Partage des renseignements sur les menaces | Anomali

Le Partage des Renseignements sur les Menaces

L’arme secrète de la cyber-sécurité

Qui Partage ?

Il existe de nombreuses façons de tirer profit des renseignements sur les menaces, que ce soit par l'intermédiaire d'une plate-forme complète de renseignement sur les menaces, l'ingestion de flux de menaces ou simplement en utilisant les fonctionnalités de renseignements sur les menaces que l'on trouve dans les outils de sécurité courants. L'un des moyens les moins employés pour tirer profit des renseignements sur les menaces, consiste à partager ces informations avec d'autres groupes, ce qui contribue à réduire le temps de réaction aux évènements, et à promulguer des mesures préventives.

Des initiatives axées sur l’industrie et menées par le gouvernement ont donné lieu à une augmentation considérable du partage des renseignements sur les menaces entre les gouvernements, les organisations privées et les industries. En voici quelques-unes :

Partage des organisations

Quels Sont les Types de Partage ?

Il existe deux types de partage, chacun défini par celui qui partage l'information.

Le partage unidirectionnel des renseignements sur les menaces - Un établissement produit des renseignements sur les menaces que les autres consomment, mais ces consommateurs ne contribuent pas en retour. Exemples de partage unidirectionnel de renseignements sur les menaces :

  • Les renseignements open source, pouvant impliquer l'ingestion d'un flux de renseignements open source ou bien le téléchargement d'un rapport publiquement disponible, faisant état d’une attaque récente contenant des informations sur les indicateurs et les méthodes utilisées.
  • ​Les rapports et flux en source fermée

Le partage bidirectionnel des renseignements sur les menaces - Les renseignements sont envoyés pour être consommés, mais peuvent aussi être ingérés par les organisations membres. Bien que le partage soit autorisé et encouragé dans ces programmes, il n'y a aucune garantie que toutes les organisations partageront des données.

Partage avec des analystes

Quelques Inquiétudes Concernant le Partage

Bien que les renseignements sur les menaces soient sans aucun doute utiles, il existe quelques inquiétudes communes qui empêchent les organisations de s'engager dans le partage :

  • Les préoccupations en matière de confidentialité et de responsabilité – Celles-ci peuvent être surmontées grâce à une perception plus précise du partage des renseignements, de clause de protection juridiques, de la législation récente ou encore en prenant quelques précautions en ce qui concerne les données partagées.
    • Le nettoyage des données privées ou sensibles avant le partage est une bonne idée, quel que soit le type de partage concerné.
    • La loi sur la sécurité informatique, Cybersecurity Information Sharing Act of 2015 (CISA) comprend des dispositions visant à répondre aux inquiétudes relatives à la confidentialité et à la responsabilité. Quelques unes de ces protections dépendent du respect de certaines obligations. Dans tous les cas, des conseils juridiques appropriés sont fortement recommandés afin de comprendre comment CISA peut s'appliquer à des situations spécifiques.
  • « Nous n’avons pas de contribution intéressante à apporter » – Aucune organisation ne voit toutes les attaques. Le partage de détails apparemment insignifiants peut contribuer à renforcer la visibilité et aider à produire une analyse plus complète des renseignements.
  • Un manque d’expertise – Même si vous n’êtes pas un professionnel dûment formé, l’apport de votre part, de tout contexte, des détails concernant les attaques que vous auriez remarquées, et dans la mesure du possible, l’analyse développée par les membres du per
  • La peur de dévoiler le piratage d'une organisation – La peur de partager les détails dune violation au-delà des agences strictement concernées, est fréquente. Celà peut être remédié en suivant les meilleures pratiques en matière de partage.

Par où Débuter ou Développer le Partage de Renseignements

Que votre organisation soit activement impliquée dans le partage de renseignements ou qu'elle n'ait pas encore commencé à le faire, voici quelques conseils sur les étapes à suivre ou les moyens d'améliorer le partage déjà en cours :

  • Outils et communautés – Choisissez les outils et les communautés appropriés pour partager les informations sur les menaces. Les options possibles sont les suivantes :
    • L’e-mail, ce qui correspond au point de départ le plus simple
    • Les outils qui prennent en charge les indicateurs de partage via STIX et TAXII, tel Anomali STAXX, solution gratuite offerte par Anomali,
    • Les ISAC et autres organisations de l’industrie, qui ont généralement des mécanismes en place pour le partage
    • Le partage ponctuel avec des entreprises locaux ou des partenaires d'autres industries
    • Les utilisateurs de ThreatStream d’Anomali disposent déjà d'une solution très robuste pour le partage des indicateurs et divers renseignements avec d'autres organisations. Ils sont également en mesure de créer leurs propres communautés de partage
  • Partagez et contribuez – Le partage de comportements adverses étudiés, d'éléments de contexte supplémentaires, d'attaques observées ou des détails de votre réponse à un incident, sont d'excellents points de départ. Dans un premier temps, ne vous inquiétez pas si vous n'êtes pas en mesure d'apportez beaucoup d'éléments d'analyses au partage.
  • Partagez en dehors de votre secteur – Recherchez des opportunités de partage avec des organisations extérieures à votre secteur, y compris des entreprises localisées telles les « Fusion Centers » (Centres de fusion de renseignements.) Dans tous les cas, vous serez obligé de travailler en étroite collaboration avec des équipes juridiques/avocats afin d'élaborer des accords adaptés, dans le but de faciliter le partage entre entreprises.
  • Partagez les techniques de chasse et de défense – Plus nous partageons, plus cela devient difficile pour les méchants. Envisager de partager :
    • Les détails provenant de la chasse aux menaces telles les recherches menées, les entrées de journaux spécifiques, etc.
    • Les techniques ou règles de défense réussies, telles les règles YARA, les signatures Snort, les règles Bro et les scripts
  • Partagez les détails d’une violation – Le partage rapide d'une violation pourrait faire toute la différence chez quelqu’un d’autre sous attaque, qui, grâce à vous, serait en mesure de la neutraliser en vitesse. En outre, les ressources fournis par d'autres organisations peuvent apporter beaucoup d'aide en termes de renseignements supplémentaires pouvant mener à des solutions rapides face aux difficultés à résoudre certains incidents.

Partager, c’est faire preuve de considération

Le guide ultime du partage des renseignements sur les menaces

Vous voulez en savoir plus ?

Téléchargez le livre blanc pour en savoir plus à propos du partage en dehors des organisations verticales, du partage d'informations ciblées, etc.

Le lire maintenant