Qu'est-ce que les renseignements sur les menaces ?

Les renseignements sur les menaces, ou renseignements sur les cybermenaces (CTI), sont une discipline qui implique la collecte, l'analyse et la diffusion d'informations sur les menaces actuelles et émergentes pour la sécurité digitale des entreprises et des individus. Les renseignements sur les menaces fournissent des informations sur l'ensemble de l'écosystème des menaces de cybersécurité, y compris les menaces telles que les nombreux types de ransomwares, de logiciels malveillants, d'attaques par hameçonnage, de menaces persistantes avancées (APT), d'attaques par déni de service, d'attaques et de vulnérabilités logicielles, de menaces internes, d'attaques zero day, d'attaques de chaîne logistique et de botnets.

Les renseignements sur les menaces constituent un élément essentiel des efforts visant à réduire la surface d'attaque et à déployer des défenses de cybersécurité multicouches. Ils aident les entreprises à comprendre les risques liés aux menaces et aident les équipes de sécurité à anticiper, identifier et atténuer les cyberattaques avant qu'elles ne se produisent.

Les renseignements sur les menaces sont basés sur des informations recueillies à partir de diverses sources.

• L'intelligence Open Source (OSINT) est une donnée accessible au public qui peut être utilisée pour identifier les menaces émergentes.
• Les forums et les sites sur le Dark Web sont des lieux où les cybercriminels achètent et vendent des données, du code et des outils pour les cyberattaques, et discutent des exploits à venir. La surveillance de ces sites peut aider les entreprises à identifier les menaces à venir.
• Les sites de médias sociaux sur le Web en surface sont également une source fructueuse pour surveiller l'activité des acteurs de menace.
• Les indicateurs de compromission (IOC) sont des éléments tels que les URL malveillantes, les adresses IP et les signatures de logiciels malveillants qui peuvent informer les solutions de sécurité sur ce qu'il faut rechercher lors de la surveillance du trafic et de l'activité.
• Les rapports et journaux d'incidents fournissent des informations sur les attaques passées, les vulnérabilités potentielles et les activités suspectes possibles.

Une fois la collecte de données brutes pour les renseignements sur les menaces terminée, les informations sont analysées par des experts en cybersécurité qui tirent parti de l'apprentissage automatique et de l'automatisation pour s'assurer qu'elles sont à la fois pertinentes et exploitables. Ce processus est essentiel pour identifier les menaces réelles et éliminer les faux positifs qui peuvent distraire les équipes de sécurité et contribuer à la fatigue liée aux alertes. Après avoir analysé le contexte des menaces ainsi que la crédibilité et la fiabilité des informations, les renseignements sur les menaces sont prêts à être diffusés aux organisations et aux équipes de sécurité pour éclairer la prise de décision et les stratégies de cybersécurité.

Les cyberattaques peuvent paralyser les opérations d'une entreprise, nuire à sa réputation, entraver sa productivité, faire fuir la propriété intellectuelle critique et entraîner la perte d'opportunités commerciales et de millions de dollars. Les renseignements sur les menaces jouent un rôle essentiel dans la protection contre les cybermenaces.

• Stratégie de sécurité proactive : Les renseignements sur les menaces aident les entreprises à maintenir de solides programmes de gestion des menaces et une stratégie de sécurité proactive. Les renseignements sur les menaces aident les équipes à améliorer la sécurité DNS et la protection contre les ransomwares, à se préparer aux failles de sécurité et à sécuriser les points de terminaison d'API. Au fur et à mesure que les cybermenaces évoluent, les renseignements sur les menaces permettent aux équipes de sécurité et à leurs entreprises de garder plusieurs étapes avant les vecteurs d'attaque émergents plutôt que de simplement réagir après les attaques.
• Meilleure connaissance de la situation : Les outils de renseignements sur les menaces permettent aux équipes de sécurité de mieux comprendre l'écosystème actuel des cybermenaces, ainsi que les tactiques, techniques et procédures (TTP) utilisées par les acteurs malveillants.
• Amélioration de la réponse aux incidents : Étant donné qu'il est impossible de contrer chaque attaque, les entreprises doivent disposer d'un plan de réponse aux incidents supérieur qui permet d'identifier rapidement les menaces, d'accélérer les mesures correctives, de minimiser les dommages qu'elles peuvent subir et de remettre les données et les systèmes en ligne le plus rapidement possible.
• Amélioration de la gestion des risques : Les renseignements sur les menaces aident les dirigeants d'une entreprise à développer des stratégies plus intelligentes en matière de gestion des risques.
• Amélioration de la conformité réglementaire : Les programmes de renseignements sur les menaces peuvent aider les entreprises à assurer la conformité aux cadres réglementaires qui imposent certains niveaux de protection et de préparation de la sécurité.
• Des programmes de sécurité plus intelligents : Les services de renseignements sur les menaces permettent aux entreprises d'adapter leurs mesures de sécurité aux menaces les plus susceptibles d'affecter leurs environnements informatiques. Des renseignements de qualité supérieure facilitent la hiérarchisation des contrôles de sécurité, guident les plans de réponse aux incidents et ciblent les activités de recherche des menaces.
• Investissements avisés : Les parties prenantes et les décideurs tels que les cadres, les conseils d'administration, les RSSI et les DSI s'appuient sur les renseignements sur les menaces pour guider les investissements dans les solutions de sécurité.

La diffusion des renseignements sur les menaces s'effectue sur différents canaux.

• Les plateformes de renseignements sur les menaces regroupent et distribuent les renseignements aux parties prenantes et aux centres d'opérations de sécurité (SOC) en temps réel. Une plateforme de renseignements sur les menaces peut gérer le cycle de vie des renseignements et offrir une vue unifiée des menaces, des vulnérabilités et des IOC qui sont importantes pour l'entreprise. Les plateformes de renseignements sur les menaces offrent généralement des outils permettant de filtrer et de hiérarchiser les renseignements afin de garantir que les équipes de sécurité bénéficient des données les plus pertinentes. Les intégrations avec d'autres systèmes de sécurité tels que la gestion des événements et des informations de sécurité (SIEM), l'EDR (Endpoint Detection and Response) et les pare-feux garantissent que tous les membres de l'entreprise ont accès à des informations complètes et opportunes sur les menaces.
• Les alertes par e-mail et les bulletins publiés par des experts en cybersécurité fournissent des informations utiles sur les dernières informations sur les vulnérabilités critiques ou les attaques en cours.
• Les flux automatisés de renseignements sur les menaces peuvent fournir une entrée directe dans les outils et les systèmes de sécurité. Les flux de données sur les menaces permettent de mettre à jour en temps réel les méthodes de détection et les réponses aux menaces émergentes.
• Les portails Web et les tableaux de bord fournissent des interfaces permettant d'afficher des informations sur les menaces en temps réel. Les tableaux de bord sont généralement personnalisables, ce qui permet aux équipes de sécurité de se concentrer sur le type d'informations le plus adapté aux besoins de l'entreprise.
• Les rapports et livres blancs produits par les analystes de sécurité fournissent des informations approfondies qui aident les équipes de sécurité à comprendre les menaces complexes et à développer des stratégies à long terme.

Les renseignements sur les menaces se divisent en quatre catégories principales.

• Les renseignements tactiques sur les menaces se concentrent sur les indicateurs techniques immédiats des menaces. Des indicateurs tels que les signatures de logiciels malveillants et les adresses IP malveillantes peuvent aider les équipes de sécurité à configurer des pare-feux, la protection des points de terminaison et d'autres solutions de sécurité.
• Les renseignements opérationnels sur les menaces informent les plans d'intervention en cas d'incident en identifiant les spécificités des cyberattaques et des campagnes malveillantes, ainsi que les TTP des acteurs malveillants.
• Les renseignements stratégiques sur les menaces offrent une compréhension de haut niveau de l'écosystème des cybermenaces, fournissant ainsi des informations précieuses pour la prise de décision à long terme et la gestion des risques.
• Les renseignements techniques sur les menaces fournissent des preuves spécifiques concernant les attaques en cours. Il peut s'agir de contenu d'e-mails et de campagnes d'hameçonnage, d'adresses IP de serveurs de commande et de contrôle ou de code provenant de logiciels malveillants connus qui se trouvent sur des supports au sein d'un environnement informatique.

Le Groupe Security Intelligence d'Akamai est une équipe mondiale composée de chercheurs, d'ingénieurs, d'experts en stratégie et de spécialistes des données de classe mondiale couvrant une vaste gamme de savoir-faire et de disciplines de sécurité. Nos sources de données incluent le gigantesque Akamai Connected Cloud, des outils Open Source, la collaboration avec des tiers et des informations sur le Dark Web. Nous avons également développé nos propres algorithmes et outils qui nous aident à mener nos recherches et à maintenir les solutions de sécurité Akamai à jour.