Une TIP, Plate-forme de renseignements sur les menaces, sert a recueillir, gérer et partager les renseignements sur les menaces
Le paysage actuel de la cyber-sécurité est marqué par quelques problèmes courants : des volumes de données énormes, un manque d'analystes, et des attaques de plus en plus complexes. Les infrastructures de sécurité actuelles offrent de nombreux outils pour gérer ces informations, mais peu d'intégration entre eux. Cela se traduit par une quantité frustrante d'efforts d'ingénierie dédiés à la gestion des systèmes, ainsi qu'un gaspillage inévitable de ressources et de temps déjà limités.
Pour lutter contre ces problèmes, de nombreuses entreprises choisissent de mettre en place une Plate-forme de renseignements sur les menaces (TIP). Ces plates-formes peuvent être déployées en tant que solution SaaS ou sur site, afin de faciliter la gestion des renseignements sur les cyber-menaces, et les éléments associés, tels que les acteurs, les campagnes, les incidents, les signatures, les bulletins et les TTP. Une plate-forme est définie par sa capacité à effectuer quatre fonctions clés :
Le potentiel d'une autre partie à avoir accès ou à interférer avec les opérations normales, planifiées, d'un réseau d'information. Les menaces courantes aujourd'hui comprennent les suivantes :
La connaissance d'une menace acquise par des analystes humains ou identifiée par des évènements au sein du système. Le mot renseignement est un terme général, mais une Plate-forme de renseignements sur les menaces présente aux analystes des types spécifiques de renseignements qui peuvent être automatisés, notamment :
Un produit empaqueté qui s'intègre dans les outils et produits existants, présentant un système de gestion des renseignements sur les menaces qui automatise et simplifie une grande partie du travail que les analystes ont traditionnellement effectué.
Une TIP est utile à de nombreuses parties au sein d'une organisation.
Ces équipes se focalisent sur les tâches opérationnelles quotidiennes et la réponse aux menaces lorsqu'elles se produisent. Une TIP fournit une automatisation pour les activités de routine telles que les intégrations, l'enrichissement et la notation.
Ces équipes cherchent à faire des prédictions basées sur des associations et des informations contextuelles entre acteurs, campagnes, etc. Un TIP leur fournit une «bibliothèque» d'informations qui simplifie et rationalise ce processus.
Une TIP fournit aux gestionnaires, une plate-forme unique permettant de visualiser les rapports aux niveaux technique et supérieur. Cela leur permet de partager et d'analyser efficacement les données au fur et à mesure des incidents.
Une TIP collecte et rapproche automatiquement les données provenant de différentes sources et en divers formats. L'ingestion d'informations provenant de diverses sources est un composant essentiel d'une infrastructure de sécurité solide. Les sources et formats pris en charge incluent :
Les Sources :
Les Formats :
La collecte de données sur une grande variété de flux impose le triage de millions d'indicateurs par jour, nécessitant un traitement efficace des données. Le traitement comporte plusieurs étapes, mais comprend trois éléments principaux : la normalisation, la déduplication et l'enrichissement des données.
Ceux-ci sont coûteux à traiter en ce qui concerne l'effort de calcul, le temps des analystes et l'argent. Une TIP automatise ces processus, libérant ainsi les analystes pour le travail d'analyse plutôt que la gestion des données recueillies.
Les données qui ont été normalisées, approuvées et enrichies doivent être ensuite transmises aux systèmes qui peuvent les utiliser dans les exécutions et les contrôles automatisés. Le but de cette opération est de fournir à ces technologies ce qui correspond essentiellement à une liste noire. En fonction des connaissances de fond, certaines adresses IP, domaines et autres éléments ne devraient ni être accessibles, ni autorisés au sein du réseau.
Une TIP collabore en coulisses avec SIEM et les vendeurs de système de gestion des journaux, extrayant des indicateurs à envoyer vers les solutions de sécurité au sein de l’infrastructure réseau du client. Les analystes sont donc soulagés du poids que constitue l’établissement et le maintien de ces intégrations, ce poids étant transféré vers les SIEM et les fournisseurs de TIP.
Les intégrations possibles des produits de sécurité incluent :
Une TIP fournit des fonctionnalités qui facilitent l'analyse des menaces potentielles et les mesures d'atténuation correspondantes. Plus précisément, ces fonctionnalités aident les analystes à :
Une TIP prendra toutes les données, enrichissements et autres contextes disponibles et affichera ces informations de tel façon à y ajouter de la valeur, par exemple sous forme de tableaux de bord, de règles, d'alertes et de notes.
Une TIP aide également les analystes en automatisant les processus de recherche et de collecte de données, réduisant ainsi considérablement le temps de réponse. Les fonctionnalités spécifiques de la partie analyse d’une TIP peuvent inclure les suivantes :