseignement sur les menaces commence par une plate-forme de base et quelques flux open source. Et dans un sens, c’est compréhensible, car c’est certainement la façon la moins chère de commencer.

Mais en réalité, les renseignements sur les menaces à source unique ne fonctionnent tout simplement pas. Au lieu de résoudre un problème opérationnel existant ou de traiter un risque connu, l’utilisation d’une source unique peut vous obliger à adopter une position très réactive, où les analystes sont obligés de trier constamment les nouvelles alertes qui contiennent peu (voire rien) en termes de contexte.

Et c’est tout. Si vous n’avez actuellement accès qu’à des flux de menaces, de nombreux aspects intéressants de la veille sur les menaces vont sembler inaccessibles. Malheureusement, de nombreuses organisations pensent qu’il s’agit d’un échec de leur part, mais en réalité, il ne s’agit que d’une incompréhension fondamentale de la puissance des installations de renseignement sur les menaces.

Pour exploiter véritablement les informations de renseignement sur les menaces, les organisations doivent avoir accès à des plateformes et à des outils qui recueillent, analysent et visualisent les renseignements sur les cybermenaces. Il s’agit notamment de plateformes conçues pour le partage d’informations, l’analyse de données pour réduire les faux positifs et les outils permettant d’identifier les modèles anormaux dans les données sur les menaces.

Les défis de la Threat Intelligence

Comme vous pouvez le constater, le renseignement de source ouverte n’est que la partie émergée de l’iceberg. Malheureusement, comme de nombreuses organisations sont rapidement submergées par la quantité d’alertes à faible rendement fournies par ces sources, elles ne peuvent jamais prendre en charge d’autres sources.

La vérité est que plus n’est pas toujours mieux. Lorsqu’il s’agit d’alertes, plus c’est presque toujours pire.

« Il n’est pas surprenant que quelqu’un soit submergé par l’ampleur des flux et des données disponibles. »

Chris a noté lors du webinaire.

« En tant que fournisseurs, en tant que fournisseurs de renseignements sur les menaces, c’est à nous de nous occuper de ce problème. Ce n’est pas à une organisation d’essayer de boire à la bouche d’incendie des données.

Notez l’utilisation du terme « bouche d’incendie ». En réalité, la raison pour laquelle de nombreuses organisations se sentent submergées par les alertes de flux de menaces est que ce qu’elles reçoivent n’est pas du tout du renseignement, mais des données brutes. Pour être considérées comme des renseignements, ces données doivent être filtrées, traitées et formatées pour s’assurer que seules les alertes pertinentes et précieuses sont transmises par les analystes humains. L’intégration des flux de renseignements sur les menaces à d’autres outils et plateformes de sécurité peut aider à automatiser ce processus, en rendant les données exploitables et en réduisant le bruit et les faux positifs.

La plupart du temps, cela n’arrive tout simplement pas.

Donc, si plus d’alertes n’est pas la solution, et que la plupart des flux ne fournissent guère plus que des données brutes, comment peut-on s’attendre à ce que les organisations développent une puissante fonction de renseignement sur les menaces ? C’est là que Dave et Chris nous ont présenté les « deux C » de la Threat Intelligence : le contexte et la corroboration.

Pour faire face à la quantité écrasante d’alertes à faible rendement, les organisations doivent se concentrer sur la collecte, l’analyse et la diffusion des données de renseignement sur les menaces. Cela implique d’établir une boucle de rétroaction continue pour s’adapter à l’évolution du paysage des menaces, en veillant à ce que les données soient exploitables et pertinentes pour les équipes de sécurité et les parties prenantes.

« La Threat Intelligence est difficile »

Bien sûr, les sources ne sont pas le seul obstacle à une collecte efficace de renseignements sur les menaces. Pour expliquer davantage pourquoi de nombreuses organisations trouvent que la Threat Intelligence est si difficile, Dave a mis en place un deuxième graphique d’enquête SANS.

Jetez un coup d’œil aux deux principaux obstacles à l’efficacité des renseignements sur les menaces : le manque de personnel formé et le manque de capacités techniques.

Le manque de compétences n’est pas tout à fait nouveau, mais il faut tenir compte du troisième obstacle le plus courant : le manque d’adhésion de la direction. Si vous deviez deviner, il semble très probable que cette absence d’adhésion de la part des dirigeants et des détenteurs de budget soit au moins en partie responsable du manque de professionnels de la sécurité qualifiés nécessaires à la mise en œuvre et à la maintenance d’une puissante installation de renseignement sur les menaces.

Maintenant, examinez le reste des obstacles cités par les répondants à l’enquête. Pour la plupart, ils sont liés au volume élevé, au manque de pertinence perçue et au manque de hiérarchisation. En termes simples, de nombreuses organisations sont submergées d’alertes, dont trop sont des faux positifs.

Encore une fois, il s’agit de partir de la mauvaise position. Étant donné qu’il peut être difficile d’obtenir l’adhésion de la direction, les organisations cherchent à lancer leur initiative de renseignement sur les menaces de la manière qui semble être la plus simple et la moins coûteuse : les flux de renseignements sur les menaces.

Mais en pratique, ces flux sont tout sauf faciles à utiliser. Ils absorbent énormément de temps des analystes, fournissent très peu et, pire encore, ils donnent aux organisations la vision toxique selon laquelle le renseignement sur les menaces consiste simplement à jouer à la taupe avec les dernières vulnérabilités et domaines malveillants.

«C’est une prophétie auto-réalisatrice »,a expliqué Dave.Vous obtenez ces données facilement compréhensibles et facilement accessibles, et vous avez l’impression de pouvoir les utiliser immédiatement... Mais ça s’arrête là**.

Si vous n’utilisez pas de flux de renseignements sur les menaces, par où commencer ? C’est simple : commencez par résoudre un problème existant.

« Peu importe qu’il s’agisse de la surveillance de la marque, de la surveillance des informations d’identification divulguées, de la découverte de menaces émergentes ou de l’identification et de la hiérarchisation des vulnérabilités. »

a expliqué Chris.

« Vous devez d’abord avoir un objectif avant de pouvoir entrer dans le vif du sujet sur la façon dont vous allez utiliser les renseignements sur les menaces. »

L’importance de la corroboration « toutes sources »

Il est indéniable que le fait d’avoir plus de données à votre disposition améliorera nécessairement la probabilité de recevoir les alertes dont votre organisation a besoin pour rester en sécurité.

Dans le même temps, comme nous l’avons déjà vu, avoir accès à des quantités massives de données sur les menaces est ingérable, même pour les équipes d’analystes les plus nombreuses et les plus qualifiées.

Ainsi, dans un monde où les analystes qualifiés sont rares, il est essentiel de trouver un équilibre entre le besoin de disposer de plus de données de renseignement sur les menaces et l’impératif de minimiser les alertes. La réponse est simple :

Exploiter les sources de renseignements sur les menaces pour les professionnels de la sécurité

À mesure que les renseignements sur les menaces commencent à mûrir et que les organisations s’y familiarisent, trouver un équilibre entre ces deux éléments deviendra l’objectif ultime de tous ceux qui cherchent à améliorer progressivement leurs capacités de renseignement sur les menaces. Il est essentiel de mettre l’accent sur les renseignements exploitables sur les menaces, car ils fournissent des informations de haute qualité et hiérarchisées extraites d’opérations de sécurité, d’enquêtes et de recherches en temps réel. La collecte, l’analyse et la diffusion de données de renseignement sur les menaces provenant de diverses sources sont essentielles pour développer des renseignements exploitables pour les équipes de sécurité et les parties prenantes.

Pour voir les renseignements sur les menaces de toutes les sources en action, inscrivez-vous à notre e-mail gratuit Cyber Daily pour voir les meilleurs résultats quotidiens pour les indicateurs techniques tels que les secteurs les plus ciblés, les acteurs de la menace et les vulnérabilités exploitées. Réservez une démo dès aujourd’hui pour découvrir comment Recorded Future peut intégrer diverses sources de renseignements sur les menaces dans votre stratégie de sécurité.