Qu'est-ce qu'une Threat Intelligence Platform (TIP)?
Une TIP, Plate-forme de renseignements sur les menaces, sert a recueillir, gérer et partager les renseignements sur les menaces
L'objet d’une Plate-forme de Renseignements sur les Menaces
Le paysage actuel de la cyber-sécurité est marqué par quelques problèmes courants : des volumes de données énormes, un manque d'analystes, et des attaques de plus en plus complexes. Les infrastructures de sécurité actuelles offrent de nombreux outils pour gérer ces informations, mais peu d'intégration entre eux. Cela se traduit par une quantité frustrante d'efforts d'ingénierie dédiés à la gestion des systèmes, ainsi qu'un gaspillage inévitable de ressources et de temps déjà limités.
Pour lutter contre ces problèmes, de nombreuses entreprises choisissent de mettre en place une Plate-forme de renseignements sur les menaces (TIP). Ces plates-formes peuvent être déployées en tant que solution SaaS ou sur site, afin de faciliter la gestion des renseignements sur les cyber-menaces, et les éléments associés, tels que les acteurs, les campagnes, les incidents, les signatures, les bulletins et les TTP. Une plate-forme est définie par sa capacité à effectuer quatre fonctions clés :
- Le regroupement de renseignements provenant de plusieurs sources
- La sélection, normalisation, enrichissement et notation des risques des données
- L'intégration dans des systèmes de sécurité existants
- L'analyse et le partage de renseignements sur les menaces
disent que les renseignements sur les menaces sont essentiels afin d'atteindre une position de sécurité solide
des organisations disent être submergées par les données relatives aux cyber-menaces
Les Critères Définies par la Plate-forme de Renseignements sur les Menaces (TIP)
La Menace
Le potentiel d'une autre partie à avoir accès ou à interférer avec les opérations normales, planifiées, d'un réseau d'information. Les menaces courantes aujourd'hui comprennent les suivantes :
- Advanced Persistent Threat (APT), la menace persistante avancée
- Phising, le hameçonnage
- Malware, les logiciels malveillants
- Botnets, les bots informatiques
- Distributed Denial of Service (DDoS), l'attaque par déni de service
- Ransomeware, les logiciels de rançonnage (rançongiciel)
Les Renseignements
La connaissance d'une menace acquise par des analystes humains ou identifiée par des évènements au sein du système. Le mot renseignement est un terme général, mais une Plate-forme de renseignements sur les menaces présente aux analystes des types spécifiques de renseignements qui peuvent être automatisés, notamment :
- Une connaissance technique des attaques, y compris les indicateurs
- Des renseignements finis - la production d'êtres humains qui vérifient les informations disponibles et tirent des conclusions en toute connaissance de la situation, prédisant des résultats potentiels ou des attaques futures, ou bien estimant les capacités de l'adversaire.
- Les renseignements provenant de l'être humain – tous renseignements recueillis par les humains, par exemple, se tapissant dans des forums afin de vérifier l'activité suspecte
La Plate-forme
Un produit empaqueté qui s'intègre dans les outils et produits existants, présentant un système de gestion des renseignements sur les menaces qui automatise et simplifie une grande partie du travail que les analystes ont traditionnellement effectué.
Qui utilise une Plate-forme de Renseignements sur les Menaces (TIP) ?
Une TIP est utile à de nombreuses parties au sein d'une organisation.
Les Équipes des Centres de Sécurité Opérationnelle (SOC)
Ces équipes se focalisent sur les tâches opérationnelles quotidiennes et la réponse aux menaces lorsqu'elles se produisent. Une TIP fournit une automatisation pour les activités de routine telles que les intégrations, l'enrichissement et la notation.
Les Équipes de Renseignements sur les Menaces
Ces équipes cherchent à faire des prédictions basées sur des associations et des informations contextuelles entre acteurs, campagnes, etc. Un TIP leur fournit une «bibliothèque» d'informations qui simplifie et rationalise ce processus.
Les Équipes de Gestion et d’Encadrement
Une TIP fournit aux gestionnaires, une plate-forme unique permettant de visualiser les rapports aux niveaux technique et supérieur. Cela leur permet de partager et d'analyser efficacement les données au fur et à mesure des incidents.
Le Regroupement de Données
Une TIP collecte et rapproche automatiquement les données provenant de différentes sources et en divers formats. L'ingestion d'informations provenant de diverses sources est un composant essentiel d'une infrastructure de sécurité solide. Les sources et formats pris en charge incluent :
Les Sources :
- Les logiciels open source/code source libre
- Payé par un tiers
- Le Gouvernement
- Les communautés de partage fiables (ISAC)
- Internes
Les Formats :
- STIX/TAXII
- JSON et XML
- Les documents .csv, .txt, PDF, Word
La Normalisation et l'Enrichissement des Données
La collecte de données sur une grande variété de flux impose le triage de millions d'indicateurs par jour, nécessitant un traitement efficace des données. Le traitement comporte plusieurs étapes, mais comprend trois éléments principaux : la normalisation, la déduplication et l'enrichissement des données.
Ceux-ci sont coûteux à traiter en ce qui concerne l'effort de calcul, le temps des analystes et l'argent. Une TIP automatise ces processus, libérant ainsi les analystes pour le travail d'analyse plutôt que la gestion des données recueillies.
- La Normalisation - Consolidation de données presentées en différents formats, selon leurs sources
- La Déduplication - Suppression des informations dupliquées
- L'Enrichissement - Suppression des faux-positifs, notation des indicateurs et ajout de contexte
Les Intégrations
Les données qui ont été normalisées, approuvées et enrichies doivent être ensuite transmises aux systèmes qui peuvent les utiliser dans les exécutions et les contrôles automatisés. Le but de cette opération est de fournir à ces technologies ce qui correspond essentiellement à une liste noire. En fonction des connaissances de fond, certaines adresses IP, domaines et autres éléments ne devraient ni être accessibles, ni autorisés au sein du réseau.
Une TIP collabore en coulisses avec SIEM et les vendeurs de système de gestion des journaux, extrayant des indicateurs à envoyer vers les solutions de sécurité au sein de l’infrastructure réseau du client. Les analystes sont donc soulagés du poids que constitue l’établissement et le maintien de ces intégrations, ce poids étant transféré vers les SIEM et les fournisseurs de TIP.
Les intégrations possibles des produits de sécurité incluent :
- Les SIEM
- Les points d’extrémité (endpoint)
- Les pare-feu
- Les IPS (systèmes de prévention d'intrusion)
- Les API (Interface de Programmation d'Application)
Les Analyses et les Réponses
Une TIP fournit des fonctionnalités qui facilitent l'analyse des menaces potentielles et les mesures d'atténuation correspondantes. Plus précisément, ces fonctionnalités aident les analystes à :
- Explorer les menaces
- Fournir des flux de travail d’investigation
- Comprendre le contexte élargi et les implications des menaces
- Partager des informations
Une TIP prendra toutes les données, enrichissements et autres contextes disponibles et affichera ces informations de tel façon à y ajouter de la valeur, par exemple sous forme de tableaux de bord, de règles, d'alertes et de notes.
Une TIP aide également les analystes en automatisant les processus de recherche et de collecte de données, réduisant ainsi considérablement le temps de réponse. Les fonctionnalités spécifiques de la partie analyse d’une TIP peuvent inclure les suivantes :
- Un soutien en ce qui concerne l'expansion des indicateurs ainsi que la recherche
- Les procédures d'escalade et de réponse aux incidents
- Les processus de flux de travail des analystes
- La production de produits de renseignements et le partage de ces produits avec les parties prenantes