
Threat Intelligence fournit aux organisations des informations opportunes et pertinentes sur les menaces qui pèsent sur leur entreprise. Les renseignements sur les menaces peuvent prendre de nombreuses formes différentes et comprennent quatre couches principales, les renseignements sur les menaces stratégiques, les renseignements sur les menaces tactiques, les renseignements sur les menaces opérationnelles et les renseignements sur les menaces techniques. Les organisations dotées de fonctions matures de renseignement sur les menaces sont en mesure de collecter efficacement des renseignements auprès de centaines de sources, d'intégrer efficacement des indicateurs techniques de compromission dans les flux de travail des opérations de sécurité et d'incorporer des renseignements stratégiques sur les menaces dans les décisions concernant la gestion des risques de l'entreprise.
Cet article décrira comment les informations sur les menaces sont utilisées par les organisations, couvrira les cycle de vie des renseignements sur les menaces, et fournissent des conseils détaillés sur les endroits où les organisations peuvent trouver des sources spécifiques de renseignements sur les menaces.
Comment la Threat Intelligence est-elle utilisée par les organisations ?
De nombreuses unités différentes au sein d'une organisation peuvent utiliser efficacement les informations sur les menaces, du conseil d'administration aux centres d'opérations de sécurité et aux équipes rouges. L'importance du rôle joué par les renseignements sur les menaces dans les programmes de sécurité d'organisations spécifiques dépend généralement fortement de la maturité de sécurité de l'organisation. Il convient de noter que les renseignements sur les menaces peuvent être intégrés à tous les niveaux d'une entreprise, de l'ingestion de flux techniques dans les outils SIEM à la prise de décision éclairée au niveau du conseil d'administration concernant le financement et l'orientation de la cybersécurité. Voici quelques cas d'utilisation courants :
- Les organisations utilisant des informations open source sur les vulnérabilités qui affectent les systèmes logiciels d'entreprise qu'elles utilisent, tels que CISA catalogue des vulnérabilités exploitées connues
- Organisations faisant appel à des spécialistes du renseignement sur les menaces pour conseiller les décideurs et les conseils d'administration sur les principales menaces stratégiques auxquelles leur organisation est confrontée en matière de géopolitique, de cybercriminalité et de risque de la chaîne d'approvisionnement
- Threat Intelligence utilisé pour éclairer la hiérarchisation des correctifs pour les systèmes d'entreprise en fonction de l'activité d'exploitation des cybercriminels
- Renseignements sur les menaces provenant de la surveillance des communautés illicites sur le dark web pour identifier les attaques ciblées et les indicateurs de compromission
- Les organisations peuvent fonder des politiques, des procédures et des formations de sécurité pour mettre en place la défense la plus efficace en fonction des informations sur les menaces spécifiques à leur secteur et des tactiques, techniques et procédures connues des cybercriminels.
Comprendre le cycle de vie des renseignements sur les menaces
Les renseignements sur les menaces ne fonctionnent pas dans le vide, les équipes CTI sont généralement affectées à des tâches et enquêtes spécifiques en fonction des besoins de l'entreprise. Les équipes CTI progressent ensuite à travers un cycle de vie d'activités qui leur permet de clarifier les exigences, de collecter et de traiter des données, d'analyser des informations structurées et de diffuser des informations exploitables aux unités commerciales concernées.
Le Cycle de vie CTI pour la plupart des organisations se compose de six étapes distinctes que les équipes CTI effectuent lorsqu'elles sont chargées d'une tâche ou d'une enquête spécifique. Ceux-ci inclus:
- Exigences relatives à la portée : Au cours de cette étape, l'équipe CTI prend le temps de comprendre les besoins de l'entreprise. Dans de nombreux cas, les équipes CTI recevront des questions spécifiques auxquelles elles chercheront à répondre. Ces questions doivent se traduire par des données exploitables pouvant être utilisées pour réduire les risques ou éclairer la prise de décision stratégique.
- Collecte de renseignements sur les menaces : Au cours de la collecte de renseignements sur les menaces, l'équipe CTI identifiera et commencera à collecter des données brutes provenant de diverses sources. La nature de la collecte dépend spécifiquement des exigences décrites lors de la phase des exigences de cadrage. Les sources pourraient inclure cybersécurité OSINT des sources telles que les marchés du dark web, les forums, les sites d'information sur la cybersécurité ou même l'analyse géopolitique.
- Traitement des informations sur les menaces : Au cours de cette étape, les informations sur les menaces collectées lors de l'étape de collecte sont traitées. Cela peut inclure la structuration, la corrélation et la contextualisation des données, l'objectif principal étant de préparer les données pour une analyse plus rigoureuse.
- Analyse des renseignements sur les menaces : Au cours de cette phase, les données sont analysées en fonction des objectifs commerciaux afin de générer des informations exploitables pouvant être utilisées pour la réduction des risques et la prise de décision stratégique.
- Diffusion de renseignements sur les menaces : Au cours de cette phase, des renseignements sur les menaces finis sont envoyés ou présentés aux unités commerciales ou aux individus clés en fonction des objectifs commerciaux définis lors de la phase de cadrage. La diffusion peut prendre la forme d'alertes, de briefings ou de rapports écrits.
- Commentaires sur les renseignements sur les menaces : Au cours de cette phase du cycle de vie des renseignements sur les menaces, les commentaires sont recueillis auprès des principales parties prenantes pour déterminer si les renseignements finis fournis ont atteint les objectifs commerciaux et de risque, et les domaines où l'équipe CTI peut s'améliorer à l'avenir.

Types de renseignements sur les menaces
Les renseignements sur les menaces peuvent être divisés en quatre catégories que nous aborderons tour à tour.
Renseignements stratégiques sur les menaces
Les renseignements sur les menaces stratégiques se concentrent sur la collecte, le traitement, l'analyse et la diffusion de renseignements pouvant être utilisés pour éclairer la prise de décision. Voici quelques exemples de la façon dont les organisations peuvent utiliser la veille stratégique sur les menaces pour façonner leurs positions en matière de sécurité des informations et de gestion des risques.
Exemples de renseignements sur les menaces stratégiques
- Une institution financière d'entreprise charge une équipe CTI de rechercher les cyber-risques liés au conflit russo-ukrainien. L'équipe CTI mène des recherches approfondies sur les APT russes, les APT ukrainiens, le risque de la chaîne d'approvisionnement cybernétique et présente un rapport au conseil d'administration et aux principaux dirigeants. Ces informations sont utilisées pour prendre des décisions sur la manière de faire des affaires avec des entités susceptibles de faire l'objet de sanctions et sur le montant à investir dans des solutions de cybersécurité avancées pour réduire les risques des groupes APT.
- Une grande chaîne hospitalière charge une équipe CTI de fournir des conseils liés aux groupes de ransomwares ciblant les organisations de santé. Les résultats sont présentés au RSSI et aux équipes de gestion des risques qui sont ensuite utilisés pour guider la prise de décision sur l'achat de solutions de sauvegarde et de restauration et l'amélioration des plans de réponse aux incidents.
- Une équipe de renseignement sur les menaces liées au matériel informatique d'entreprise est chargée d'établir un rapport sur les risques sur la manière dont les risques géopolitiques liés aux tensions croissantes entre les États-Unis et la Chine pourraient affecter les chaînes d'approvisionnement. L'équipe établit un rapport montrant les fournisseurs tiers qui dépendent des chaînes d'approvisionnement basées en Chine, ce qui aide à éclairer la gestion des risques tiers et la planification de la continuité des activités de l'organisation.
La veille stratégique sur les menaces est essentielle pour que les organisations orientent les investissements vers les bons types de personnes, de processus et de technologies qui atténuent efficacement les risques dans l'ensemble de l'entreprise. Les équipes CTI doivent veiller à fournir un contexte adéquat et à s'assurer que les informations présentées sont exploitables pour les parties prenantes auxquelles elles sont présentées.
Renseignements sur les menaces tactiques
Les informations sur les menaces tactiques fournissent aux équipes et aux responsables des opérations de sécurité des informations clés sur la manière dont les tactiques, techniques et procédures utilisées par les acteurs de la menace peuvent lancer des attaques, élever les privilèges et compromettre des données et des systèmes précieux. La collecte, le traitement, l'analyse et la diffusion corrects des données de renseignement sur les menaces tactiques constituent un élément essentiel d'un programme efficace de renseignement sur les cybermenaces. Voici quelques exemples de la manière dont les renseignements tactiques sur les menaces peuvent être utilisés pour perturber les cyber-adversaires et améliorer la sécurité organisationnelle :
Exemples de renseignements sur les menaces tactiquese
- Une équipe CTI de soins de santé est chargée d'enquêter sur les TTP utilisés par un groupe de rançongiciels spécifique ciblant le secteur de la santé. L'équipe CTI identifie que la compromission initiale est généralement réalisée par le biais d'e-mails de harponnage. Cela conduit le CISO à imposer une formation supplémentaire aux cadres clés sur le spear phishing tout en investissant des fonds supplémentaires dans des campagnes de phishing simulées et le filtrage des e-mails.
- L'équipe CTI d'un grand parti politique est chargée d'identifier les TTP que les acteurs des États-nations ont utilisés dans le passé pour compromettre des informations sensibles. L'équipe est en mesure d'identifier plusieurs variantes de logiciels malveillants qui ont été utilisés dans le passé pour compromettre les réseaux et les ordinateurs. Ces données sont utilisées pour augmenter la sensibilité de la détection des anomalies du réseau.
Les informations tactiques sur les menaces peuvent s'avérer inestimables pour aider à stimuler les dépenses de cybersécurité afin de réduire des risques spécifiques en fonction de la manière dont votre organisation est la plus susceptible d'être ciblée.
Renseignements sur les menaces opérationnelles
Les renseignements sur les menaces opérationnelles sont liés aux menaces spécifiques à une organisation en fonction de leur infrastructure, de leurs actifs, de l'exposition des données et des vulnérabilités spécifiques. Le CTI opérationnel est généralement considéré comme hautement exploitable et très pertinent pour une organisation individuelle. Par exemple, voici quelques exemples d'intelligence opérationnelle :
Exemples de renseignements sur les menaces opérationnelles
- Une équipe CTI est chargée d'identifier les applications logicielles utilisées par l'organisation et susceptibles de présenter des vulnérabilités non corrigées. L'équipe CTI compile un rapport des applications les plus à risque et les présente à l'équipe de gestion des vulnérabilités.
- Une équipe CTI surveille en permanence les marchés d'appareils infectés tels que les marchés russe et Genesis pour les appareils à vendre avec des sous-domaines internes qui pourraient indiquer un ordinateur d'entreprise infecté par un malware voleur.
- Le CISO d'une organisation demande que les informations d'identification divulguées par l'entreprise soient identifiées sur le dark web. L'équipe CTI utilise une plate-forme pour identifier les informations d'identification divulguées et contacter des employés spécifiques pour modifier leurs mots de passe.
Intégrez en 30 minutes la base de données sur la cybercriminalité la plus accessible et complète au monde dans votre programme de cybersécurité.
Les renseignements sur les menaces opérationnelles se traduisent souvent par une identification et une réduction rapides des risques et visent généralement à fournir aux équipes des opérations de sécurité des informations hautement exploitables sur des risques ou des événements spécifiques qui doivent être traités. Les renseignements sur les menaces opérationnelles doivent être étroitement intégrés aux opérations de sécurité et aux équipes de gestion des vulnérabilités.
Renseignements techniques sur les menaces
Les renseignements techniques sur les menaces impliquent la collecte, le traitement et l'analyse de données hautement techniques pouvant être utilisées pour réduire les risques. Il existe des dizaines de types de renseignements techniques sur les menaces qu'une organisation pourrait ingérer, notamment les journaux de vol, les flux IOC (listes d'adresses IP et de domaines spécifiques à haut risque), les données CVE et d'autres données techniques spécifiques. Voici quelques exemples de la manière dont les renseignements techniques sur les menaces sont couramment utilisés :
Exemples de renseignements sur les menaces techniques opérationnelles
- Une équipe de renseignements sur les menaces ingère les flux IOC provenant de dizaines de sources gouvernementales et privées différentes, de concert avec les opérations de sécurité. Ces flux sont ensuite introduits dans le pare-feu pour automatiser les règles de blocage.
- Une équipe CTI ingère des milliers de journaux de vol à partir de canaux Telegram illicites pour identifier les IOC liés aux appareils infectés à fournir à l'équipe de réponse aux incidents.
- Une équipe CTI ingère les vulnérabilités CVE pour les comparer aux applications d'entreprise afin de fournir à l'équipe de gestion des vulnérabilités une liste de priorités.
Les données techniques CTI peuvent souvent fournir des informations de soutien pour les initiatives de renseignement sur les menaces opérationnelles, tactiques et stratégiques tout en aidant à détecter et à réduire des risques spécifiques.
Sources de renseignements sur les menaces
Il existe d'innombrables sources de renseignements sur les menaces pour les organisations. Les sources spécifiques choisies dépendront probablement du type de renseignements sur les menaces collectés et de la portée spécifique du projet ou du processus. Voici quelques-unes des principales sources :
Sources Web sombres de Threat Intelligence
Le dark web est un réseau disponible via TOR (The Onion Router) et est utilisé par des groupes du monde entier allant des dissidents politiques des pays autoritaires aux groupes de rançongiciels. TOR offre un haut degré d'anonymat, ce qui le rend parfait pour que les cybercriminels se rassemblent, planifient et agissent ensemble. Le dark web héberge une vaste chaîne d'approvisionnement souterraine qui facilite la cybercriminalité, en tant que telle, c'est une source incroyable de renseignements sur les menaces. Voici quelques domaines principaux du dark web qui sont bons pour la collecte de renseignements sur les menaces :
- Marchés des appareils infectés tels que les marchés russes et Genesis qui vendent l'accès à ordinateurs infectés par des logiciels malveillants voleurs. Ces listes contiennent souvent des empreintes digitales de navigateur qui peuvent être utilisées pour contourner 2FA et MFA dans le cadre d'une attaque par relecture de session.
- Identifiants volés : Identifiants volés à des organisations apparaissent souvent dans des fuites nommées, des combolists et sont distribués gratuitement pour renforcer la réputation des acteurs de la menace. L'identification des employés qui ont été répertoriés dans le cadre d'une combolist peut être un moyen d'identifier rapidement une attaque ciblée potentielle à haut risque.
- Vidages de rançongiciel : Récemment, des groupes de rançongiciels ont commencé à exfiltrer des données volées dans le cadre de programmes de rançongiciels à triple extorsion. Ils vident ensuite ces données sur des pages Web sombres dédiées où tout le monde peut les télécharger. Dans de nombreux cas, les données contiendront une propriété intellectuelle sensible, des états financiers et d'autres données à haut risque.
- Bonus Astuce: Flare est l'une des seules plates-formes de renseignement sur les menaces qui surveille automatiquement les décharges de ransomware pour les domaines et les noms de marque de l'entreprise, et peut même permettre le téléchargement transparent de fichiers spécifiques contenant une exposition à haut risque.
- Forums de l'IAB : Certains acteurs de la menace appelés « courtiers en accès initial » vendent l'accès qu'ils ont obtenu aux environnements informatiques d'entreprise sur des forums dédiés, dans de nombreux cas en utilisant un format d'enchères. La surveillance de ces sources peut constituer une excellente source de renseignements sur les menaces opérationnelles et potentiellement même d'IOC.
Le dark web représente une excellente source de renseignements sur les menaces potentielles, mais de nombreux marchés et forums nécessitent une validation ou un paiement. De plus, le réseau TOR est connu pour être extrêmement lent, ce qui rend renseignements sur les menaces du dark web collecte extrêmement lente.
Bonus Astuce: La plate-forme de renseignement sur les menaces de Flare a archivé le Web sombre depuis cinq ans pour permettre aux équipes CTI de rechercher et d'alerter facilement sur des données Web sombres structurées et exploitables à partir de milliers de publications, de marchés et de forums. Essayez vous-même avec notre Essai gratuit (pas d'appel de vente requis).
Sources gouvernementales de renseignements sur les menaces
Les gouvernements américains et internationaux publient régulièrement des renseignements sur les menaces allant du renseignement stratégique au renseignement tactique et technique. Vous trouverez ci-dessous quelques sources courantes permettant aux organisations de collecter des renseignements sur les menaces directement auprès des organismes gouvernementaux :
- Agence de la cybersécurité et de la sécurité des infrastructures (CISA): CISA est une agence gouvernementale américaine qui travaille à protéger l'infrastructure critique de la nation contre les cybermenaces. Il fournit une variété de produits et services de renseignement sur les menaces, y compris des alertes sur les cybermenaces, des conseils sur l'atténuation des vulnérabilités et des rapports sur les cyberincidents. Rapports d'analyse de CISA constituent une excellente source de renseignements tactiques et stratégiques sur les menaces pour les équipes de sécurité des entreprises.
- Partage automatisé d'indicateurs CISA: CISA (l'agence gouvernementale américaine pour la cybersécurité et la sécurité des infrastructures) gère un programme appelé Automated Indicator Sharing qui fournit aux organisations un partage de renseignements en utilisant le format STIX pour renforcer la cybersécurité collaborative.
- Équipe américaine de préparation aux urgences informatiques (US-CERT): US-CERT est une division de CISA qui fournit plusieurs flux de renseignements sur les menaces pour inclure des alertes, des avis et des annonces.
- Institut national des normes et de la technologie (NIST): Le NIST est une agence gouvernementale américaine qui développe et promeut des normes, des directives et des meilleures pratiques en matière de cybersécurité. Il fournit de nombreuses publications sur les renseignements sur les menaces qui peuvent apporter de la valeur aux équipes CTI et à la gestion des risques d'entreprise, notamment : Guide NIST SP 800-150 sur le partage d'informations sur les cybermenaces, Cadre de cybersécurité du NIST et la NIST800-53.
- Bureau fédéral d'enquête (FBI): Le FBI fournit des bulletins liés aux cybermenaces, notamment les APT, les groupes de rançongiciels et d'autres risques. Les FBI les déclarations officielles et les alertes peuvent être trouvées ici.
Flux IOC et renseignements privés sur les menaces
- Alliance contre les cybermenaces (CTA): La Cyber Threat Alliance est une organisation à but non lucratif qui promeut le partage et l'information sur les cybermenaces entre les entreprises dans le domaine de la cybersécurité.
- Échange de menaces ouvertes (OTX): OTX est une plate-forme communautaire de partage et de collaboration sur les renseignements sur les cybermenaces. Plus de 100,000 XNUMX membres du renseignement sur les menaces, des opérations de sécurité et de la recherche sur la sécurité y participent.
- Centre de tempête Internet SANS (ISC): Le centre de tempête Internet SANS surveille la sécurité Internet de manière générale, avec un accent particulier sur les événements d'infrastructure à grande échelle.
- OPENIOC: Une plate-forme gratuite développée par Mandiant et actuellement gérée par FireEye pour le partage et la distribution d'indicateurs de compromission.
Intelligence des menaces Open Source
- Cadres Open Source Intelligence (OSINT): Les frameworks OSINT peuvent fournir des conseils inestimables aux équipes de sécurité sur les méthodologies de collecte et d'analyse des renseignements open source.
- Actualités et blogs sur la cybersécurité : les actualités et les blogs sur la cybersécurité sont une bonne source d'informations sur les menaces actuelles et émergentes. Quelques exemples de sites que nous aimons chez Flare sont Ordinateur bip, Lecture sombre et la Krebs sur la sécurité.
- Rapports du gouvernement et de l'industrie : les agences gouvernementales et les organisations de l'industrie publient souvent des rapports sur les cybermenaces et les tendances. Par exemple, le Rapport Verizon sur les violations de données est une excellente source d'informations sur les TTP actuels utilisés par les acteurs malveillants et sur l'évolution des tactiques des acteurs malveillants au fil du temps.
- Bases de données sur les vulnérabilités : bases de données sur les vulnérabilités, telles que Base de données nationale sur la vulnérabilité (NVD) et le Vulnérabilités et expositions communes (CVE), fournissent des informations sur les vulnérabilités connues et peuvent être une source de renseignements sur les menaces open source.
Simplifiez la Threat Intelligence avec Flare
La plate-forme de Flare automatise la collecte de renseignements sur les menaces sur le Web sombre et clair et réduit le bruit d'environ 40 % grâce à des données structurées de haute qualité. Flare s'installe en quelques minutes et peut commencer à fournir des données exploitables pour réduire les risques dès la première heure. Demandez une démo or commencer votre essai gratuit dès aujourd’hui.