Qu’est-ce que le renseignement sur les menaces ?

Les renseignements sur les menaces combinent des données provenant de diverses sources internes et externes pour comprendre les cyberrisques existants et émergents pour l’entreprise et renforcer les stratégies défensives. Un programme de renseignement sur les menaces efficace permet de trianguler les informations sur les menaces, de filtrer et de hiérarchiser les menaces en fonction des risques commerciaux, et de les intégrer aux systèmes internes et aux contrôles de sécurité. Le renseignement sur les menaces est un élément clé d’un programme de cybersécurité mature.

Les renseignements sur les cybermenaces mettent en lumière les menaces actuelles et émergentes qui pèsent sur l’organisation. En comprenant les tactiques, les techniques et les procédures des adversaires, les entreprises peuvent lutter plus efficacement contre les menaces avant, pendant et après un événement de sécurité.

Les programmes de renseignement sur les menaces aident les entreprises à prendre des décisions plus efficaces sur la manière de remédier aux vulnérabilités, de mener des stratégies de test, d’élaborer des plans de réponse aux incidents et d’assurer la continuité des activités en cas d’événement. Les équipes de renseignement sur les menaces travaillent en collaboration avec les équipes de cybersécurité et les équipes de sécurité.

Un système de renseignement sur les menaces est un hub central qui collecte, analyse et génère des informations en réaction aux données de cybersécurité. Ces systèmes permettent de suivre les événements de sécurité et de déterminer quels acteurs de la menace sont présents, et d’informer les équipes de sécurité sur la manière de réagir. Ils s’appuient souvent sur le renseignement sur les cybermenaces (CTI), qui est un ensemble de sources de données internes et externes qui aident à contextualiser le système.

Un système de renseignement sur les menaces fonctionne dans le cadre d'une solution logicielle de sécurité globale. Des solutions telles qu’AWS Security Hub intègrent souvent des activités liées au cycle de vie des renseignements sur les menaces pour une gestion centralisée.

Le cycle de vie des renseignements sur les menaces est un processus continu qui nécessite des mises à jour et des révisions régulières.

Voici les principales étapes du cycle de vie des renseignements sur les menaces.

Champ d’application environnemental

Avant de déployer un programme de renseignement sur les menaces, les organisations doivent définir leurs systèmes, leurs données, leurs réseaux, leurs services, leurs utilisateurs et leurs autres actifs organisationnels. Les organisations doivent classer les actifs organisationnels en fonction de leur criticité opérationnelle et de la sensibilité des données. En comprenant l’étendue de l’environnement organisationnel, il devient possible de comprendre quelles menaces seront pertinentes pour l’entreprise et quels actifs peuvent constituer une cible plus importante.

Collecte de données sur les menaces

Une fois le cadrage terminé, la prochaine étape du cycle de vie des renseignements sur les cybermenaces consiste à rassembler de nombreuses sources de données dans une source de vérité centralisée. Le système de renseignement sur les menaces ingérera des données de sécurité internes, des rapports système et des sources externes telles que des flux de menaces open source et distribués par les fournisseurs en temps réel, des bases de données de vulnérabilités et la surveillance des réseaux sociaux et du dark web.

Cette étape vise à capturer autant de données sur les menaces que possible afin d’obtenir une gamme complète d’informations. À ce stade, l’ingestion de données est hautement automatisée, constante et n’est pas filtrée en fonction de l’étendue de l’activité.

Traitement des données

Après la collecte des données, l’organisation les filtre, les structure, les normalise, les enrichit et les transforme pour les rendre utiles. Les données non structurées sont transformées en un format lisible par machine, tandis que les données structurées sont nettoyées pour améliorer la qualité des données et associées à des métadonnées. Les données redondantes et hors du champ d’application sont supprimées. Le traitement doit être aussi automatisé que possible.

Analyse

La phase d’analyse transforme les données de renseignement sur les menaces en informations exploitables pour l’entreprise. Les systèmes automatisés commenceront à identifier des modèles et des relations dans toutes les données traitées, à la recherche d'anomalies, de divergences ou de résultats que les équipes de cybersécurité examineront de manière plus approfondie.

À ce stade, les analystes de données peuvent utiliser une gamme de techniques avancées, telles que l’application dumachine learning et de la modélisation prédictive, pour cartographier des indicateurs de menace spécifiques. Ces processus sont à la fois manuels et automatiques, conçus pour fournir aux équipes de sécurité des informations pertinentes et utiles qui éclairent les stratégies de cyberdéfense.

Rapports

Les rapports fournissent les résultats de l’analyse des renseignements sur les menaces aux parties prenantes de l’entreprise et aux équipes concernées. Les rapports sont adaptés au public et peuvent inclure des tableaux de bord limités, des fichiers texte, des présentations ou d’autres formes de communication.

La phase de reporting est souvent automatisée, les systèmes de renseignement sur les menaces générant un rapport et le distribuant au personnel requis. Lorsque des menaces de sécurité plus importantes apparaissent, il peut être nécessaire de créer des rapports manuels.

Les équipes peuvent également signaler des menaces nouvelles et inconnues à l’ensemble de la communauté, afin que d’autres organisations puissent intégrer ces informations dans leurs propres systèmes.

Surveillance et réglage

Les systèmes de renseignement sur les menaces surveillent les problèmes de sécurité potentiels, tracent les IOC et aident à soutenir les équipes de sécurité. Un système de renseignement sur les menaces est un logiciel clé au sein d’un centre des opérations de sécurité (SOC) doté de personnel 24 heures sur 24, 7 jours sur 7.

Au cours de l’analyse, les équipes peuvent suivre les indicateurs de compromission (IoC) liés à des événements de sécurité potentiels afin d’élaborer des plans et des playbooks de réponse aux incidents, de déployer des contrôles de sécurité nouveaux ou ajustés, d’apporter des modifications à l’architecture du système et de mettre à jour les risques pour l’entreprise. Cette réponse informée garantit que la posture de sécurité de l’entreprise reste intacte.

Les équipes doivent tirer les leçons des événements de sécurité imprévus et des nouvelles informations pour ensuite itérer et améliorer leurs performances précédentes. Les équipes de sécurité peuvent examiner les performances des outils de sécurité, commenter les réponses et signaler les incohérences pour aider les logiciels de renseignement sur les menaces à s’améliorer en permanence.

Les fonctionnalités d’un programme de renseignement sur les cybermenaces dépendent de la complexité de l’environnement commercial, des exigences en matière de données sensibles et des obligations de conformité. Voici quelques-unes des fonctionnalités les plus courantes des programmes de renseignement sur les menaces.

Flux de données

Les flux de données font référence à toutes les sources d’informations sur lesquelles les plateformes de renseignement sur les menaces s’appuient pour fournir leurs informations. Ces services de renseignement sur les menaces constituent une composante essentielle d’un programme de renseignement sur les menaces.

Les sources de flux de données externes incluent le renseignement open source en temps réel (OSINT), les flux de menaces publiques et les informations fournies par les agences gouvernementales de cybersécurité. Les sources de flux de données internes incluent les journaux de pare-feu, les comportements d’accès des utilisateurs, les alertes du système de détection d’intrusion (IDS), les journaux des points de terminaison et la télémétrie des services cloud.

Technologies

Le renseignement sur les menaces s’appuie sur plusieurs technologies qui fonctionnent en harmonie pour fournir des données, analyser des informations et fournir des informations exploitables aux équipes de sécurité. Par exemple, certains logiciels de renseignement sur les menaces permettent d’ingérer et d’organiser les données, ainsi que de partager des informations directement avec les équipes de sécurité lorsqu’elles doivent prendre des mesures.

Les technologies d’analytique sont essentielles pour détecter des modèles et des anomalies dans les données qui permettent de signaler d’éventuels événements de sécurité. Les capacités analytiques du renseignement sur les cybermenaces font référence à toute technologie utilisée par les équipes pour améliorer la clarté, la précision et la profondeur des données. Il s’agit notamment de l’analyse par machine learning, des algorithmes prédictifs et des analytiques comportementales.

Les systèmes de gestion des informations et des événements de sécurité (SIEM) mettent en corrélation les données des journaux de sécurité internes avec les informations sur les événements afin de fournir un aperçu en temps réel de l’impact des menaces émergentes sur votre activité. Certaines entreprises intègrent également des avertissements intégrés à leurs produits, ce qui fournira aux développeurs un contexte supplémentaire sur les bogues potentiels lorsqu’ils travaillent sur certains aspects.

Cadres

Les cadres qui incluent des renseignements sur les menaces offrent une structure standardisée que les organisations doivent suivre. Ces cadres sont très appréciés et régulièrement mis à jour pour inclure des conseils descriptifs et prescriptifs pour les organisations. Les cadres de cybersécurité axés sur le renseignement sur les menaces sont le cadre MITRE ATT&CK et la Cyber Kill Chain. Ces deux cadres incluent des moyens de gérer les tactiques, les vecteurs standard et les IOC.

Activités

Les systèmes de renseignement sur les cybermenaces participent à un certain nombre d’activités visant à générer des informations et à améliorer leurs capacités. Par exemple, ces systèmes peuvent effectuer des évaluations des risques en temps réel, corriger des vulnérabilités connues grâce à des mises à jour, répondre aux incidents par des commentaires et proposer aux experts en cybersécurité des informations sur les événements à prioriser.

Il existe quatre principaux types de renseignement sur les menaces que les professionnels de la sécurité utiliseront.

Renseignements stratégiques sur les menaces

Le renseignement stratégique sur les menaces fait référence à des informations plus larges sur le paysage des menaces que les systèmes collectent, notamment des données géopolitiques, des données économiques et d’autres informations non techniques qui peuvent être utiles pour établir un profil contextuel d’un événement de sécurité potentiel. Ce type de renseignement stratégique non technique sur les menaces fournit des informations précieuses qui aident à comprendre les vulnérabilités de sécurité générales et leur évolution.

Renseignements tactiques sur les menaces

Le renseignement tactique sur les menaces fait référence à la collecte d’informations relatives aux tactiques, techniques et procédures (TTP) de l’adversaire, y compris les TTP provenant de menaces persistantes avancées (APT). Les données d’information à l'échelle de l’industrie sont partagées sur les flux de sécurité publique. Ces informations permettent aux professionnels de la sécurité de comprendre le comportement typique d’attaques spécifiques, les vecteurs utilisés et la séquence d’actions qui se produisent lors d’un événement de sécurité donné.

Renseignements techniques sur les menaces

Les renseignements techniques sur les menaces font référence à tout signe de compromission identifié par une machine. Ces IOC, tels que la présence d’adresses IP malveillantes, d’URL de sécurité inattendues, de réponses de pare-feu ou de modification soudaine des valeurs opérationnelles attendues d’un système, seront tous signalés pour que les équipes puissent les étudier plus avant.

Renseignements opérationnels sur les menaces

Le renseignement opérationnel sur les menaces est une forme composite de renseignement entre des informations tactiques et techniques. Cette forme d’intelligence opérationnelle donnera un aperçu des connaissances à l’échelle du secteur, comme la manière dont une forme spécifique de rançongiciel ou de logiciel malveillant est de plus en plus observée dans certaines entreprises ou régions. Le renseignement opérationnel sur les menaces permet aux entreprises de prendre des mesures pour atténuer les éventuels événements de sécurité avant qu’ils ne se produisent.

AWS Cloud Security contribue à sécuriser votre environnement cloud grâce à des intégrations, une automatisation et des visualisations dédiées au renseignement sur les menaces. AWS Cloud Security permet d’identifier les risques potentiels, de protéger l’infrastructure en adoptant des mesures de protection des données, de surveiller le niveau de sécurité en cas d’événements imprévus et même de répondre directement aux incidents.

AWS Security Hub donne la priorité à vos problèmes de sécurité critiques et vous aide à réagir à grande échelle pour protéger votre environnement. Il fournit des informations sur les menaces, détecte les problèmes critiques en corrélant et en enrichissant les signaux en informations exploitables, permettant ainsi une réponse rationalisée.

Commencez à utiliser le renseignement sur les menaces sur AWS en créant un compte gratuit dès aujourd’hui.