Les technologies numériques sont au cœur de presque toutes les industries aujourd’hui. L’automatisation et la plus grande connectivité qu’elles permettent ont révolutionné les institutions économiques et culturelles du monde – mais elles ont également apporté des risques sous la forme de cyberattaques. Le renseignement sur les menaces est la connaissance qui vous permet de prévenir ou d’atténuer ces attaques. Ancré dans les données, le renseignement sur les menaces fournit un contexte – comme qui vous attaque, quelles sont ses motivations et ses capacités, et quels sont les indicateurs de compromission dans vos systèmes à rechercher – qui vous aide à prendre des décisions éclairées sur votre sécurité.
« Le renseignement sur les menaces est une connaissance fondée sur des preuves, y compris le contexte, les mécanismes, les indicateurs, les implications et les conseils orientés vers l’action concernant une menace ou un danger existant ou émergent pour les actifs. Ce renseignement peut être utilisé pour éclairer les décisions concernant la réponse du sujet à cette menace ou à ce danger. » – Gartner
Pour des informations plus détaillées, consultez les sections de cet aperçu intitulées « Le cycle de vie du renseignement sur les menaces » et « Les types de renseignement sur les menaces ». »
- Pourquoi le renseignement sur les menaces est-il important ?
- Qui peut bénéficier du renseignement sur les menaces?
- Le cycle de vie du renseignement sur les menaces
- Planification et orientation
- Collection
- Traitement
- Analyse
- Dissémination
- Réaction
- Les types de renseignement sur les menaces
- Renseignements sur les menaces stratégiques
- Renseignement sur les menaces tactiques
- Renseignements sur les menaces opérationnelles
- L’apprentissage automatique pour une meilleure intelligence des menaces
- Pour structurer les données en entités et en événements
- Structurer le texte dans plusieurs langues grâce au traitement du langage naturel
- Pour classer les événements et les entités, aidant les analystes humains à hiérarchiser les alertes
- Prévoir des événements et des propriétés d’entités grâce à des modèles prédictifs
- Cas d’utilisation du renseignement sur les menaces
- Réponse aux incidents
- Opérations de sécurité
- Gestion des vulnérabilités
- Analyse des risques
- Prévention de la fraude
- Direction de la sécurité
- Réduire les risques liés aux tiers
Pourquoi le renseignement sur les menaces est-il important ?
Aujourd’hui, le secteur de la cybersécurité est confronté à de nombreux défis – des acteurs de la menace de plus en plus persistants et sournois, un flot quotidien de données pleines d’informations étrangères et de fausses alarmes à travers de multiples systèmes de sécurité non connectés, et une grave pénurie de professionnels qualifiés.
Certaines organisations essaient d’intégrer des flux de données sur les menaces dans leur réseau, mais ne savent pas quoi faire de toutes ces données supplémentaires, ce qui alourdit la charge des analystes qui n’ont pas forcément les outils nécessaires pour décider de ce qu’il faut prioriser et de ce qu’il faut ignorer.
Une solution de renseignement sur les cybermenaces peut résoudre chacun de ces problèmes. Les meilleures solutions utilisent l’apprentissage automatique pour automatiser la collecte et le traitement des données, s’intègrent à vos solutions existantes, prennent en charge des données non structurées provenant de sources disparates, puis relient les points en fournissant un contexte sur les indicateurs de compromission (IoC) et les tactiques, techniques et procédures (TTP) des acteurs de la menace.
Le renseignement sur les menaces est exploitable – il est opportun, fournit un contexte et peut être compris par les personnes chargées de prendre des décisions.
Qui peut bénéficier du renseignement sur les menaces?
Tout le monde ! Le renseignement sur les cybermenaces est largement imaginé comme étant le domaine des analystes d’élite. En réalité, il ajoute de la valeur à travers les fonctions de sécurité pour les organisations de toutes tailles.
Lorsque le renseignement sur les menaces est traité comme une fonction distincte au sein d’un paradigme de sécurité plus large plutôt que comme un composant essentiel qui augmente chaque autre fonction, le résultat est que beaucoup des personnes qui bénéficieraient le plus du renseignement sur les menaces n’y ont pas accès quand elles en ont besoin.
Les équipes chargées des opérations de sécurité sont régulièrement incapables de traiter les alertes qu’elles reçoivent – le renseignement sur les menaces s’intègre aux solutions de sécurité que vous utilisez déjà, ce qui permet de hiérarchiser et de filtrer automatiquement les alertes et autres menaces. Les équipes chargées de la gestion des vulnérabilités peuvent hiérarchiser avec plus de précision les vulnérabilités les plus importantes grâce à l’accès aux informations et au contexte externes fournis par les renseignements sur les menaces. Et la prévention des fraudes, l’analyse des risques et d’autres processus de sécurité de haut niveau sont enrichis par la compréhension du paysage actuel des menaces que le renseignement sur les menaces fournit, y compris des informations clés sur les acteurs de la menace, leurs tactiques, techniques et procédures, et plus encore à partir de sources de données à travers le Web.
Voyez notre section sur les cas d’utilisation ci-dessous pour un examen plus approfondi de la façon dont chaque rôle de sécurité peut bénéficier du renseignement sur les menaces.
Le cycle de vie du renseignement sur les menaces
Alors, comment le renseignement sur les cybermenaces est-il produit ? Les données brutes ne sont pas la même chose que le renseignement – le renseignement sur les cybermenaces est le produit fini qui résulte d’un cycle en six parties de collecte, de traitement et d’analyse des données. Ce processus est un cycle parce que de nouvelles questions et des lacunes dans les connaissances sont identifiées au cours de l’élaboration du renseignement, ce qui entraîne la définition de nouvelles exigences en matière de collecte. Un programme de renseignement efficace est itératif, se raffinant au fil du temps.
Pour maximiser la valeur du renseignement sur les menaces que vous produisez, il est essentiel d’identifier vos cas d’utilisation et de définir vos objectifs avant toute autre chose.
Planification et orientation
La première étape pour produire des renseignements sur les menaces exploitables consiste à poser la bonne question.
Les questions qui stimulent le mieux la création de renseignements sur les menaces exploitables se concentrent sur un seul fait, événement ou activité – les questions larges et ouvertes doivent généralement être évitées.
Priorisez vos objectifs de renseignement en fonction de facteurs tels que leur degré d’adhésion aux valeurs fondamentales de votre organisation, l’importance de l’impact qu’aura la décision qui en résultera et la sensibilité au facteur temps de la décision.
Un facteur d’orientation important à ce stade est de comprendre qui consommera et bénéficiera du produit fini – les renseignements iront-ils à une équipe d’analystes ayant une expertise technique qui ont besoin d’un rapport rapide sur un nouvel exploit, ou à un dirigeant qui cherche une vue d’ensemble des tendances pour éclairer ses décisions d’investissement en matière de sécurité pour le prochain trimestre ?
Collection
L’étape suivante consiste à recueillir des données brutes qui répondent aux exigences établies au premier stade. Il est préférable de collecter des données à partir d’un large éventail de sources – internes, comme les journaux d’événements réseau et les enregistrements des réponses aux incidents passés, et externes, comme le web ouvert, le dark web et les sources techniques.
Les données sur les menaces sont généralement considérées comme des listes d’IoC, comme les adresses IP malveillantes, les domaines et les hachages de fichiers, mais elles peuvent également inclure des informations sur les vulnérabilités, comme les informations d’identification personnelle des clients, le code brut des sites de pâte et le texte des sources d’actualités ou des médias sociaux.
Traitement
Une fois que toutes les données brutes ont été collectées, vous devez les trier, en les organisant avec des balises de métadonnées et en filtrant les informations redondantes ou les faux positifs et négatifs.
Aujourd’hui, même les petites organisations collectent des données de l’ordre de millions d’événements de journal et de centaines de milliers d’indicateurs chaque jour. C’est trop pour que les analystes humains puissent les traiter efficacement – la collecte et le traitement des données doivent être automatisés pour commencer à leur donner un sens.
Les solutions comme les SIEM sont un bon point de départ car elles permettent de structurer relativement facilement les données avec des règles de corrélation qui peuvent être configurées pour quelques cas d’utilisation différents, mais elles ne peuvent prendre en compte qu’un nombre limité de types de données.
Si vous collectez des données non structurées provenant de nombreuses sources internes et externes différentes, vous aurez besoin d’une solution plus robuste. Recorded Future utilise l’apprentissage automatique et le traitement du langage naturel pour analyser le texte de millions de documents non structurés dans sept langues différentes et les classer à l’aide d’ontologies et d’événements indépendants de la langue, ce qui permet aux analystes d’effectuer des recherches puissantes et intuitives qui vont au-delà des mots-clés nus et des règles de corrélation simples.
Analyse
L’étape suivante consiste à donner un sens aux données traitées. L’objectif de l’analyse est de rechercher les problèmes de sécurité potentiels et de notifier les équipes concernées dans un format qui répond aux exigences de renseignement décrites dans l’étape de planification et de direction.
Le renseignement sur les menaces peut prendre de nombreuses formes en fonction des objectifs initiaux et du public visé, mais l’idée est d’obtenir les données dans un format que le public comprendra. Cela peut aller de simples listes de menaces à des rapports examinés par des pairs.
Dissémination
Le produit fini est ensuite distribué à ses consommateurs prévus. Pour que le renseignement sur les menaces soit exploitable, il doit parvenir aux bonnes personnes au bon moment.
Il doit également être suivi afin qu’il y ait une continuité entre un cycle de renseignement et le suivant et que l’apprentissage ne soit pas perdu. Utilisez des systèmes de billetterie qui s’intègrent à vos autres systèmes de sécurité pour suivre chaque étape du cycle de renseignement – chaque fois qu’une nouvelle demande de renseignement se présente, les billets peuvent être soumis, rédigés, examinés et remplis par plusieurs personnes de différentes équipes, le tout en un seul endroit.
Réaction
La dernière étape est celle où le cycle de renseignement boucle la boucle, ce qui le rend étroitement lié à la phase initiale de planification et de direction. Après avoir reçu le produit fini du renseignement, celui qui a fait la demande initiale l’examine et détermine si ses questions ont reçu une réponse. Cela détermine les objectifs et les procédures du cycle de renseignement suivant, ce qui rend à nouveau la documentation et la continuité essentielles.
Les types de renseignement sur les menaces
Comme le démontre le cycle de vie du renseignement sur les menaces, le produit final aura une apparence différente selon les exigences initiales en matière de renseignement, les sources d’information et le public visé. Il peut être utile de répartir le renseignement sur les menaces en quelques catégories en fonction de ces critères.
Le renseignement sur les menaces est souvent décomposé en trois sous-catégories :
- Stratégique – Tendances plus larges généralement destinées à un public non technique
- Tactique – Contours des tactiques, techniques et procédures des acteurs de la menace pour un public plus technique
- Opérationnel – Détails techniques sur des attaques et des campagnes spécifiques
Renseignements sur les menaces stratégiques
Les renseignements sur les menaces stratégiques fournissent une vue d’ensemble du paysage des menaces d’une organisation. Elle est destinée à éclairer les décisions de haut niveau prises par les cadres et autres décideurs d’une organisation – à ce titre, le contenu est généralement moins technique et est présenté sous forme de rapports ou de briefings. Une bonne intelligence stratégique devrait fournir un aperçu de domaines tels que les risques associés à certaines lignes d’action, les grands modèles de tactiques et de cibles des acteurs de la menace, ainsi que les événements et tendances géopolitiques.
Les sources d’information courantes pour le renseignement stratégique sur les menaces comprennent :
- Documents politiques d’États-nations ou d’organisations non gouvernementales
- Actualités des médias locaux et nationaux, publications spécifiques à une industrie ou à un sujet, ou autres experts en la matière
- Livres blancs, rapports de recherche et autres contenus produits par des organisations de sécurité
La production de renseignements stratégiques solides sur les menaces commence par la pose de questions ciblées et spécifiques pour établir les exigences en matière de renseignements. Il faut également des analystes ayant une expertise en dehors des compétences typiques de la cybersécurité – en particulier, une solide compréhension des concepts sociopolitiques et commerciaux.
Bien que le produit final ne soit pas technique, la production de renseignements stratégiques efficaces nécessite une recherche approfondie dans des volumes massifs de données, souvent dans plusieurs langues. La collecte et le traitement initiaux des données peuvent donc s’avérer trop difficiles à réaliser manuellement, même pour les analystes chevronnés qui possèdent les compétences linguistiques, le bagage technique et le savoir-faire appropriés. Une solution de renseignement sur les menaces qui automatise la collecte et le traitement des données contribue à réduire cette charge et permet aux analystes qui n’ont pas autant d’expertise de travailler plus efficacement.
Renseignement sur les menaces tactiques
Le renseignement sur les menaces tactiques décrit les tactiques, techniques et procédures (TTP) des acteurs de la menace. Il doit aider les défenseurs à comprendre, en termes spécifiques, comment leur organisation pourrait être attaquée et les meilleurs moyens de se défendre contre ces attaques ou de les atténuer. Il comprend généralement un contexte technique et est utilisé par le personnel directement impliqué dans la défense d’une organisation, comme les architectes système, les administrateurs et le personnel de sécurité.
Les rapports produits par les fournisseurs de sécurité sont souvent le moyen le plus simple d’obtenir des renseignements tactiques sur les menaces. Recherchez dans les rapports des informations sur les vecteurs d’attaque, les outils et l’infrastructure que les attaquants utilisent, y compris des détails sur les vulnérabilités ciblées et les exploits que les attaquants exploitent, ainsi que les stratégies et les outils qu’ils peuvent utiliser pour éviter ou retarder la détection.
Les renseignements tactiques sur les menaces doivent être utilisés pour informer les améliorations apportées aux contrôles et aux processus de sécurité existants et accélérer la réponse aux incidents. Parce que de nombreuses questions auxquelles répond le renseignement tactique sont uniques à votre organisation et doivent être répondues dans un délai court – par exemple, « Cette vulnérabilité critique exploitée par des acteurs de la menace ciblant mon secteur est-elle présente dans mes systèmes ? » – disposer d’une solution de renseignement sur les menaces qui intègre les données de votre propre réseau est crucial.
Renseignements sur les menaces opérationnelles
Les renseignements opérationnels sont des connaissances sur les cyberattaques, les événements ou les campagnes. Il donne des aperçus spécialisés qui aident les équipes de réponse aux incidents à comprendre la nature, l’intention et le moment des attaques spécifiques.
Parce que cela inclut généralement des informations techniques – des informations comme le vecteur d’attaque utilisé, les vulnérabilités exploitées ou les domaines de commande et de contrôle employés – ce type de renseignement est également appelé renseignement technique sur les menaces. Une source courante d’informations techniques est le flux de données sur les menaces, qui se concentre généralement sur un seul type d’indicateur, comme les hachages de logiciels malveillants ou les domaines suspects.
Mais si le renseignement sur les menaces techniques est strictement considéré comme dérivant d’informations techniques comme les flux de données sur les menaces, alors le renseignement sur les menaces techniques et opérationnelles n’est pas totalement synonyme – plutôt un diagramme de Venn avec d’énormes chevauchements. D’autres sources d’information sur des attaques spécifiques peuvent provenir de sources fermées comme l’interception des communications des groupes de menace, soit par infiltration ou par effraction dans ces canaux de communication.
En conséquence, il existe quelques obstacles à la collecte de ce type de renseignement :
- Accès – Les groupes de menace peuvent communiquer sur des canaux privés et cryptés, ou exiger une certaine preuve d’identification. Il existe également des barrières linguistiques avec les groupes de menaces situés dans des pays étrangers.
- Bruit – Il peut être difficile, voire impossible, de recueillir manuellement de bons renseignements à partir de sources à fort volume comme les salons de discussion et les médias sociaux.
- Obfuscation – Pour éviter d’être détectés, les groupes de menaces pourraient employer des tactiques d’obfuscation comme l’utilisation de noms de code.
Les solutions de renseignement sur les menaces qui s’appuient sur des processus d’apprentissage automatique pour la collecte automatisée de données à grande échelle peuvent surmonter bon nombre de ces problèmes lorsqu’on essaie de développer un renseignement opérationnel efficace sur les menaces. Une solution qui utilise le traitement du langage naturel, par exemple, sera en mesure de recueillir des informations provenant de sources en langue étrangère sans avoir besoin d’une expertise humaine pour les déchiffrer.
L’apprentissage automatique pour une meilleure intelligence des menaces
Le traitement des données se fait aujourd’hui à une échelle qui nécessite une automatisation pour être complète. Combinez les points de données provenant de nombreux types de sources différentes – y compris les sources ouvertes, le dark web et les sources techniques – pour former l’image la plus robuste possible.
Recorded Future utilise des techniques d’apprentissage automatique de quatre façons pour améliorer la collecte et l’agrégation des données – pour structurer les données en catégories, pour analyser le texte à travers plusieurs langues, pour fournir des scores de risque et pour générer des modèles prédictifs.
Pour structurer les données en entités et en événements
L’ontologie a à voir avec la façon dont nous divisons les concepts et comment nous les regroupons. En science des données, les ontologies représentent des catégories d’entités basées sur leurs noms, leurs propriétés et leurs relations les unes avec les autres, ce qui facilite leur tri en hiérarchies d’ensembles. Par exemple, Boston, Londres et Göteborg sont toutes des entités distinctes qui tomberont également sous l’entité plus large » ville « .
Si les entités représentent un moyen de trier des concepts physiquement distincts, les événements trient les concepts dans le temps. Les événements du futur enregistrés sont indépendants de la langue – quelque chose comme « John a visité Paris », « John a fait un voyage à Paris », « Джон прилетел в Париж, » et « John a visité Paris » sont tous reconnus comme le même événement.
Les ontologies et les événements permettent des recherches puissantes sur les catégories, permettant aux analystes de se concentrer sur l’image globale plutôt que de devoir trier manuellement les données eux-mêmes.
Structurer le texte dans plusieurs langues grâce au traitement du langage naturel
Avec le traitement du langage naturel, les entités et les événements sont capables d’aller au-delà des mots-clés nus, transformant le texte non structuré provenant de sources dans différentes langues en une base de données structurée.
L’apprentissage automatique qui pilote ce processus peut séparer la publicité du contenu primaire, classer le texte dans des catégories telles que la prose, les journaux de données ou le code, et désambiguïser entre des entités portant le même nom (comme « Apple » la société, et « pomme » le fruit) en utilisant des indices contextuels dans le texte environnant.
De cette façon, le système peut analyser le texte de millions de documents quotidiennement dans sept langues différentes – une tâche qui nécessiterait une équipe d’analystes humains impraticablement grande et qualifiée. Un tel gain de temps aide les équipes de sécurité informatique à travailler 32 % plus efficacement avec Recorded Future.
Pour classer les événements et les entités, aidant les analystes humains à hiérarchiser les alertes
L’apprentissage automatique et la méthodologie statistique sont utilisés pour trier davantage les entités et les événements par importance – par exemple, en attribuant des scores de risque aux entités malveillantes.
Les scores de risque sont calculés par le biais de deux systèmes : l’un piloté par des règles basées sur l’intuition et l’expérience humaines, et l’autre piloté par l’apprentissage machine entraîné sur un ensemble de données déjà contrôlé.
Les classificateurs comme les scores de risque fournissent à la fois un jugement (« cet événement est critique ») et un contexte expliquant le score (« parce que de multiples sources confirment que cette adresse IP est malveillante »).
L’automatisation de la classification des risques permet aux analystes de gagner du temps en triant les faux positifs et en décidant des priorités, ce qui aide le personnel de sécurité informatique qui utilise Recorded Future à passer 34 % moins de temps à compiler des rapports.
Prévoir des événements et des propriétés d’entités grâce à des modèles prédictifs
L’apprentissage automatique peut également générer des modèles qui prédisent l’avenir, souvent avec beaucoup plus de précision que n’importe quel analyste humain, en s’appuyant sur les profonds bassins de données précédemment exploités et catégorisés.
C’est une application particulièrement forte de la « loi des grands nombres » de l’apprentissage automatique – à mesure que nous continuerons à puiser dans davantage de sources de données, ces modèles prédictifs deviendront de plus en plus précis.
Cas d’utilisation du renseignement sur les menaces
Les divers cas d’utilisation du renseignement sur les menaces en font une ressource essentielle pour les équipes interfonctionnelles de toute organisation. Bien qu’il ait peut-être la valeur la plus immédiate lorsqu’il vous aide à prévenir une attaque, le renseignement sur les menaces est également une partie utile du triage, de l’analyse des risques, de la gestion des vulnérabilités et de la prise de décision à grande échelle.
Réponse aux incidents
Les analystes de sécurité chargés de la réponse aux incidents signalent certains des niveaux de stress les plus élevés du secteur, et il n’est pas étonnant que cela soit le cas – le taux de cyberincidents a régulièrement augmenté au cours des deux dernières décennies, et une proportion élevée d’alertes quotidiennes se révèlent être de faux positifs. Lorsqu’ils traitent des incidents réels, les analystes doivent souvent passer du temps à trier minutieusement les données manuellement pour évaluer le problème.
La veille sur les menaces réduit la pression de multiples façons :
- Identifier et écarter automatiquement les faux positifs
- Enrichir les alertes avec un contexte en temps réel, comme des scores de risque personnalisés
- Comparer les informations provenant de sources internes et externes
Les utilisateurs de Recorded Future identifient les risques 10 fois plus rapidement qu’avant d’intégrer la veille sur les menaces à leurs solutions de sécurité, ce qui leur donne en moyenne quelques jours de plus pour répondre aux menaces dans un secteur où même les secondes peuvent compter.
Opérations de sécurité
La plupart des équipes des centres d’opérations de sécurité (SOC) doivent gérer d’énormes volumes d’alertes générées par les réseaux qu’elles surveillent. Le triage de ces alertes prend trop de temps, et nombre d’entre elles ne sont jamais examinées du tout. La « fatigue de l’alerte » conduit les analystes à prendre les alertes moins au sérieux qu’ils ne le devraient. Le renseignement sur les menaces résout bon nombre de ces problèmes : il permet de recueillir des informations sur les menaces plus rapidement et plus précisément, de filtrer les fausses alertes, d’accélérer le triage et de simplifier l’analyse des incidents. Avec elle, les analystes peuvent cesser de perdre du temps à poursuivre des alertes basées sur :
- Des actions qui sont plus susceptibles d’être inoffensives que malveillantes
- Des attaques qui ne sont pas pertinentes pour cette entreprise
- Des attaques pour lesquelles des défenses et des contrôles sont déjà en place
En plus d’accélérer le triage, la threat intelligence peut aider les équipes SOC à simplifier l’analyse et le confinement des incidents. Les utilisateurs de Recorded Future résolvent les menaces 63 % plus rapidement, réduisant de plus de la moitié les heures critiques qu’ils consacrent à la remédiation.
Gestion des vulnérabilités
Une gestion efficace des vulnérabilités implique de passer d’une approche consistant à » patcher tout, tout le temps » – une approche que personne ne pourra jamais réaliser de manière réaliste – à une hiérarchisation des vulnérabilités en fonction du risque réel.
Bien que le nombre de vulnérabilités et de menaces ait augmenté chaque année, les recherches montrent que la plupart des menaces ciblent la même et petite proportion de vulnérabilités. Les acteurs de la menace sont également plus rapides – il ne faut plus que quinze jours en moyenne entre l’annonce d’une nouvelle vulnérabilité et l’apparition d’un exploit la ciblant.
Cela a deux implications :
- Vous avez deux semaines pour patcher ou remédier à vos systèmes contre un nouvel exploit. Si vous ne pouvez pas patcher dans ce délai, ayez un plan pour atténuer les dommages.
- Si une nouvelle vulnérabilité n’est pas exploitée dans un délai de deux semaines à trois mois, il est peu probable qu’elle le soit un jour – le patcher peut passer au second plan.
Les renseignements sur les menaces vous aident à identifier les vulnérabilités qui représentent un risque réel pour votre organisation, en allant au-delà de la notation CVE en combinant des données internes d’analyse des vulnérabilités, des données externes et un contexte supplémentaire sur les TTP des acteurs de la menace. Avec Recorded Future, les utilisateurs identifient 22 % de plus de menaces réelles avant qu’elles n’aient un impact sérieux.
Analyse des risques
La modélisation des risques peut être un moyen utile pour les organisations de fixer des priorités d’investissement. Mais de nombreux modèles de risque souffrent de résultats vagues et non quantifiés, compilés à la hâte, basés sur des informations partielles, fondés sur des hypothèses non fondées ou sur lesquels il est difficile de prendre des mesures.
L’intelligence de la menace fournit un contexte qui aide les modèles de risque à effectuer des mesures de risque définies et à être plus transparents sur leurs hypothèses, leurs variables et leurs résultats. Il peut aider à répondre à des questions telles que :
- Quels sont les acteurs de la menace qui utilisent cette attaque, et ciblent-ils notre industrie ?
- À quelle fréquence cette attaque spécifique a-t-elle été observée récemment par des entreprises comme la nôtre ?
- La tendance est-elle à la hausse ou à la baisse ?
- Quelles vulnérabilités cette attaque exploite-t-elle, et ces vulnérabilités sont-elles présentes dans notre entreprise ?
- Quel type de dommage, technique et financier, cette attaque a-t-elle causé dans des entreprises comme la nôtre ?
Poser les bonnes questions grâce aux renseignements sur les menaces de Recorded Future est l’une des façons dont les utilisateurs constatent une réduction de 86 % des temps d’arrêt non planifiés – une énorme différence alors que même une minute d’arrêt peut coûter à certaines organisations jusqu’à 9 000 $ en perte de productivité et autres dommages.
Prévention de la fraude
Pour assurer la sécurité de votre organisation, il ne suffit pas de détecter et de répondre aux menaces qui exploitent déjà vos systèmes. Vous devez également prévenir les utilisations frauduleuses de vos données ou de votre marque.
Les renseignements sur les menaces recueillis auprès des communautés criminelles clandestines offrent une fenêtre sur les motivations, les méthodes et les tactiques des acteurs de la menace, en particulier lorsque ces renseignements sont corrélés avec les informations provenant du web de surface, notamment les flux et les indicateurs techniques.
Utilisez le renseignement sur les menaces pour prévenir :
- la fraude au paiement – La surveillance de sources telles que les communautés criminelles, les sites de pâte et d’autres forums pour les numéros de carte de paiement pertinents, les numéros d’identification bancaire ou les références spécifiques aux institutions financières peut fournir une alerte précoce sur les attaques à venir qui pourraient affecter votre organisation.
- Données compromises – Les cybercriminels téléchargent régulièrement des caches massives de noms d’utilisateur et de mots de passe sur des sites de pâte et le dark web, ou les mettent en vente sur des marchés clandestins. Surveillez ces sources à l’aide de renseignements sur les menaces afin de détecter toute fuite d’identifiants, de données d’entreprise ou de code propriétaire.
- Typosquatting – Recevez des alertes en temps réel sur les domaines de phishing et de typosquatting nouvellement enregistrés afin d’empêcher les cybercriminels de se faire passer pour votre marque et d’escroquer des utilisateurs peu méfiants.
En évitant davantage de brèches grâce au renseignement sur les menaces, les utilisateurs de Recorded Future sont en mesure d’économiser plus d’un million de dollars par brèche potentielle en raison des amendes dommageables, des pénalités et de la perte de confiance des consommateurs.
Direction de la sécurité
Les CISO et autres responsables de la sécurité doivent gérer les risques en équilibrant les ressources disponibles limitées et la nécessité de sécuriser leurs organisations contre des menaces en constante évolution. Le renseignement sur les menaces peut aider à cartographier le paysage des menaces, à calculer le risque et à donner au personnel de sécurité l’intelligence et le contexte pour prendre des décisions meilleures et plus rapides.
Aujourd’hui, les responsables de la sécurité doivent :
- Évaluer les risques commerciaux et techniques, y compris les menaces émergentes et les « inconnus connus » qui pourraient avoir un impact sur l’entreprise
- Identifier les bonnes stratégies et technologies pour atténuer les risques
- Communiquer la nature des risques à la haute direction et justifier les investissements dans les mesures défensives
Les renseignements sur les menaces peuvent être une ressource essentielle pour toutes ces activités, en fournissant des informations sur les tendances générales, telles que :
- Quels types d’attaques deviennent plus (ou moins) fréquents
- Quels types d’attaques sont les plus coûteux pour les victimes
- Quels nouveaux types d’acteurs de la menace se présentent, et les actifs et entreprises qu’ils ciblent
- Les pratiques et technologies de sécurité qui se sont avérées les plus (ou les moins) efficaces pour arrêter ou atténuer ces attaques
Il peut également permettre aux groupes de sécurité d’évaluer si une menace émergente est susceptible d’affecter leur entreprise spécifique en fonction de facteurs tels que :
- Industrie – La menace affecte-t-elle d’autres entreprises dans notre verticale ?
- Technologie – La menace implique-t-elle la compromission de logiciels, de matériel ou d’autres technologies utilisées dans notre entreprise ?
- Géographie – La menace cible-t-elle des installations dans des régions où nous avons des opérations ?
- Méthode d’attaque – Les méthodes utilisées dans l’attaque, y compris l’ingénierie sociale et les méthodes techniques, ont-elles été utilisées avec succès contre notre entreprise ou des entreprises similaires ?
Avec ces types de renseignements, recueillis à partir d’un large ensemble de sources de données externes, les décideurs en matière de sécurité obtiennent une vision holistique du paysage des cyberrisques et des plus grands risques pour leur entreprise.
Voici quatre domaines clés où le renseignement sur les menaces aide les responsables de la sécurité à prendre des décisions :
- Atténuation – Le renseignement sur les menaces aide les responsables de la sécurité à prioriser les vulnérabilités et les faiblesses que les acteurs de la menace sont les plus susceptibles de cibler, en donnant un contexte sur les TTP que ces acteurs de la menace utilisent, et donc les faiblesses qu’ils ont tendance à exploiter.
- Communication – Les RSSI sont souvent mis au défi par la nécessité de décrire les menaces et de justifier les contre-mesures en termes qui motiveront les chefs d’entreprise non techniques, tels que le coût, l’impact sur les clients, les nouvelles technologies. Le renseignement sur les menaces fournit des munitions puissantes pour ces discussions, comme l’impact d’attaques similaires sur des entreprises de la même taille dans d’autres industries ou les tendances et les renseignements du dark web indiquant que l’entreprise est susceptible d’être ciblée.
- Soutenir les dirigeants – Le renseignement sur les menaces peut fournir aux responsables de la sécurité une image en temps réel des dernières menaces, tendances et événements, ce qui les aide à répondre à une menace ou à communiquer l’impact potentiel d’un nouveau type de menace aux chefs d’entreprise et aux membres du conseil d’administration en temps opportun et de manière efficace.
- Le déficit de compétences en matière de sécurité – Les RSSI doivent s’assurer que l’organisation informatique dispose des ressources humaines nécessaires pour mener à bien sa mission. Mais la pénurie de compétences en cybersécurité signifie que le personnel de sécurité existant doit fréquemment faire face à des charges de travail ingérables. Le renseignement sur les menaces automatise certaines des tâches les plus laborieuses, en collectant rapidement des données et en corrélant le contexte à partir de multiples sources de renseignements, en hiérarchisant les risques et en réduisant les alertes inutiles. Une veille sur les menaces puissante aide également le personnel subalterne à » monter en compétences » rapidement et à obtenir des résultats supérieurs à son niveau d’expérience.
Réduire les risques liés aux tiers
D’innombrables organisations transforment leur mode de fonctionnement grâce à des processus numériques. Elles déplacent les données des réseaux internes vers le cloud, et recueillent plus d’informations que jamais.
Rendre les données plus faciles à collecter, à stocker et à analyser change certainement de nombreuses industries pour le mieux, mais cette libre circulation de l’information a un prix. Cela signifie que pour évaluer le risque de notre propre organisation, nous devons également tenir compte de la sécurité de nos partenaires, de nos fournisseurs et d’autres tiers.
Malheureusement, bon nombre des pratiques les plus courantes de gestion des risques liés aux tiers employées aujourd’hui sont en retard sur les exigences de sécurité. Les évaluations statiques du risque, comme les audits financiers et les vérifications des certificats de sécurité, sont toujours importantes, mais elles manquent souvent de contexte et ne sont pas toujours opportunes. Il faut une solution qui offre un contexte en temps réel sur le paysage réel des menaces.
La veille sur les menaces est un moyen d’y parvenir. Elle peut offrir une transparence sur les environnements de menaces des tiers avec lesquels vous travaillez, en fournissant des alertes en temps réel sur les menaces et les changements de leurs risques et en vous donnant le contexte dont vous avez besoin pour évaluer vos relations.