Partage de renseignements sur les menaces

L'arme secrète de la cybersécurité.

Qui partage les informations sur les menaces ?

Il existe de nombreuses façons de tirer parti des renseignements sur les menaces, que ce soit par le biais d'une plateforme complète de renseignements sur les menaces, par l'ingestion de flux de menaces ou simplement par l'exploitation des fonctions de renseignements sur les menaces que l'on trouve dans les outils de sécurité courants. L'un des moyens les moins répandus de tirer parti de la veille sur les menaces consiste à partager ces informations avec d'autres groupes, ce qui permet de réduire le temps de réaction aux événements et d'adopter des mesures préventives.

Les initiatives centrées sur l'industrie et dirigées par les pouvoirs publics ont entraîné une augmentation spectaculaire du partage de la veille sur les menaces entre les pouvoirs publics, les organisations privées et les industries. Il s'agit notamment des centres de partage et d'analyse de l'information (ISAC), des organisations de partage et d'analyse de l'information (ISAO), des groupes industriels, des sociétés de portefeuille et d'autres communautés de partage de renseignements sur les menaces qui cherchent à favoriser une collaboration sécurisée :

Quels sont les types d'échange de renseignements sur les menaces ?

Il existe deux types de partage, chacun étant défini par la personne qui partage l'information.

Partage unidirectionnel de renseignements sur les menaces

Une entité produit et partage des renseignements sur les menaces que d'autres consomment, et ceux qui consomment les renseignements ne contribuent pas en retour. Voici quelques exemples de partage unidirectionnel de renseignements sur les menaces :

Le renseignement de source ouverte, qui peut impliquer l'ingestion d'un flux de renseignements sur les menaces de source ouverte ou le téléchargement d'un rapport accessible au public concernant une attaque récente et contenant des indicateurs et des méthodes utilisées.
Rapports et flux de sources fermées

Partage bidirectionnel de renseignements sur les menaces

Les renseignements sont envoyés vers le bas pour être consommés, mais ils peuvent également être ingérés par les organisations membres. Bien que le partage soit autorisé et encouragé dans ces programmes, il n'est pas garanti que chaque organisation partage quoi que ce soit.

Inquiétudes concernant le partage des informations sur les menaces

Bien que les renseignements sur les menaces soient incontestablement précieux, quelques préoccupations courantes empêchent les organisations de les partager :

Préoccupations en matière de respect de la vie privée et de responsabilité

Ces difficultés peuvent être surmontées grâce à une perception plus précise du partage des informations, à des clauses de protection dans les accords juridiques, à une législation récente ou à la prudence dans le choix des informations partagées.
  • Il est judicieux, quel que soit le type de partage, de vérifier que les données ne contiennent pas d'informations privées ou d'informations sensibles de l'entreprise avant de les partager.
  • La loi de 2015 sur le partage des informations relatives à la cybersécurité (CISA) contient des dispositions visant à répondre aux préoccupations en matière de protection de la vie privée et de responsabilité. Certaines de ces protections sont subordonnées au respect de certaines conditions. Comme toujours, il est vivement recommandé d'obtenir un avis juridique approprié pour comprendre comment la loi CISA peut s'appliquer à des situations spécifiques.

"Il n'y a rien de valable à apporter

Ces difficultés peuvent être surmontées grâce à une perception plus précise du partage des informations, à des clauses de protection dans les accords juridiques, à une législation récente ou à la prudence dans le choix des informations partagées.

Manque d'expertise

Même si vous n'êtes pas un professionnel qualifié, le fait d'ajouter le contexte, les détails de l'attaque observée et, si possible, l'analyse élaborée par les membres du personnel est toujours bénéfique pour la communauté.

Peur de révéler qu'une organisation a été piratée

La crainte de partager les détails d'une violation plus largement qu'avec les entités absolument nécessaires est courante, mais il est possible d'y remédier en suivant les meilleures pratiques en matière de partage.

Étapes à suivre pour commencer à partager des renseignements sur les menaces

Que votre organisation partage déjà activement des informations ou qu'elle n'ait pas encore commencé à le faire, voici quelques conseils sur la manière de commencer ou d'améliorer le partage qui a déjà lieu :

Outils et communautés

Choisir les outils et les communautés appropriés pour partager les informations sur les menaces. Les options possibles sont les suivantes :
  • Le courrier électronique, qui est le point de départ le plus simple
  • Des outils tels que Anomali STAXX, une solution gratuite proposée par Anomali qui permet de partager des indicateurs via STIX et TAXII.
  • Les ISAC et autres organisations industrielles, qui ont normalement mis en place des mécanismes de partage des informations, sont des acteurs majeurs de la lutte contre le terrorisme.
  • Partage ponctuel avec des entités locales ou des partenaires d'autres secteurs d'activité
  • Anomali ThreatStream les utilisateurs disposent déjà d'une solution très robuste pour partager des indicateurs et d'autres informations avec d'autres organisations ou pour créer leurs propres communautés de partage

Partager et contribuer

Le partage des comportements observés de l'adversaire, d'un contexte supplémentaire, des attaques observées ou des détails de la réponse à l'incident sont d'excellents points de départ. Ne vous inquiétez pas si peu d'analyses sont ajoutées à ce qui est partagé initialement.

Partager en dehors de votre secteur vertical

Recherchez les possibilités de partage avec des organisations en dehors de votre secteur vertical, y compris des entités localisées telles que les Fusion Centers. Comme toujours, il est vivement recommandé de travailler en étroite collaboration avec les équipes juridiques/juristes afin de rédiger des accords appropriés pour faciliter le partage entre les entités.

Partager les techniques de chasse et de défense

Plus nous partageons, plus les méchants ont du mal à s'en sortir. Pensez à partager :
  • Détails de la chasse aux menaces, tels que les recherches, les entrées de journal spécifiques, etc.
  • Techniques ou règles de défense efficaces telles que les règles YARA, les signatures snort, les règles Bro et les scripts.

Partager les détails de la violation

Le fait de communiquer rapidement les détails d'une violation peut faire la différence entre le fait que quelqu'un d'autre soit victime d'une violation et le fait que l'on puisse y mettre un terme rapidement. En outre, cela pourrait apporter beaucoup d'aide en termes de renseignements supplémentaires et de réponses plus rapides aux défis posés par la réponse aux incidents grâce aux ressources supplémentaires d'autres organisations.

Vous voulez en savoir plus sur l'échange d'informations sur les menaces ?

Téléchargez le livre blanc pour en savoir plus sur le partage en dehors des secteurs verticaux, le partage d'informations ciblées, etc.