Threat Intelligence : Concrètement, comment ça marche ?

Comment fonctionne Threat Intelligence - Flexa Cloud

Comment les renseignements sur les cybermenaces sont-ils produits ? Comment ça marche au quotidien des entreprises ? Quels avantages les organisations qui en tirent parti sont-elles plus susceptibles d'obtenir, par rapport à leurs pairs qui n'y sont pas encore parvenus ?

Dans notre série d'articles sur le sujet, nous cherchons à vous aider à comprendre pourquoi ce concept est fondamental. Essayons donc maintenant de répondre à ces questions. Vérifier! 

→ Peut-être souhaitez-vous une introduction au concept de renseignement sur les menaces. Dans ce cas, lisez d'abord cet article : 

Les six phases du cycle Threat Intelligence

Le renseignement sur les cybermenaces est le produit final issu d'un cycle en six étapes de collecte, de traitement et d'analyse des données. Ce processus est un cycle au fur et à mesure que de nouveaux problèmes et lacunes dans les connaissances sont identifiés pendant le développement du renseignement, menant à la définition de nouvelles exigences de collecte. 

En ce sens, un programme de renseignement efficace est itératif et s'affine au fil du temps.

Pour maximiser la valeur des renseignements sur les menaces que vous produisez, il est essentiel d'identifier vos cas d'utilisation et de définir des objectifs avant de faire quoi que ce soit d'autre. Suivez les sujets qui suivent !

1. Planification et orientation

La première étape pour produire des informations exploitables sur les menaces consiste à poser les bonnes questions.

Les questions qui conduisent le mieux à la création de renseignements exploitables sur les menaces se concentrent sur un seul fait, événement ou activité. Les questions générales et ouvertes sont généralement à éviter.

Hiérarchisez vos objectifs de renseignement en fonction de facteurs tels que leur degré d'adhésion aux valeurs fondamentales de votre organisation, l'ampleur de l'impact qu'aura la décision qui en résultera et la sensibilité de la décision.

Un facteur d'orientation important à ce stade est de comprendre qui consommera et bénéficiera du produit final. 

Vous devez demander et répondre : 

  • L'intelligence ira-t-elle à une équipe d'analystes techniquement avertis qui ont besoin d'un rapport rapide sur un nouvel exploit ? 
  • Ou pour un dirigeant qui recherche un large aperçu des tendances pour éclairer ses décisions d'investissement en sécurité pour le prochain trimestre ?

2. Collecte

L'étape suivante consiste à collecter des données brutes répondant aux exigences définies lors de la première étape. Il est préférable de collecter des ressources d'informations à partir d'une grande variété de sources internes, telles que les journaux d'événements réseau et les enregistrements de réponses aux incidents passés ; et des sources externes du Web ouvert, du Web sombre et de sources techniques.

Les données sur les menaces sont généralement considérées comme des listes d'IoC, telles que des adresses IP malveillantes, des domaines et des hachages de fichiers. Mais cela peut également inclure des informations de vulnérabilité, telles que des informations personnellement identifiables provenant de clients, du code brut de sites Web collés et du texte provenant de sources d'actualités ou de réseaux sociaux.

3. Traitement

Une fois toutes les données brutes collectées, vous devez les classer, les organiser avec des balises de métadonnées et filtrer les informations redondantes ou les faux positifs et négatifs.

Aujourd'hui, même les petites organisations collectent chaque jour des données de l'ordre de millions d'événements de journaux et de centaines de milliers d'indicateurs. C'est trop pour les analystes humains à traiter efficacement - la collecte et le traitement des données doivent être automatisés pour commencer à avoir un sens.

Des solutions comme SIEM sont un bon point de départ car ils facilitent la structuration des données avec des règles de corrélation qui peuvent être configurées pour quelques cas d'utilisation différents, mais ne peuvent prendre en compte qu'un nombre limité de types de données.

Si vous collectez des données non structurées à partir de nombreuses sources internes et externes différentes, vous aurez besoin d'une solution plus robuste. 

4. Analyse

L'étape suivante consiste à comprendre les données traitées. Le but de l'analyse est de rechercher les problèmes de sécurité potentiels et d'informer les équipes concernées dans un format qui répond aux exigences en matière de renseignement décrites dans l'étape de planification et de direction.

La Threat Intelligence peut prendre plusieurs formes, selon vos objectifs initiaux et votre public cible. Mais l'idée est de mettre les ressources d'information dans un format compréhensible pour le public, qui peut aller de simples listes de menaces à des rapports évalués par des pairs.

5. Divulgation

Le produit fini est ensuite distribué aux consommateurs auxquels il est destiné. Pour que les informations sur les menaces soient exploitables, elles doivent atteindre les bonnes personnes au bon moment.

Il doit également être traçable, afin qu'il y ait une continuité entre un cycle de renseignement et le suivant. De cette façon, l'apprentissage ne sera pas perdu. 

Il est recommandé d'utiliser des systèmes de billetterie qui s'intègrent à vos autres systèmes de sécurité pour suivre chaque étape du cycle de renseignement - chaque fois qu'une nouvelle demande de renseignement arrive, les billets peuvent être soumis, rédigés, examinés et remplis par plusieurs personnes de différentes équipes. .

6. Commentaires

La dernière étape est celle où le cycle du renseignement est terminé, ce qui le rend étroitement lié à la phase initiale de planification et de direction. 

Après avoir reçu le produit de renseignement fini, le demandeur initial l'examine et détermine si ses questions ont reçu une réponse. Cela détermine les objectifs et les procédures du prochain cycle de renseignement, rendant la documentation et la continuité essentielles.

Comment le sujet de la Threat Intelligence est-il traité dans votre entreprise ? Approfondissez ce concept en téléchargeant l'eBook que nous venons de sortir !

cliquez pour télécharger