Nous traitons des renseignements sur les menaces dans un séries de des postes ici sur le blog. Plus tôt, nous avons parlé du fonctionnement de cette stratégie ; on indique le cycle à parcourir pour l'atteindre.
Aujourd'hui, nous allons vous aider à réfléchir aux différents types de renseignements sur les menaces. Vous verrez que chacun d'eux répond à un objectif, ou une réalité métier en matière de sécurité de l'information.
Suivi!
3 types de renseignements sur les menaces
Les informations sur les menaces sont généralement divisées en trois sous-catégories :
- Stratégique — des tendances plus larges normalement destinées à un public non technique ;
- tactique — les grandes lignes des tactiques, techniques et procédures des acteurs de la menace pour un public plus technique ;
- Opérationnel — des détails techniques sur des attaques et des campagnes spécifiques.
Découvrez une ventilation de chacune de ces sous-catégories ci-dessous!
1. Renseignements sur les menaces stratégiques
La veille stratégique sur les menaces fournit un large aperçu du paysage des menaces de l'organisation. Il est destiné à éclairer les décisions de haut niveau prises par les cadres et autres décideurs d'une organisation - en tant que tel, le contenu est souvent moins technique et est présenté sous forme de rapports ou de briefings.
Une bonne intelligence stratégique devrait fournir des informations sur des domaines tels que les risques associés à certains plans d'action, les grandes tendances dans les tactiques et les cibles des acteurs de la menace, et les événements et tendances géopolitiques.
Les sources d'informations courantes pour les renseignements sur les menaces stratégiques comprennent :
- les documents politiques des États-nations ou des organisations non gouvernementales ;
- nouvelles des médias locaux et nationaux, de l'industrie et des publications spécifiques à un sujet ou d'autres experts en la matière ;
- livres blancs, rapports de recherche et autres contenus produits par des organisations de sécurité.
La production de renseignements solides sur les menaces stratégiques commence par des questions spécifiques et ciblées pour définir les besoins en matière de renseignements. Des analystes ayant une expérience en dehors des compétences typiques en cybersécurité sont également nécessaires, en particulier une solide compréhension des concepts sociopolitiques et commerciaux.
Bien que le produit final ne soit pas technique, la production d'une intelligence stratégique efficace nécessite une recherche approfondie sur de gros volumes de données, souvent dans plusieurs langues.
Cela peut rendre la collecte et le traitement initiaux des données très difficiles à effectuer manuellement, même pour les rares analystes qui possèdent les compétences linguistiques, la formation technique et les compétences appropriées.
Ainsi, une solution de renseignements sur les menaces qui automatise la collecte et le traitement des données contribue à réduire cette charge et permet aux analystes moins expérimentés de travailler plus efficacement.
2. Renseignements sur les menaces tactiques
Le renseignement sur les menaces tactiques décrit les tactiques, les techniques et les procédures des acteurs de la menace. Cela devrait aider les défenseurs à comprendre, en termes spécifiques, comment leur organisation peut être attaquée et les meilleurs moyens de se défendre ou d'atténuer ces attaques.
Il comprend généralement un contexte technique et est utilisé par le personnel directement impliqué dans la défense d'une organisation, comme les architectes système, les administrateurs et le personnel de sécurité.
Les rapports produits par les fournisseurs de sécurité sont souvent le moyen le plus simple d'obtenir des renseignements tactiques sur les menaces.
Recherche active d'informations dans les rapports sur les vecteurs d'attaque, les outils et l'infrastructure utilisés par les attaquants. Y compris des détails sur les vulnérabilités ciblées et les exploits dont les attaquants profitent, ainsi que les stratégies et les outils qu'ils peuvent utiliser pour éviter ou retarder la détection.
3. Renseignements sur les menaces opérationnelles
L'intelligence opérationnelle est la connaissance des cyberattaques, des événements ou des campagnes. Il fournit des informations d'experts qui aident les équipes de réponse aux incidents à comprendre la nature, l'intention et le moment d'attaques spécifiques.
Étant donné que cela inclut souvent des informations techniques, telles que le vecteur d'attaque utilisé, les vulnérabilités exploitées ou les domaines de commande et de contrôle utilisés, ce type de renseignement est également appelé renseignement technique sur les menaces.
Une source courante d'informations techniques est constituée par les flux de données sur les menaces, qui se concentrent souvent sur un seul type d'indicateur, comme les hachages de logiciels malveillants ou les domaines suspects.
Mais si les informations techniques sur les menaces sont strictement considérées comme dérivées d'informations techniques, telles que les flux de données sur les menaces, les informations techniques et opérationnelles sur les menaces ne sont pas entièrement synonymes - plutôt comme un diagramme de Venn avec de grands chevauchements.
D'autres sources d'informations sur des attaques spécifiques peuvent provenir de sources fermées, telles que l'interception des communications de groupes de menaces, soit par infiltration, soit par intrusion dans ces canaux de communication.
Par conséquent, il existe certains obstacles à la collecte de ce type de renseignements :
- Accès — Les groupes de menaces peuvent communiquer via des canaux privés cryptés ou exiger une preuve d'identité. Il existe également des barrières linguistiques avec des groupes menaçants situés dans des pays étrangers.
- Le bruit — Il peut être difficile, voire impossible, de recueillir manuellement de bons renseignements à partir de sources à volume élevé telles que les forums de discussion et les médias sociaux.
- Obfuscation — Pour éviter d'être détectés, les groupes de menaces peuvent employer des tactiques d'obscurcissement, telles que l'utilisation d'alias.
Les solutions de renseignement sur les menaces qui s'appuient sur des processus d'apprentissage automatique pour la collecte automatisée de données à grande échelle peuvent surmonter bon nombre de ces problèmes lorsqu'elles tentent de développer une intelligence opérationnelle efficace sur les menaces.
Une solution qui utilise le traitement du langage naturel, par exemple, pourra collecter des informations à partir de sources en langues étrangères sans avoir besoin de connaissances humaines pour les déchiffrer.
Comment le sujet de la Threat Intelligence est-il traité dans votre entreprise ? Approfondissez ce concept en téléchargeant l'eBook que nous venons de sortir !
