Dans un monde axé sur les données, l'information est synonyme d'autonomisation. Les professionnels de la sécurité craignent souvent que les acteurs de la menace trouvent une exposition qui pourrait conduire à une violation de données. Qu'il s'agisse de discuter sur des forums Web sombres ou d'acheter des identifiants volés, les acteurs malveillants ont accès à de grandes quantités de données sur différents appareils, méthodologies d'attaque et vulnérabilités.
Externe renseignements sur les menaces permet aux équipes de sécurité d'avoir accès aux mêmes types d'informations que les acteurs de la menace. Lorsque vous intégrez efficacement et efficacement les quatre types de renseignements sur les menaces dans votre surveillance de la sécurité, vous obtenez le contexte nécessaire pour défendre votre organisation contre les attaques.
Qu'est-ce que la Threat Intelligence ?
Les renseignements sur les menaces impliquent la collecte, le traitement et l'analyse de données sur les motivations, les cibles et les comportements des acteurs malveillants afin de comprendre plus efficacement les menaces passées, actuelles et futures. Ces connaissances factuelles sur les acteurs de la menace comprennent :
- Contexte, y compris le secteur vertical, les types d'appareils et les régions géographiques ciblées
- Implications pour la compréhension de la probabilité ou de l'impact potentiel
- Indicateurs de compromission (IoC) utilisés pour rechercher des menaces persistantes avancées
- Informations sur les menaces actuelles ou nouvelles, telles que les nouvelles variantes de rançongiciels ou les vulnérabilités récemment signalées
- Mécanismes utilisés par les attaquants lors des attaques
Renseignements sur les menaces : sources générales
Les renseignements open source sur les cybermenaces regroupent des informations accessibles au public sur Internet. Les équipes de sécurité peuvent tirer parti des projets communautaires qui regroupent des renseignements sur les menaces, notamment ceux des sociétés de sécurité dont les chercheurs partagent publiquement leurs conclusions. Voici quelques exemples de renseignements open source :
- Chercheur en sécurité ou articles de blog d'entreprise
- Les nouvelles
- Listes de blocage publiques
- Sites Web gouvernementaux, comme la Cybersecurity and Infrastructure Security Agency (CISA)
- Centres de partage et d'analyse de l'information (ISAC)
Les équipes de sécurité peuvent intégrer des flux de renseignements open source dans leur pile technologique de surveillance de la sécurité pour les aider à améliorer leurs alertes de détection. Ces flux fournissent généralement des informations actualisées sur :
- Les escroqueries par phishing
- Malware
- Moteurs de recherche
- Les chevaux de Troie
- Adware
- Spyware
- Rançongiciels
Quelques exemples d'open source flux de renseignements sur les menaces consistent à
- Le Bureau fédéral d'investigation (FBI) InfraGarde
- CISA Partage d'indicateurs automatisé
- SANS Internet Storm Center
- Total Virus
Bien que les flux de renseignements sur les menaces open source fournissent des informations précieuses, ils peuvent ne pas vous donner tout ce que vous devez savoir.
Types de renseignements sur les menaces : leurs différences
Lorsque vous comprenez les quatre types de renseignements sur les menaces, leurs différences et la façon de les utiliser, vous pouvez défendre plus efficacement les actifs de votre entreprise.
Renseignements techniques sur les menaces
Les renseignements techniques sur les menaces sont les informations que les équipes de sécurité obtiennent généralement de leurs flux de renseignements open source. Les équipes de sécurité utilisent des renseignements techniques sur les menaces pour surveiller les nouvelles menaces ou enquêter sur un incident de sécurité.
Voici quelques exemples supplémentaires de renseignements techniques sur les menaces :
- Vecteur d'attaque utilisé par les acteurs malveillants
- Domaines de commande et de contrôle (C&C)
- Vulnérabilités exploitées
- Journaux des voleurs d'informations
- Données communes sur la vulnérabilité et l'exposition (CVE)
Les équipes de sécurité utilisent les renseignements techniques sur les menaces pour :
- Chasse proactive aux menaces pour trouver les acteurs de la menace qui contournent les détections
- Enquêter sur les alertes de sécurité
- Localiser des preuves médico-légales
Renseignements stratégiques sur les menaces
Intelligence stratégique sur les menaces fournit des informations de haut niveau afin que la haute direction puisse prendre des décisions en fonction du paysage des menaces. Étant donné que les renseignements stratégiques sur les menaces se concentrent sur des informations non techniques plutôt que sur des acteurs, des indicateurs ou des attaques spécifiques, la collecte des données peut ne pas être un processus continu.
Voici quelques exemples de renseignements sur les menaces stratégiques :
- Règlements
- Politiques publiées par les organisations de l'industrie
- Médias d'information régionaux et nationaux
- Discussions sur les réseaux sociaux
Intégrez en 30 minutes la base de données sur la cybercriminalité la plus accessible et complète au monde dans votre programme de cybersécurité.
Les flux de renseignements stratégiques peuvent aider la haute direction à comprendre :
- Probabilité de violation de données lors d'une évaluation des risques
- Position de cybersécurité de l'organisation lors de l'établissement des budgets
- Changements dans le paysage de la conformité réglementaire ayant un impact sur les capacités de conformité de l'organisation
Renseignements sur les menaces tactiques
Intelligence tactique des menaces se concentre sur les tactiques, techniques et procédures (TTP) des acteurs malveillants, fournissant un aperçu des attaques potentielles et de la manière dont les acteurs malveillants peuvent compromettre l'environnement informatique d'une entreprise. Les centres d'opérations de sécurité (SOC), les responsables informatiques, les centres d'opérations réseau (NOC) et d'autres professionnels de l'informatique de haut niveau utilisent des renseignements tactiques sur les menaces pour prévenir les cyberattaques en obtenant une visibilité sur la surface d'attaque de l'organisation, y compris des informations sur les informations d'identification compromises ou les appareils infectés.
Voici quelques exemples de renseignements sur les menaces tactiques :
- Listes noires d'URL et d'IP
- Tendances et signatures de logiciels malveillants
- Rançongiciels
- Modèles de trafic réseau
- Les escroqueries par phishing
Pour trouver des informations sur les menaces tactiques, les utilisateurs peuvent utiliser des informations open source (OSINT) via :
- Surveillance du Dark Web
- Rapports de groupe d'attaque
- Échantillons de logiciels malveillants et rapports d'incidents
- Rapports de campagne
- Intelligence humaine
Les professionnels techniques peuvent utiliser les renseignements sur les menaces tactiques pour :
- Tester leurs technologies et processus de sécurité
- Affiner les outils de sécurité
- Trouver des lacunes dans leurs contrôles de sécurité
Renseignements sur les menaces opérationnelles
Renseignements sur les menaces opérationnelles donne aux équipes de sécurité des informations exploitables relatives à la nature, au motif, au moment et aux méthodes des acteurs de la menace qui les aident à prévenir ou à détecter de manière proactive une attaque. Étant donné que les renseignements sur les menaces opérationnelles se concentrent sur les éléments humains plutôt que techniques d'une attaque, les flux open source sont rares, ce qui crée des défis pour les équipes de réponse aux incidents de cyberattaque, les analystes de logiciels malveillants, les équipes de défense du réseau, les analystes d'hôtes et les responsables de la sécurité.
Voici quelques exemples de sources de renseignements sur les menaces opérationnelles :
- Forums de discussion en ligne clairs et sombres
- Réseaux sociaux d'acteurs malveillants
- Forums Web clairs et sombres
Les professionnels de la sécurité utilisent les informations sur les menaces opérationnelles pour :
- Empêcher ou répondre aux attaques planifiées
- Créer des règles ou des signatures pour leurs alertes de détection
- Prioriser l'installation des mises à jour de sécurité dans le cadre de la gestion des vulnérabilités et des correctifs
Défis lors de la collecte des quatre types de renseignements sur les menaces (et comment les surmonter)
Bien que la collecte des quatre types de renseignements sur les menaces soit essentielle pour protéger l'environnement informatique d'une entreprise, les équipes de sécurité ont souvent du mal à les collecter et à les utiliser.
Trop difficile d'accès et de compréhension
Des renseignements techniques, tactiques et stratégiques sur les menaces peuvent être facilement disponibles. Cependant, ces informations ne vous donnent que le « quoi » et le « comment ». L'intelligence opérationnelle vous donne le « pourquoi » et, parfois, le « quand ». Sans cela, vous ne pourrez peut-être pas utiliser efficacement les renseignements sur les menaces. Simultanément, cette colle informationnelle réside généralement dans des forums, des médias sociaux, des canaux de discussion et des places de marché anonymes et difficiles à trouver que les acteurs de la menace utilisent. Même si vous pouvez accéder aux canaux de communication, vous ne pourrez peut-être pas comprendre les conversations car les acteurs malveillants viennent du monde entier et ne parlent pas tous anglais.
Pour résoudre ce problème, vous voudrez peut-être trouver une solution de surveillance automatisée qui vous permette de rechercher ces forums criminels en utilisant le traitement du langage naturel. Ce type de technologie vous permet de rassembler tout ce dont vous avez besoin et de le traduire en anglais.
Trop d'informations
La collecte d'un seul type de renseignements sur les menaces peut être un processus écrasant. Lorsque vous commencez à essayer de collecter les quatre types de renseignements sur les menaces, le processus peut augmenter plutôt que diminuer la fatigue liée aux alertes. Avec les données supplémentaires, vous obtenez plus d'informations. Cependant, si vous ne parvenez pas à les corréler et à les analyser correctement, vos outils de sécurité généreront trop d'alertes.
Pour surmonter ce défi, vous devez rechercher des solutions de renseignement sur les menaces qui vous aident à hiérarchiser les données collectées afin que vous puissiez les utiliser efficacement. Lorsque vous recherchez une solution, vous voulez trouver quelque chose qui analyse et hiérarchise les menaces pour vous. Les solutions qui tirent parti de l'intelligence artificielle (IA) permettent de créer des alertes haute fidélité qui réduisent – plutôt qu'augmentent – le bruit.
Trop de temps
La collecte manuelle de renseignements sur les menaces prend du temps, en particulier lorsqu'il s'agit de parcourir les flux techniques, les médias sociaux, les flux RSS d'actualités, les chaînes Telegram et les forums de discussion. Même si vous avez le temps de passer en revue toutes les informations, vous avez encore besoin de temps pour tout comparer et l'analyser.
Lorsque vous automatisez les processus de collecte, de corrélation et d'analyse des informations sur les menaces, vous gagnez du temps lors de la mise à niveau de votre programme de sécurité. En exploitant les données analysées, vous pouvez tester vos contrôles actuels, trouver des lacunes dans les technologies et les processus et affiner efficacement vos outils de sécurité.
Flare : renseignements automatisés sur les menaces opérationnelles
En surveillant les menaces externes à haut risque avec Flare, vous pouvez automatiser les processus de renseignement opérationnel, comme la collecte, la corrélation et l'analyse. Notre plate-forme surveille les activités malveillantes sur le Web clair et sombre. De plus, notre plate-forme vous aide à surveiller les canaux Telegram illicites qui sont devenus la nouvelle plate-forme de communication des acteurs de la menace. Notre automatisation fait gagner du temps à votre équipe, réduisant les coûts associés à la collecte d'informations.
La plate-forme de Flare offre des intégrations faciles à utiliser afin que votre équipe puisse intégrer la surveillance des renseignements sur les menaces dans ses flux de travail et dans ses outils de communication. Grâce à notre technologie d'intelligence artificielle, nous hiérarchisons les menaces pour réduire le bruit afin que votre équipe de sécurité puisse exploiter à bon escient les renseignements sur les menaces.
Essayez un essai gratuit et démarrez en seulement quinze minutes.