Essai gratuit
Obtenez l'accès complet
Connexion

Threat Intelligence & The Cyber ​​Kill Chain : Le guide complet

Picture of Flare
Flare
  • Reading time: 4 min
Fond bleu dégradé. Il y a un ovale orange clair avec le texte blanc "BLOG" à l'intérieur. En dessous, il y a un texte blanc : « Threat Intelligence & The Cyber ​​Kill Chain : The Complete Guide ». Il y a un texte blanc sous celui qui dit "En savoir plus" avec une flèche orange clair pointant vers le bas.

Chaque jour où vous prévenez une attaque est une bonne journée. Des adversaires sophistiqués disposent de l'argent, des compétences et des technologies nécessaires pour contrecarrer les capacités défensives de la plupart des organisations. Avec l'essor du Ransomware-as-a-Service (RaaS), les attaquants moins sophistiqués ont accès aux charges utiles et aux représentants du service client pour les aider à déployer des attaques réussies. En comprenant les motivations et les objectifs des attaquants, vous pouvez trouver des opportunités pour les empêcher d'atteindre leurs objectifs. 

Lorsque les défenseurs utilisent les renseignements sur les menaces pour détecter les activités tout au long de la chaîne de cyber-attaque, ils atténuent les risques de manière plus efficace et efficiente.

Qu'est-ce que la Cyber ​​Kill Chain ?

La chaîne de destruction cybernétique se compose des sept étapes que les acteurs de la menace doivent suivre pour réussir une attaque. Les organisations combinent les renseignements sur les menaces avec les étapes de la chaîne de destruction cybernétique pour minimiser l'impact d'une cyberattaque.

L'arrêt des attaquants à l'une des étapes suivantes réduit les dommages potentiels aux données et aux systèmes :

  1. Reconnaissance: mener des recherches pour comprendre quelles cibles leur permettent d'atteindre leurs objectifs
  2. Armement: préparation et mise en scène de l'opération
  3. Livraison: lancement de l'opération en véhiculant le malware vers la cible
  4. Exploitation: identifiant les vulnérabilités connues ou inconnues qu'ils peuvent utiliser pour obtenir un accès non autorisé
  5. Installation: créer un chemin persistant dans l'environnement de la victime pour maintenir un accès continu
  6. Commandement et contrôle (C2): ouverture d'un canal de communication bidirectionnel pour manipuler à distance l'environnement de la victime
  7. Actions sur les objectifs : utiliser des tactiques de clavier pratiques pour atteindre des objectifs, tels que la collecte d'informations d'identification, l'augmentation des privilèges, le déplacement latéral dans les systèmes, le vol de données

En comprenant les tactiques, les techniques et les procédures des adversaires (TTP), les défenseurs peuvent atténuer les risques découlant de :

Les renseignements sur les cybermenaces permettent aux équipes de sécurité d'atténuer les risques découlant des menaces persistantes avancées (APT), définies comme des acteurs malveillants ciblés, coordonnés et délibérés avec une intention, une opportunité et une capacité. 

MITRE ATT & CK

MITRE ATT & CK est un système d'organisation des tactiques et techniques de l'adversaire basé sur des observations du monde réel. Bien que de nombreuses personnes la confondent avec la cyber kill chain, MITRE ATT&CK se concentre sur des activités spécifiques des attaquants tandis que la cyber kill chain se concentre sur les phases générales d'une attaque. 

Bien que les deux modèles incluent la reconnaissance et le C2, le modèle MITRE ATT&CK détaille principalement les activités qui se déroulent dans chacune des phases de la chaîne de destruction cybernétique. Par exemple, la phase des actions de la cyber kill chain sur les objectifs comprend les éléments suivants Tactiques MITRE ATT&CK tactique:

  • Elévation de Privilèges
  • Évasion défensive
  • Accès aux informations d'identification
  • Découverte
  • Mouvement latéral
  • exfiltration

Chaîne de destruction cybernétique unifiée 

Reconnaissant l'importance à la fois de la cyber kill chain et du framework ATT&CK MITRE, Paul Pols a combiné les deux modèles pour créer le Chaîne de mise à mort unifiée.

Le modèle Unified Kill Chain identifie les trois phases d'une attaque comme In, Through et Out. 

Pendant la phase In, les adversaires tentent d'accéder aux systèmes et emploient les tactiques suivantes :

  • Reconnaissance
  • Développement des ressources
  • Livrer
  • Ingénierie sociale
  • Exploitation
  • Persistence
  • Évasion de la défense
  • Commander et contrôler

Au cours de la phase de passage, les adversaires tentent de se déplacer à travers et au sein du réseau et des systèmes, en utilisant les tactiques suivantes :

  • Pivotant
  • Découverte
  • Elévation de privilèges
  • Internationaux
  • Accès aux informations d'identification
  • Mouvement latéral

Enfin, la phase de sortie se produit lorsque les adversaires ont effectué leurs actions sur les objectifs. Cette phase est définie par :

  • Collection
  • exfiltration
  • Impact
  • Objectifs

Application de la Threat Intelligence à la Cyber ​​Kill Chain

Les renseignements sur les cybermenaces donnent un aperçu des motivations, des objectifs, des tactiques et des techniques de l'adversaire. Plus vous avez d'informations, mieux vous serez préparé. 

Renseignements techniques sur les menaces

Les renseignements techniques sur les menaces identifient les miettes de pain laissées par les pirates dans les systèmes, notamment :

Ces informations donnent un aperçu des phases suivantes de la chaîne de destruction cyber :

  • Livraison: les IoC et les signatures de logiciels malveillants donnent un aperçu du logiciel malveillant utilisé par l'adversaire lors de l'attaque.
  • exploitation: L'identification des vulnérabilités connues et inconnues exploitées par les pirates permet aux défenseurs d'appliquer des mises à jour de sécurité ou de rechercher des activités suspectes sur ces appareils ou réseaux. 
  • C2: L'identification des canaux C2 et des adresses IP malveillantes permet de tracer les interactions à distance avec l'environnement de l'organisation.

Renseignements sur les menaces tactiques

Intelligence tactique des menaces fournit des informations sur les TTP utilisés par les adversaires dans les attaques, notamment :

  • Modèles de trafic réseau
  • Fichiers journaux des attaques connues
  • Les escroqueries par phishing
  • Listes de blocage d'URL et d'IP

Ces informations donnent un aperçu des phases suivantes de la chaîne de destruction cyber :

  • Livraison: L'identification des escroqueries par hameçonnage connues peut aider à empêcher les acteurs malveillants d'utiliser le courrier électronique comme méthode de livraison.
  • Installation: Les fichiers journaux des attaques connues donnent un aperçu de la façon dont les adversaires utilisent et continuent d'accéder aux ressources. 
  • C2: Les modèles de trafic réseau et les listes de blocage permettent aux défenseurs d'identifier les communications suspectes et d'empêcher l'accès à partir d'emplacements malveillants.

Renseignements sur les menaces opérationnelles

Renseignements sur les menaces opérationnelles est une information exploitable sur la nature, le motif, le moment et les méthodes des acteurs de la menace. Normalement trouvées sur le Web profond ou sombre, les informations sur les menaces opérationnelles proviennent des communications de l'adversaire à travers chaînes Telegram illicites, marchés d'appareils infectés et la forums cybercriminels, contenant souvent des informations telles que :

  • Organisations qu'ils souhaitent cibler
  • Identifiants compromis à vendre
  • Ransomwares ou variantes de malwares à vendre
  • Listes d'appareils compromis pouvant être utilisés comme portes d'entrée lors d'attaques

Ces informations donnent un aperçu des phases suivantes de la chaîne de destruction cyber :

  • Reconnaissance: Les organisations ciblées, les informations d'identification compromises et les appareils compromis aident une organisation à identifier si des adversaires planifient une attaque. 
  • Livraison: Les variantes de ransomwares et de malwares disponibles à la vente fournissent des informations que les défenseurs peuvent utiliser pour empêcher ou détecter le code dans leurs environnements. 
  • Exploitation: La recherche des appareils de l'organisation sur une liste d'appareils compromis donne aux défenseurs un moyen d'empêcher l'exploitation des appareils. 

Renseignements sur les menaces unifiés et exploitables avec Flare

Avec la plate-forme facile à utiliser de Flare, vous obtenez des informations simples et exploitables sur les menaces qui font apparaître les événements en quelques secondes, et non en plusieurs jours. Notre plate-forme permet à tous les professionnels de la sécurité, en permettant aux analystes débutants de faire des recherches et en donnant aux analystes expérimentés des informations techniques détaillées. 

Utilisation de Flare Assistant alimenté par l'IA, vous surmontez les difficultés de bruit et de langage inhérentes à la surveillance des sources illicites critiques qui aide à détecter les activités de reconnaissance de l'adversaire. Notre linguiste automatisé de renseignements sur les cybermenaces traduit de manière transparente les messages du forum russe, arabe, espagnol, français et d'autres acteurs de la menace en résumés en anglais transparents qui fournissent un contexte riche. 

Commencez votre essai gratuit dès aujourd'hui.

Partager cet article
Afficher les messages

Flare

Contenu similaire

Using CTI to Help Predict Vulnerability Exploitability

En savoir plus
, ,

AlphaLock, Threat Actor Branding, and the World of Cybercrime Marketing

En savoir plus

Ransomware in Context: 2024, A Year of Tumultuous Change

En savoir plus

« Ce qui prenait environ 1500 heures peut désormais être réalisé en une semaine. Flare me permet d'habiliter des analystes débutants à mener des enquêtes sur le Web clandestin qui étaient auparavant impossibles, libérant ainsi de la bande passante. »

Spécialiste principal en cybersécurité chez un prestataire de services en gestion des cybermenaces (MSSP)

« D'autres solutions nous auraient présenté des milliers de fuites potentielles avec lesquelles il était impossible de travailler pour notre petite équipe. Flare était le seul à pouvoir filtrer et prioriser avec succès les fuites de données avec leur système de notation à 5 points. »

Directeur du renseignement sur les cybermenaces (CTI) dans une grande banque nord-américaine

« Flare nous permet de réagir rapidement lorsque des cybermenaces sont rendues publiques, ce qui nous aide à protéger notre marque et nos ressources financières contre les brèches de données. »

Responsable de la sécurité des systèmes d'information (RSSI) dans une grande banque nord-américaine

« Nous avons audité des dizaines de solutions différentes et Flare était le seul à rendre le renseignement sur les cybermenaces facile et compréhensible pour tous, avec les bonnes données. »

Conseiller cadre dans une entreprise de technologies de l'information

Commencez votre essai gratuit dès aujourd'hui

Faites l'expérience de Flare par vous-même et découvrez pourquoi Flare est utilisé par des organisations telles que des agences de sécurité publique, des sociétés du Fortune's 50, des institutions financières et des jeunes entreprises.

COMMENCEZ L'ESSAI GRATUIT
Flare logo
Démo
Essai gratuit
LinkedIn Twitter Facebook Youtube
Droits d'auteur 2024 Flare Systems, Inc.
1751 Rue Richardson, Unité 3.108, Montréal, Québec, H3K 1G6

Siège social de Flare

société de cybersécurité soc 2
Flare logo
Essai gratuit
Obtenez l'accès complet
Connexion