Les renseignements sur les cybermenaces (CTI) offrent un large éventail de capacités, qu'il s'agisse de cas d'utilisation tactiques, opérationnels ou plus stratégiques.
Threat Intelligence tactique
Les renseignements tactiques sur les menaces s'adressent à un public plus technique : personnel de SOC (centre des opérations de sécurité), personnes qui interviennent en cas d'incident, experts de la sécurité, etc. Les renseignements tactiques sur les menaces sont généralement disponibles dans un format lisible par machine. Ils s'intègrent facilement à divers outils et plateformes de renseignement sur les menaces par le biais d'API et de flux programmatiques de renseignements sur les menaces.
Les points de données utilisés pour détecter des activités malveillantes sont appelés indicateurs de compromission (IoC) et constituent des éléments clés de ce type de fourniture de renseignements sur les menaces. Les IoC incluent des adresses IP liées à des menaces connues, à des noms de domaine malveillants et à des hachages de fichiers identifiés comme dangereux.
Ces indicateurs évoluant très rapidement, il est important de disposer d'une source constamment mise à jour.
Dans la mesure où ils fournissent des données immédiates et exploitables sans analyse à long terme ni informations générales, les renseignements tactiques sur les menaces complètent les renseignements opérationnels et stratégiques. Lorsqu'une organisation se fie uniquement à des renseignements tactiques sur les menaces, le risque de faux positifs (autrement dit, les cas où des activités anodines sont signalées à tort comme étant malveillantes) augmente.
Utilisations et exemples de renseignements tactiques sur les cybermenaces (CTI tactiques)
· Flux de menaces : flux de données continus fournissant des informations sur les menaces potentielles.
· Alertes en temps réel : notifications informant instantanément les organisations des menaces actives présentes dans leur environnement.
· Analyse automatisée des malwares : processus automatisés permettant d'examiner les logiciels malveillants afin de comprendre leur fonction et le niveau de menace qu'ils représentent.
Renseignements opérationnels sur les menaces
Les renseignements opérationnels sur les menaces concernent le contexte. Ils rassemblent des informations sur les cyberattaques en vue d'identifier des questions essentielles sur les campagnes et les opérations adverses. L'accent est mis sur les tactiques, techniques et procédures (TTP), ainsi que sur les motivations et le calendrier des attaques.
L'obtention d'informations n'est pas un processus simple, car il nécessite de faire appel à de multiples sources : forums de discussion, réseaux sociaux, journaux antivirus, dossiers relatifs à d'anciennes attaques, etc. Cette approche pose de nombreux défis, notamment en raison du recours fréquent par les acteurs malveillants au chiffrement, à un langage codé ou ambigu et à des forums de discussion privés. Le forage de données et le Machine Learning sont souvent utilisés pour traiter d'importants volumes de données mais, pour aboutir à une analyse définitive, les informations doivent être contextualisées par des experts.
Les renseignements opérationnels sur les menaces, exploités dans les centres des opérations de sécurité (SOC), enrichissent les différentes méthodologies cybersécuritaires, telles que la gestion des vulnérabilités, la surveillance des menaces, la réponse aux incidents, etc.
Utilisations et exemples de renseignements opérationnels sur les cybermenaces (CTI opérationnels)
· Profilage des acteurs : compréhension et catégorisation des cyber-adversaires selon les tactiques, techniques et procédures qu'ils utilisent.
· Priorisation des correctifs : identification des vulnérabilités logicielles à traiter en priorité sur la base de renseignements sur les menaces.
· Réponse aux incidents : actions entreprises pour gérer et atténuer les menaces après qu'elles ont été détectées.
Renseignements stratégiques sur les menaces
Les renseignements stratégiques sur les menaces traduisent des informations complexes et détaillées dans un langage exploitable par les parties prenantes (y compris les membres du conseil d'administration, les cadres et les hauts responsables). Les produits des renseignements stratégiques sur les menaces peuvent prendre la forme de présentations, de rapports sur les risques à l'échelle de l'organisation et de comparaisons des risques passés, présents et futurs (au sein d'une organisation et par rapport aux normes et pratiques exemplaires de l'industrie). L'identification des lacunes en matière de conformité est un moteur fondamental des renseignements stratégiques sur les menaces.
Bien que faisant l'objet de rapports synthétiques, la restitution de ce type de renseignements sur les menaces doit également inclure une analyse approfondie des tendances locales et mondiales, des cyber-risques émergents et même des facteurs géopolitiques. Les offres de renseignements stratégiques sur les menaces jouent un rôle essentiel dans la planification à long terme, la gestion des risques et les décisions de politique générale. Les renseignements stratégiques sur les menaces doivent s'intégrer à la planification stratégique à long terme afin d'aider les organisations à aligner leurs stratégies cybersécuritaires sur leurs objectifs commerciaux.
Utilisations et exemples de renseignements stratégiques sur les cybermenaces (CTI stratégiques)
· Menaces internes : élaboration de stratégies globales permettant d'identifier et de traiter les menaces provenant de l'organisation au moyen des méthodes telles que l'analyse des modèles comportementaux et des journaux d'accès.
· Opérations de tromperie : conception et mise en œuvre de stratégies de tromperie visant à induire en erreur et à traquer les attaquants potentiels, en mettant au jour leurs techniques et leurs intentions sans risquer la compromission d'actifs réels.
· Allocation des ressources : détermination de la meilleure façon d'allouer les ressources à la cybersécurité en fonction du paysage des menaces (investissements dans de nouvelles technologies de sécurité, recrutement de personnel spécialisé ou allocation de fonds aux programmes de formation des employés).