Qu'est-ce que le renseignement sur les menaces ?

Le renseignement sur les menaces est une connaissance fondée sur des preuves concernant une menace ou un danger existant ou émergent pour les actifs qui peut être utilisée pour éclairer les décisions concernant la réponse du sujet à cette menace ou à ce danger.

Présentation du renseignement sur les menaces

Le renseignement sur les cybermenaces est un sous-ensemble du renseignement axé sur la sécurité de l'information. Ces informations sélectionnées sont destinées à vous aider à prendre de meilleures décisions quant à la manière de vous défendre et de défendre votre entreprise contre les cybermenaces. Les renseignements sur les menaces peuvent répondre aux questions suivantes :

Qui sont mes adversaires et comment pourraient-ils m'attaquer ?

Comment les vecteurs d'attaque affectent-ils la sécurité de mon entreprise ?

À quoi mes équipes chargées des opérations de sécurité doivent-elles être attentives ?

Comment puis-je réduire le risque d'une cyberattaque contre mon entreprise ?

« Les renseignements sur les menaces sont des connaissances fondées sur des preuves, y compris le contexte, les mécanismes, les indicateurs, les implications et les conseils pratiques, concernant une menace ou un danger existant ou émergent pour les actifs, qui peuvent être utilisées pour éclairer les décisions concernant la réponse du sujet à cette menace ou à ce danger. »

Définition du renseignement sur les menaces par Gartner

Niveaux de renseignement sur les menaces

Les renseignements sur les cybermenaces sont généralement considérés à trois niveaux :

Stratégique : répondre au « qui » et au « pourquoi »

Opérationnel : répondre au comment et au où

Tactique : répondre au quoi

L'utilisation de chaque instance de renseignement est importante car elle remplit des fonctions différentes. Les analystes qui tirent parti de la somme des connaissances de ces trois types de renseignements sont mieux à même de déterminer quelles solutions de sécurité utiliser, comment les exploiter et comment répondre aux menaces de manière proactive et réactive.type of intelligence is important because they serve different functions. Analysts leveraging the sum knowledge of these three types of intelligence are better able to determine what security solutions to use, how they should be leveraged, and how to proactively and reactively respond to threats.

Tapez

Slogan

Demi-vie d'utilité

Concentrez-vous

Construit sur l'analyse de

Types de données de sortie

Stratégique

Qui ?
Pourquoi ?

Longue (pluriannuelle)

Non technique

Grandes campagnes, groupes, intrusions impliquant plusieurs victimes (et informations opérationnelles)

Rédaction détaillée sur la victimologie, la méthodologie YoY, la cartographie des intrusions et des campagnes en fonction des conflits, des événements et des pressions géopolitiques

Opérationnel

Comment ? Où ?

Moyen (un an et plus)

Mixte

Familles complètes de malwares, groupes de menaces, analyse du comportement humain (et informations tactiques)

Rédaction abrégée, listes à puces, sur : les techniques de persistance et de communication, les victimes, les profils de groupe, les profils familiaux, les descriptions TTP, les déclencheurs, les modèles et les règles méthodologiques

Tactique

Quoi ?

Court (mois)

Technique

Événements de sécurité, échantillons de malwares individuels, e-mails de phishing, infrastructure pour les attaquants

Indicateurs atomiques et lisibles par machine tels que les adresses IP, les domaines, les IOC, les « signatures »

Renseignements tactiques sur les menaces

Le renseignement tactique sur les menaces est la forme la plus élémentaire de renseignement sur les menaces. Il s'agit de vos indicateurs courants de compromission (IOC). Le renseignement tactique est souvent utilisé pour la détection automatique des menaces et pour les intervenants en cas d'incident afin de rechercher des artefacts spécifiques dans les réseaux d'entreprise.

Utilisation de renseignements tactiques sur les menaces

Les renseignements tactiques sur les menaces et les IOC sont destinés à documenter les cyberattaques de manière historique, en servant à la fois de corpus de preuves (à des fins de conformité, d'application de la loi, d'enquêtes, à des fins juridiques, etc.) et de matériel de référence permettant aux analystes d'interpréter et d'extraire le contexte à utiliser dans le cadre d'opérations défensives.

Les IoC sont fournis aux analystes pour servir d'exemples d'une menace particulière, comme un échantillon de malware, une famille de logiciels malveillants, une campagne d'intrusion ou un acteur de la menace. Les analystes peuvent enrichir les alertes des solutions de sécurité avec des informations tactiques sur les menaces afin de fournir plus de contexte et de déterminer quelles menaces méritent d'être préoccupées et lesquelles peuvent être ignorées en toute sécurité.

Renseignements tactiques sur les menaces pour APT29

628d4f33bd604203d25dbc6a5bb35b90

2aabd78ef11926d7b562fd0d91e68ad3

3d3363598f87c78826c859077606e514

meek-reflect.appspot.com

portail.sbn.co.th

202,28,231,44

hxxps : //files.counseling [.] org/eFax/incoming/150721/5442.zip

googleService.exe

GoogleUpdate.exe

acrotray.exe

PCI \ VEN_80EE&DEV_CAF

Renseignements tactiques sur les menaces pour le secteur de l'éducation

d9b7b0eda8bd28e8934c5929834e5006

support @securitygrade [.] org

46,244,4,37

Renseignements sur les menaces opérationnelles

Le renseignement opérationnel sur les menaces fournit un aperçu des méthodologies des acteurs et expose les risques potentiels. Il alimente des programmes de détection, de réponse aux incidents et de chasse plus pertinents. Alors que le renseignement tactique fournit aux analystes le contexte de menaces déjà connues, le renseignement opérationnel rapproche les enquêtes de la découverte de menaces totalement nouvelles.

Ce type de renseignement est le plus souvent utilisé par les enquêteurs judiciaires et les intervenants en cas d'incident et comprend généralement les types d'éléments suivants :

Outils destinés à des groupes de menaces particuliers (services publics, familles de portes dérobées, infrastructures communes)

Tactiques, techniques et procédures (TTP) pour des groupes de menaces particuliers (répertoires intermédiaires, conventions de dénomination des fichiers, ports, protocoles, types de fichiers favoris)

TTP émergents (nouvelles méthodes de persistance, exploits, systèmes de phishing)

Du point de vue de la réponse aux incidents, considérez les points suivants : si vous répondez à un événement d'intrusion, vous vous demandez peut-être comment un acteur en particulier procède à une escalade de privilèges, à un mouvement latéral ou à un vol de données. Si vous recherchez une activité malveillante non découverte, vous pouvez commencer votre recherche en recherchant le comportement d'un acteur spécifique. Quel que soit votre scénario, vous devez répondre à la question « Comment recherchez-vous cet acteur dans votre environnement ? »

Utilisation de renseignements opérationnels sur les menaces

Les renseignements opérationnels sur les menaces sont des connaissances acquises en examinant les détails des attaques connues. Un analyste peut se faire une idée précise de la méthodologie des acteurs en rassemblant des indicateurs tactiques et des artefacts pour les intégrer au renseignement opérationnel. Cela peut aider à atteindre un certain nombre d'objectifs défensifs, tels que l'amélioration des plans de réponse aux incidents et des techniques d'atténuation pour les attaques et les incidents futurs.

Les analystes peuvent également mettre en œuvre et renforcer un programme de découverte proactif (« programme de chasse ») pour identifier les fichiers suspects et les activités qui ont contourné les technologies de sécurité traditionnelles. À partir de là, ils peuvent développer des méthodologies de détection qui ne dépendent pas des IOC, garantissant une couverture plus large des menaces en temps opportun.

Exemples de renseignements sur les menaces opérationnelles

Exemple de renseignement sur les menaces opérationnelles pour APT29

Vecteur d'infection préféré : spear phishing avec RAR auto-extractible

Familles de malwares de premier stade : COZYCAR, SWIFTKICK, TADPOLE

Familles de malwares de deuxième phase : SEADADDY, MINIDIONIS, SPIKERUSH

Techniques de persévérance

Tâches planifiées pour la plupart des portes dérobées
WMI par installation manuelle pour les portes dérobées qui n'ont pas de persistance intégrée
Remplacement légitime du fichier de rapport d'erreurs Windows (wermgr.exe)

Utilisation de TOR pour C2

Utilisation de Google Docs pour C2

Utilisation de Google Cloud Apps pour le transfert C2 (en tant que proxy)

Utilisation de requêtes HTTP POST supérieures à 443 pour C2

Utilisation de portes dérobées configurées pour les ports 1, 80, 443, 3389 pour C2

Utilisation de scripts PowerShell

Utilisation de Py2Exe pour modifier et recompiler les portes dérobées avec des variations dans les protocoles C2 et l'infrastructure C2

Exemple de renseignement sur les menaces opérationnelles pour le secteur de l'éducation

Les vecteurs d'attaque courants sont le spear phishing, les trous d'eau et l'injection SQL

Professeurs d'université spécialisés dans l'intégration des nouvelles technologies dans les salles de classe

Le spear phishing destiné aux recruteurs et aux personnes impliquées dans les processus de recrutement

Les attaques les plus courantes sont le spear-phishing et l'injection SQL (SQLi)

Familles de malwares courantes : PISCES, SOGU, LOGJAM, COBALT, COATHOOK, POISONIVY, NJRAT, NETWIRE

Familles de pentests courantes : Meterpreter, PowerShell Empire, Metasploit Framework

Utilisation de Dropbox pour C2

Utilisation de protocoles HTTPS et TCP personnalisés pour C2

Utilisation des TLD .ru et .su pour les domaines C2

Utilisation de yandex.ru et bk.ru pour les adresses e-mail

Vol de bases de données contenant les noms des étudiants, les informations administratives, les informations de facturation, les numéros de sécurité sociale et d'autres informations d'identification personnelle.

Renseignements stratégiques sur les menaces

Les renseignements stratégiques sur les menaces fournissent une vue d'ensemble de l'évolution des menaces et des attaques au fil du temps. Le renseignement stratégique sur les menaces peut permettre d'identifier les tendances historiques, les motivations ou les attributions quant à l'identité des personnes à l'origine d'une attaque. Connaître l'identité et le pourquoi de vos adversaires fournit également des indices sur leurs opérations et tactiques futures. Cela fait du renseignement stratégique un point de départ solide pour décider quelles mesures défensives seront les plus efficaces.

Les renseignements stratégiques sur les menaces peuvent inclure des informations sur les sujets suivants :

Attribution pour les intrusions et les violations de données

Tendances des groupes d'acteurs

Ciblage des tendances pour les secteurs industriels et les zones géographiques

Associer les cyberattaques aux conflits et événements géopolitiques (mer de Chine méridionale, printemps arabe, Russie-Ukraine)

Statistiques mondiales sur les violations, les logiciels malveillants et le vol d'informations

Le TTP des principaux attaquants change au fil du temps

Utilisation de renseignements stratégiques sur les menaces

Le renseignement stratégique sur les menaces repose sur un vaste ensemble de connaissances et comprend des avis d'experts et des idées qui sont basés sur l'agrégation de renseignements opérationnels et tactiques sur les menaces provenant de cyberattaques connues. Ces informations sont particulièrement utiles pour les personnes occupant des postes de direction, tels que les RSSI et les dirigeants, qui doivent justifier leurs budgets et prendre des décisions d'investissement plus éclairées. Le renseignement stratégique sur les menaces peut notamment être utilisé pour :

Informez vos dirigeants sur les acteurs de menaces à haut risque, les scénarios de risque pertinents et l'exposition aux menaces dans la sphère technologique destinée au public et dans la clandestinité criminelle.

Effectuez une analyse approfondie des risques et un examen de l'ensemble de la chaîne d'approvisionnement technologique.

Découvrez les entreprises commerciales, les fournisseurs, les entreprises partenaires et les produits technologiques les plus susceptibles d'augmenter ou de réduire les risques pour l'environnement de votre entreprise.

Exemples de renseignements stratégiques sur les menaces

Renseignements stratégiques sur les menaces pour APT29

APT29 est un acteur basé en Russie qui se livre généralement au cyberespionnage dans le but de voler des données.

Parmi les victimes de l'APT29 figurent de nombreuses organisations mondiales dans les domaines du gouvernement, de l'éducation, de la haute technologie, de la finance, des organisations à but non lucratif, de l'industrie pharmaceutique et de la base industrielle de défense.

APT29 est un groupe sophistiqué et adaptable capable de développer des outils d'attaque personnalisés, une infrastructure de commande et de contrôle alambiquée. Contrairement aux comportements historiques des acteurs parrainés par l'État russe, ce groupe a l'audace de continuer à fonctionner longtemps après avoir été détecté.

L'APT29 a toujours été chargée de mener des opérations liées à des questions de politique étrangère des gouvernements, en particulier celles liées au conflit russo-ukrainien. En outre, le groupe a pris pour cible plusieurs agences gouvernementales nationales occidentales, des sous-traitants du secteur de la défense et du gouvernement, ainsi que des institutions universitaires.

Renseignements stratégiques sur les menaces pour le secteur de l'éducation

L'infrastructure informatique éducative compte une base d'utilisateurs diversifiée et comprend donc généralement une myriade de systèmes d'exploitation, de types d'ordinateurs, de logiciels et de tonnes de serveurs et de sites Web accessibles au public depuis Internet. Cela fait des universités et des centres de recherche universitaires des cibles de choix pour les attaquants, à la fois en tant que lieux où voler des données précieuses et en tant que points de départ pour d'autres opérations d'intrusion.

Le secteur de l'éducation continuera de subir des activités de cyberespionnage dans un avenir proche. Nous attendons des acteurs de la menace de Chine, de Russie, d'Iran et d'autres pays qu'ils mènent des opérations d'espionnage à des fins de vol de données, d'informations commerciales, de renseignement économique et de surveillance de la diaspora.

Plusieurs groupes ont été observés en train de mener des opérations d'intrusion qui ont touché des institutions universitaires, notamment des universités et des centres de recherche :

APT10 alias « MenuPass Group »
APT22 alias « Barista Team »
APT29 alias « The Dukes »

Renseignements sur les menaces et objectifs commerciaux

Le renseignement sur les menaces a toujours un objectif — pour éclairer la prise de décisions et inciter à l'action. Cependant, il n'est pas rare que les entreprises aient du mal à déterminer la valeur de leur équipe, de leurs processus et de leurs outils de renseignement sur les menaces. La terminologie du renseignement sur les menaces n'est généralement pas compatible avec le lexique commercial, ce qui entraîne des malentendus quant à son objectif et à sa valeur.

Les entreprises peuvent aider à tirer parti de leurs programmes de renseignement en les alignant sur un ensemble de priorités générales au niveau macroéconomique, comme indiqué ci-dessous (pas exhaustif) :

Augmentez vos revenus

Diminution des dépenses

Réduire et atténuer les risques

Satisfaction et fidélisation de la clientèle

Satisfaction et rétention des employés

Conformité - Réglementation

Une fois que l'équipe chargée du renseignement sur les menaces comprend les objectifs commerciaux, elle peut aligner ses opérations et ses efforts pour soutenir l'entreprise. Les priorités commerciales ne seront pas toutes parfaitement alignées sur les capacités de renseignement sur les menaces, et ce n'est pas grave. Vous pouvez développer la granularité et les nuances au fur et à mesure que vous définissez vos exigences. Voici quelques objectifs de départ pour toute équipe de renseignement sur les menaces :

Réduire les dépenses liées à la fraude et à la cybercriminalité

Collaborez avec l'équipe chargée des fraudes pour déterminer les 3 à 5 principaux types de fraude et demandez-leur quelles informations pourraient les aider à détecter et à prévenir de telles fraudes à l'avenir.

Prévenir la perte de données

Que révèle l'analyse des tickets d'incident sur la nature et le type de données ciblées lors de précédentes violations de données ?
Quelles vulnérabilités ont été exploitées et par quels moyens ?

Protégez les informations personnelles

Quels systèmes stockent les informations personnelles et comment les vulnérabilités de ces systèmes correspondent-elles à des vecteurs d'exploitation connus ?

Réduire les risques commerciaux

Les TI peuvent se concentrer sur la réduction des risques liés à la perte de données et aux menaces externes en identifiant les acteurs et en recueillant des informations sur les menaces externes ciblant leur secteur d'activité, en s'assurant que des techniques et des mécanismes de détection sont en place et capables de détecter ces menaces.

Threat intelligence evolution

Threat intelligence will continue to evolve and be a key security function. Integrating tactical, operational, and strategic threat intelligence will provide valuable insights into IOCs and threat actor's methodologies. This will lead to more secure environments where you can identify your adversaries. A growing number of public and private sector organizations are now using cyber threat intelligence. Recent research published by the Ponemon Institute revealed that 80% of organizations are using it and that an even higher percentage regard it as critical.

Organizations using cyber threat intelligence are meeting numerous security challenges. They are detecting and responding to advanced threats. They are preventing data breaches and protecting sensitive information. They are lowering cybercrime and fraud costs. Most importantly, they are reducing overall business risk.

Learn More About Threat Intelligence

Stay ahead of adversaries with more threat intelligence guides and tips from Anomali.

SEe all Resources

BLOG

Building the Ultimate Defense Requires a Balanced Diet of Threat Intelligence

Learn More

BLOG

Strengthening ITSM with Actionable Threat Intelligence

Learn More

BLOG

The Synergy Between Monitoring, Alerting, and Threat Intelligence: Enhancing Security and Operational Resilience

Learn More