Définition de la Cyber Threat Intelligence
Le paysage de la cybersécurité est en constante évolution et la Threat Intelligence ou le renseignement sur les menaces sert à recueillir des informations sur les motifs des attaquants, les capacités d'exploitation, le code des logiciels malveillants, l'infrastructure et les ressources.
Pour protéger les entreprises contre les menaces, les chercheurs en cybersécurité recherchent en permanence des informations sur la prochaine attaque potentielle. Les pirates et les chercheurs de renseignements sur les menaces jouent toujours au jeu du chat et de la souris : les chercheurs trouvent et corrigent les menaces et les attaquants trouvent de nouveaux moyens de contourner les défenses.
Pourquoi la Threat Intelligence est-elle importante ?
Le piratage informatique est une activité illégale, mais les attaquants peuvent réaliser d'énormes gains monétaires en cas de violation importante des données. Si un pirate peut gagner de l'argent sur une violation de données, une compromission réussie coûte aux entreprises des millions par violation, ce qui signifie qu'elles peuvent être dévastatrices sur le long-terme.
Les pirates partagent leurs informations et leurs exploits récents dans de petites communautés où ils peuvent se cacher des forces de l'ordre. La Threat Intelligence vise à surveiller l'activité des pirates afin d'empêcher la prochaine grande attaque.
Un chercheur de menaces peut être un membre du personnel interne ou un groupe de personnes qui effectuent des recherches en tant qu'entreprise. Les renseignements recueillis sur les menaces sont généralement partagés avec d'autres chercheurs dans le cadre d'une collaboration visant à arrêter les attaquants. Si un chercheur découvre une vulnérabilité dans une application populaire, il est courant qu'il en informe discrètement les développeurs afin qu'ils puissent remédier au problème avant de le rendre public. Certains développeurs offrent des primes de bug à quiconque peut trouver des vulnérabilités et les informer au lieu de les exploiter.
Les violations de données étant coûteuses, les passionnés de cybersécurité se sont orientés vers la Threat Intelligence et le piratage informatique. La Threat Intelligence recoupe souvent les tests de pénétration et la recherche de logiciels malveillants, où les chercheurs sont payés pour trouver des vulnérabilités dans les logiciels d'entreprise. Ces pirates blancs trouvent les vulnérabilités, ce qui permet à l'organisation d'y remédier avant qu'elles ne deviennent une violation critique des données.
Les chercheurs de menaces qui trouvent des vulnérabilités dans des logiciels publics le font savoir aux développeurs de logiciels, puis la vulnérabilité est publiée dans un référentiel de problèmes connus. Les vulnérabilités sont répertoriées publiquement pour alerter le personnel informatique afin qu'il puisse corriger les logiciels présentant des problèmes connus.
Même si une organisation ne dispose pas d'un chercheur en cybersécurité, les administrateurs informatiques doivent surveiller l'exposition aux menaces pour éviter toute compromission. Les annonces CVE (Common Vulnerabilities and Exposures) peuvent être utilisées pour corriger les logiciels avant que les attaquants ne puissent exploiter le problème.
Comment fonctionne la Threat Intelligence ?
Tout comme le développement de logiciels, la Threat Intelligence a un cycle de vie. Chaque phase du cycle de vie est la même pour toutes les plateformes de renseignement sur les menaces, mais la façon dont les chercheurs réalisent chaque phase est unique. Le fait d'avoir un cycle de vie commun facilite la collaboration, qui est un aspect essentiel de la cybersécurité au service des entreprises.
Les phases de base de la Threat Intelligence sont les suivantes :
- La planification : Avant que les chercheurs de menaces ne commencent à collecter des données, les buts et les objectifs doivent être planifiés. La phase de planification détermine la manière dont le renseignement sur les menaces sera effectué pour atteindre chaque objectif.
- La collecte : Pour déterminer si une menace a compromis un système, les chercheurs ont besoin de données provenant de plusieurs sources, notamment des journaux, des audits de bases de données, des pare-feu et des fichiers. Cette phase peut être effectuée avant une compromission pour déterminer si l'organisation subit une attaque en cours ou après une brèche lors d'une réponse à un incident.
- Traitement : La phase de collecte peut donner lieu à des millions de points de données brutes qui doivent être analysés. Le traitement est généralement effectué à l'aide d'un logiciel tel qu'un système de gestion des informations et des événements de sécurité (SIEM). L'intelligence artificielle (IA) est également utile dans cette phase pour séparer le bruit des données utiles.
- Analyse : À l'aide d'un SIEM et de tout autre logiciel d'analyse, les chercheurs en Threat Intelligence examinent les données et déterminent si une violation a eu lieu.
- Diffusion : Après la découverte d'une menace, les chercheurs envoient les informations par différents canaux. Les canaux dépendent de ce qui a été découvert. Si c'est après un cyberincident dans une entreprise, la diffusion de l'information au personnel informatique qui peut alors remédier à la vulnérabilité et l'éradiquer du réseau. Si la Threat Intelligence est effectuée à des fins de recherche publique, les informations peuvent être publiées pour que d'autres puissent y remédier sur leurs réseaux locaux.
- Retour d'information : Après la diffusion des informations, le cycle de vie et les étapes d'identification de la menace sont passés en revue pour déterminer si tous les objectifs ont été atteints et si le plan a été exécuté avec succès.
Les données collectées pour identifier les menaces varient en fonction du plan et de la vulnérabilité suspectée. Ces points de données sont appelés indicateurs de compromission (IOC). Voici quelques points de données :
- Les domaines et les adresses IP : Un trafic suspect provenant d'une adresse IP peut indiquer la présence d'un attaquant. Certains logiciels malveillants se connectent à un serveur contrôlé par un attaquant pour transférer des données d'entreprise. Des tentatives d'authentification continues à partir de la même IP pourraient également indiquer une prise de contrôle par un attaquant.
- Messages électroniques : Dans une attaque de phishing présumée, les messages électroniques sont nécessaires pour remonter à la source de l'attaque, y compris les messages avec pièces jointes.
- Fichiers des appareils affectés : Tout appareil attaqué ou infecté par un logiciel malveillant pourrait héberger des fichiers importants qui pourraient être utilisés dans une analyse plus approfondie. Les clés de registre, les fichiers DLL, les exécutables et toute autre donnée provenant de l'appareil peuvent contribuer à l'enquête.
Des ressources externes peuvent également être utilisées pour collecter des données. Les chercheurs en Threat Intelligence utilisent souvent les données collectées sur les marchés du darknet pour enquêter ou rejoignent des communautés de hackers pour se tenir au courant des dernières activités. Certains systèmes de gestion des risques et de détection des intrusions utilisent de grandes bases de données d'adresses IP et de domaines malveillants pour déterminer si une attaque vise l'organisation.
Quels outils et platesformes peuvent être utilisés pour la Threat Intelligence ?
La plateforme de Threat Intelligence la plus courante utilise l'intelligence artificielle pour aider les analystes à déterminer les vulnérabilités potentielles. Un bon SIEM utilise l'IA et s'intégrera de manière transparente à d'autres systèmes de cybersécurité pour collecter et enregistrer les données. Les outils peuvent fonctionner localement ou dans le cloud, mais de nombreuses organisations choisissent de travailler avec des logiciels basés sur le cloud pour éviter les configurations difficiles d'installation et d'infrastructure.
Lorsque vous recherchez une plateforme de renseignement sur les menaces, faites attention à quatre attributs principaux :
- La capacité de collecter des données et de les agréger à partir de plusieurs sources différentes.
- L'utilisation de l'IA pour fournir une notation numérique ou un niveau de risque facile à comprendre afin que les chercheurs puissent facilement comprendre les rapports et les analyses automatisées.
- L’intégration dans d'autres systèmes de cybersécurité afin qu'il puisse fonctionner avec d'autres points de données et outils d'analyse.
- L’aide à la diffusion de l'information tout en maintenant les données sensibles à l'abri des attaquants.
Les plateformes de Threat Intelligence aident à la fois les professionnels du secteur de la cybersécurité et les professionnels de l'informatique dans leurs recherches. Le bon outil doit limiter les faux positifs pour éviter de dépenser des ressources à courir après un résultat inexact.
Une organisation n'a pas besoin de participer activement à la Threat Intelligence, mais le personnel informatique devrait régulièrement examiner les dernières vulnérabilités et exploitations signalées sur les logiciels courants. Grâce à de simples recherches, une organisation peut appliquer des correctifs aux logiciels et stopper les menaces avant qu'elles ne se transforment en une violation critique des données.
E-book sur la gestion de la pénurie de compétences en cybersécurité
La pénurie des compétences en cybersécurité s'est intensifiée au cours des derniers mois. Téléchargez cet ebook pour découvrir comment vous pouvez gagner du temps, réduire les risques et tirer le meilleur parti des ressources limitées.
Essayez notre Proofpoint Security Awareness Training
Grâce à Proofpoint Security Awareness Training, vous pouvez transformer vos utilisateurs en véritables piliers de votre défense contre le phishing et autres cyberattaques. Notre approche centrée sur les personnes leur offre des formations ciblées, afin qu'ils sachent comment réagir face à une menace réelle.
Kit gratuit de sensibilisation au phishing
Éveillez l'attention de vos utilisateurs et formez-les grâce à notre kit gratuit de sensibilisation au phishing.
Plateforme Proofpoint Information and Cloud Security
Annonce du lancement de la plate-forme Proofpoint Information and Cloud Security – Prévention des fuites de données et architecture SASE.