Objectif d'une plate-forme de renseignement sur les menaces
Le secteur de la cybersécurité dans son ensemble est actuellement confronté à quelques problèmes communs : volumes massifs de données, manque d'analystes et attaques de plus en plus complexes. Les infrastructures de sécurité actuelles offrent de nombreux outils permettant de gérer les renseignements, mais elles sont peu intégrées les unes aux autres. Il en résulte une surcharge en matière d'ingénierie de gestion des systèmes et un gaspillage inévitable de ressources et de temps pourtant déjà limités.
Pour lutter contre ces problèmes, de nombreuses entreprises choisissent de mettre en place une plate-forme de renseignements sur les menaces (TIP). Les plates-formes de renseignement sur les menaces peuvent être déployées en tant que solution SaaS ou sur site afin de faciliter la gestion des renseignements sur les cybermenaces et des entités associées telles que les agents, les campagnes, les incidents, les signatures, les bulletins et les TTP. Elles se définissent par leur capacité à assurer quatre fonctions clés :
- Agrégation de renseignements provenant de sources multiples
- Conservation, normalisation, enrichissement et notation du risque concernant les données
- Intégrations avec les systèmes de sécurité existants
- Analyse et partage des renseignements sur les menaces
DÉCLARENT QUE LES RENSEIGNEMENTS SUR LES MENACES SONT ESSENTIELS POUR ASSURER UNE SÉCURITÉ EFFICACE
DES ORGANISATIONS DÉCLARENT ÊTRE SUBMERGÉES PAR LES DONNÉES CONCERNANT LES CYBERMENACES
TIP définie
Menace
La possibilité pour toute autre partie d'accéder aux opérations normales prévues d'un réseau d'informations ou d'interférer avec celles-ci. Actuellement, les menaces les plus courantes sont les suivantes :
- APT
- Hameçonnage
- Logiciels malveillants
- Réseaux zombies/Botnets
- DDOS
- Rançongiciels
Renseignements
Connaissance d'une menace acquise par des analystes humains ou identifiée par des événements au sein du système. Le terme « renseignement » revêt un sens large, mais une TIP fournit aux analystes des types de renseignements spécifiques qui peuvent être automatisés, notamment :
- Connaissance technique des attaques, notamment des indicateurs.
- Renseignements finaux : résultats obtenus par des êtres humains qui examinent les renseignements disponibles et en tirent des conclusions concernant la connaissance de la situation, la prévision des conséquences potentielles ou des attaques futures, ou encore l'estimation des capacités adverses.
- Renseignements humains : renseignements collectés par des humains, par exemple en surveillant discrètement les forums afin de détecter des activités suspectes.
Plate-forme
Il s'agit d'une solution complète qui s'intègre aux outils et solutions existants et offre un système de gestion des renseignements sur les menaces permettant d'automatiser et de simplifier une grande partie des tâches que les analystes effectuent traditionnellement eux-mêmes.
Qui utilise une TIP ?
De nombreux intervenants au sein d'une organisation ont besoin d'une plate-forme de renseignements sur les menaces.
Équipes du Centre des opérations de sécurité (SOC)
Ces équipes se consacrent aux tâches opérationnelles quotidiennes et traitent les menaces lorsqu'elles se présentent. Une TIP permet d'automatiser les activités de routine telles que les intégrations, l'enrichissement et la notation.
Équipes de renseignements sur les menaces
Ces équipes cherchent à établir des prédictions à partir d'associations et d'informations contextuelles entre les acteurs, les campagnes, etc. Une TIP leur fournit une « bibliothèque » de renseignements permettant de simplifier et de fluidifier le processus.
Équipes de gestion et de direction
Une TIP fournit à la direction une plate-forme unique permettant de consulter les rapports techniques et généraux. Cela lui permet de partager et d'analyser efficacement les données lorsque des incidents surviennent.
Agrégation des données
Une plate-forme de renseignements sur les menaces collecte et harmonise automatiquement les données provenant de divers formats et sources. L'intégration de renseignements provenant de diverses sources constitue un élément essentiel pour obtenir une infrastructure de sécurité robuste. Voici les sources et les formats pris en charge :
Sources:
- Source libre
- Tiers payant
- Gouvernement
- Communautés de partage de confiance (ISAC)
- Interne
Formats:
- STIX/TAXII
- JSON et XML
- .csv, .txt, PDF, document Word
Normalisation et enrichissement des données
La collecte de données sur une grande variété de flux génère des millions d'indicateurs à trier quotidiennement. Il est donc indispensable de traiter les données de manière efficace. Le traitement comprend plusieurs étapes, mais se compose de trois éléments principaux : la normalisation, la déduplication et l'enrichissement des données.
Ces problèmes sont coûteux en matière de calculs, de temps d'analyse et d'argent. Une plate-forme de renseignements sur les menaces automatise ces processus afin de permettre aux analystes de se consacrer aux analyses plutôt qu'à la gestion des données collectées.
- Normalisation : regroupement des données provenant de différents formats de sources
- Déduplication : suppression des doublons
- Enrichissement : suppression des faux positifs, notation des indicateurs et ajout du contexte
Intégrations
Les données qui ont été normalisées, vérifiées et enrichies doivent ensuite être transmises à des systèmes capables de les utiliser pour l'application et la surveillance automatisées. Le but est de fournir à ces technologies ce qui est essentiellement une « cyberliste d'interdiction de vol », à l'instar plus ou moins des listes d'interdiction de vol que l'on trouve dans les aéroports. En fonction des connaissances de base, le réseau n'est pas accessible ou autorisé à certaines adresses IP, à certains domaines, etc.
Une plate-forme de renseignements sur les menaces fonctionne en arrière-plan avec des fournisseurs de SIEM et de systèmes de gestion des journaux de manière à convertir les indicateurs en solutions de sécurité au sein de l'infrastructure réseau du client. La mise en place et la maintenance de ces intégrations ne sont ainsi plus confiées aux analystes, mais aux fournisseurs du SIEM et de la TIP.
Voici quelques exemples d'intégrations possibles de produits de sécurité :
- SIEM
- Terminal
- Pare-feu
- IPS
- API
Analyse et réaction
Une plate-forme de renseignements sur les menaces offre des fonctionnalités qui facilitent l'analyse des menaces potentielles et les mesures d'atténuation correspondantes. Plus précisément, ces fonctionnalités permettent aux analystes d'effectuer ce qui suit :
- Explorer les menaces
- Fournir des flux d'enquêtes
- Comprendre le contexte général et l'incidence des menaces
- Partager les renseignements
Une TIP utilise l'ensemble des données, enrichissements et autres contextes disponibles et les affiche de manière à les rendre utiles, par exemple dans des tableaux de bord, des règles, des alertes et des notes.
Une plate-forme de renseignements sur les menaces aide également les analystes en automatisant les processus de recherche et de collecte, ce qui réduit considérablement le temps de réaction. Voici quelques fonctionnalités spécifiques de la partie analyse d'une plate-forme de renseignements sur les menaces :
- Soutien à l'expansion des indicateurs et à la recherche
- Processus de remontée des incidents et de réaction
- Processus de travail des analystes
- Élaboration de produits de renseignement et partage avec les parties prenantes