Cohesity and Veritas have joined forces!
See why this is a game changer for the data security space.
Les renseignements sur les menaces, ou renseignements sur les cybermenaces (cyber threat intelligence, CTI), sont des données compilées sur les menaces de cybersécurité existantes ou émergentes, notamment les ransomwares. Les renseignements sur les cybermenaces sont basés sur l’agrégation et l’analyse de données relatives à la sécurité et aux menaces recueillies à partir de multiples sources. Ils fournissent des informations sur les menaces réelles ou potentielles qui pèsent sur les infrastructures et les applications numériques. Grâce aux preuves et à la capacité d’exploiter davantage de connaissances des données, les équipes de cybersécurité peuvent utiliser efficacement les renseignements sur les menaces pour se préparer aux menaces potentielles (voire les prévenir), pour détecter rapidement les menaces actives et y répondre de manière proactive plutôt que réactive.
Les renseignements sur les menaces sont un pilier essentiel des stratégies de cybersécurité modernes qui visent à renforcer la cyber-résilience des entreprises. Plus de la moitié (51 %) des personnes interrogées dans le cadre de l’enquête SANS 2023 CTI ont déclaré que leur entreprise avait une équipe officielle dédiée aux renseignements sur les menaces.
Les renseignements sur les menaces sont importants car les entreprises sont confrontées à un triple défi en matière de protection des données :
Les entreprises doivent continuellement renforcer leurs capacités de gestion de la posture de sécurité des données (DSPM) et de renseignements sur les menaces pour protéger leurs revenus, la réputation de leur marque et leurs capacités opérationnelles, car des individus et des groupes de cybercriminels ainsi que des états-nations y voient des occasions d’exiger de l’argent et de causer des ravages politiques.
Les renseignements sur les menaces permettent aux entreprises d’être mieux préparées à affronter les acteurs malveillants en comprenant les tendances des menaces ainsi que les comportements, les techniques, les motivations et les capacités des auteurs de menaces. Les dirigeants peuvent accélérer la prise de décision et les actions visant à protéger les données sensibles et la propriété intellectuelle car ils bénéficient d’une visibilité en temps quasi réel et en temps réel sur les menaces potentielles, émergentes et permanentes.
Il existe trois grandes catégories de renseignements sur les menaces en fonction de leur degré de maturité : tactiques, opérationnels et stratégiques.
Tactiques – Au niveau de base, les renseignements tactiques sur les menaces permettent aux entreprises de se concentrer sur la manière dont les menaces sont exécutées et sur leur façon de se défendre. Ils permettent souvent uniquement d’identifier de simples indicateurs de compromission (IOC), notamment de mauvaises adresses IP, des noms de domaine malveillants connus et des lignes d’objet d’e-mail liées à des attaques de phishing. Il est possible de trouver ce type d’informations en ligne (y compris dans des flux de données gratuits), mais elles ne sont utiles que pendant une courte période, car ces IOC disparaissent souvent en l’espace de quelques heures ou de quelques jours. Les renseignements tactiques sur les menaces équipent généralement trois équipes de sécurité : la réponse aux incidents, le centre d’opérations de sécurité (SOC) et la recherche de menaces. Les équipes de réponse aux incidents utilisent les renseignements sur les cybermenaces pour distinguer les faux positifs des véritables attaques, tandis que les professionnels des équipes SOC s’en servent pour détecter les menaces actives et en cours et y répondre. Les équipes de recherche de menaces utilisent les renseignements sur les menaces pour identifier les menaces persistantes avancées (advanced persistent threats, APT) et autres types d’attaques masquées.
Opérationnels – Un niveau au-dessus, les renseignements opérationnels sur les menaces permettent aux équipes d’examiner les aspects techniques des attaques et des acteurs malveillants, notamment les motivations, les vecteurs d’attaque privilégiés et les vulnérabilités préférées à exploiter. Ils peuvent même fournir des informations sur la nature et la chronologie d’une attaque planifiée. En fournissant ce contexte, les renseignements opérationnels sur les menaces permettent aux responsables de la sécurité et aux décideurs d’identifier les menaces les plus probables et de mettre en place des mécanismes de sécurité conçus pour contrecarrer des attaques spécifiques. Ces renseignements permettent également aux professionnels de la cybersécurité du SOC de mieux gérer les vulnérabilités, la surveillance des menaces et les réponses aux incidents. Bien que les renseignements tactiques sur les menaces puissent être générés par une machine (souvent à l’aide de technologies de machine learning et d’intelligence artificielle [IA/ML]), les renseignements opérationnels sur les menaces nécessitent une analyse humaine. Les analystes utilisent la classification des données dans leur approche pour organiser et évaluer les tactiques, techniques et procédures (TTP) des attaquants. Les renseignements opérationnels sur les menaces sont utiles à plus long terme que les renseignements tactiques sur les menaces, car les auteurs de menaces ne peuvent pas changer leurs TTP aussi facilement qu’un nom de domaine malveillant.
Stratégiques – Au niveau le plus élevé, les renseignements stratégiques sur les menaces permettent aux entreprises de comprendre leur position dans le paysage global des menaces. Plus précisément, le renseignement stratégique est une approche non technique qui permet de mettre en perspective les risques potentiels de cybersécurité d’une entreprise en fonction des événements mondiaux actuels, des politiques étrangères, des tendances de l’industrie et d’autres influences dominantes. Cette compréhension permet aux responsables informatiques et non informatiques d’aligner stratégiquement les investissements en matière de cybersécurité et de gestion des risques. Le renseignement stratégique est le plus difficile à générer en raison de la sophistication et des nuances qui existent à ce niveau. Les analystes humains doivent parfaitement comprendre le paysage mondial de la cybersécurité et la géopolitique pour produire des rapports opportuns, significatifs et exploitables.
Les renseignements sur les menaces impliquent la collecte, l’analyse et l’application de données sur des cybermenaces potentielles ou en cours. Leur principal objectif est de fournir des informations actionnables sur les tactiques, techniques et procédures (TTP) des attaquants afin d’améliorer la posture défensive d’une entreprise.
La recherche de menaces est une approche proactive qui consiste à rechercher activement des signes de compromission ou des vulnérabilités sur le réseau d’une entreprise. Contrairement aux méthodes de détection traditionnelles, elle ne repose pas uniquement sur des menaces connues ou des alertes émises par les systèmes de sécurité.
Si les informations obtenues grâce aux renseignements sur les menaces permettent aux entreprises de se préparer à d’éventuelles attaques, la recherche de menaces vise quant à elle à détecter les menaces persistantes avancées et les logiciels malveillants uniques avant qu’ils ne puissent causer des dommages, et donc à réduire le laps de temps entre l’intrusion et la découverte.
Il peut être difficile d’opérationnaliser les renseignements sur les menaces dans une entreprise, et ce pour plusieurs raisons :
Le cycle de vie des renseignements sur les menaces est un cadre structuré que les entreprises utilisent pour gérer et utiliser efficacement les renseignements sur les menaces. Il comprend six phases interconnectées qui aident les équipes à collecter, analyser et diffuser des informations sur des menaces potentielles. Ce processus cyclique permet aux entreprises de s’adapter à l’évolution des menaces et d’améliorer leur posture en matière de cybersécurité. Les phases sont les suivantes :
1. Planification et direction
Cette phase initiale consiste à définir les objectifs et le périmètre du programme de renseignements sur les menaces. Les entreprises évaluent leur tolérance au risque, identifient les ressources clés à protéger et déterminent leurs besoins spécifiques en matière de renseignements en fonction de leur secteur d’activité et du paysage des menaces.
2. Collecte des données
Cette phase consiste à recueillir des données pertinentes provenant de différentes sources, notamment l’OSINT (open-source intelligence), les ressources du deep web et du dark web, les journaux internes et les plateformes de renseignements sur les menaces. L’objectif est de compiler des informations complètes sur les menaces potentielles.
3. Traitement
Une fois collectées, les données sont traitées afin d’éliminer les informations non pertinentes et de les structurer en vue de leur analyse. Cette étape peut impliquer de nettoyer les données, de supprimer les doublons et de les enrichir avec davantage de contexte.
4. Analyse
Les analystes examinent les données traitées afin d’identifier des schémas, des tendances et des menaces potentielles. Cette phase fait appel à diverses techniques d’analyse, notamment l’exploration de données et le machine learning, pour convertir les données brutes en renseignements actionnables.
5. Diffusion
Les renseignements analysés sont communiqués en temps utile aux parties prenantes concernées. Une diffusion efficace garantit que les décideurs reçoivent des informations actionnables pour étayer les mesures de sécurité et les réponses aux incidents.
6. Retour d’information et amélioration
Cette dernière phase consiste à recueillir les remarques des parties prenantes afin d’évaluer l’efficacité des renseignements sur les menaces fournis. Les informations obtenues permettent d’affiner l’ensemble du processus du cycle de vie, et ainsi d’améliorer en permanence l’identification des menaces et les stratégies de réponse.
Grâce au cycle de vie des renseignements sur les menaces, les entreprises sont mieux à même de détecter et de répondre de manière proactive aux cybermenaces potentielles. En suivant cette approche structurée, les entreprises peuvent mieux comprendre leurs vulnérabilités, allouer efficacement leurs ressources et renforcer leurs défenses globales en matière de cybersécurité.
Le ransomware et les autres cyberattaques utilisent des tactiques trompeuses. Les entreprises ont donc besoin de solutions capables de détecter les menaces, d’analyser l’impact de l’exposition de données sensibles et d’isoler les données de manière sécurisée, mais aussi de s’intégrer de manière transparente aux pratiques et solutions d’opérations de sécurité auxquelles les équipes font déjà confiance.
Les entreprises qui cherchent à renforcer leurs renseignements sur les cybermenaces peuvent compter sur Cohesity DataHawk pour :
Les entreprises peuvent identifier les menaces dans leurs snapshots de sauvegarde, et ainsi réduire le risque de réinfection tout en rationalisant la restauration. DataHawk est plus simple à déployer et à utiliser car il s’intègre aux opérations de sécurité des entreprises ainsi qu’aux processus existants de réponse aux incidents et de correction des incidents.
En parallèle, Cohesity Threat Hunting utilise la détection des menaces basée sur l’IA/le ML pour identifier les dernières variantes de ransomware et autres cyberattaques. Les entreprises peuvent créer et importer des règles YARA personnalisées ou existantes pour détecter des menaces spécifiques.
