Essai gratuit
Obtenez l'accès complet
Connexion

Le cycle de vie des informations sur les menaces : un guide définitif pour 2023

Picture of Flare
Flare
  • Reading time: 5 min
Fond bleu dégradé. Il y a un ovale orange clair avec le texte blanc "BLOG" à l'intérieur. En dessous, il y a un texte blanc : "Le cycle de vie des informations sur les menaces : un guide définitif pour 2023". Il y a un texte blanc sous celui qui dit "En savoir plus" avec une flèche orange clair pointant vers le bas.

La mise en place d'un programme efficace de renseignement sur les menaces qui diffuse des données exploitables qui se traduisent par une réduction des risques dans le monde réel n'a jamais été aussi critique qu'en 2023. Les menaces pesant sur les entreprises, allant des risques géopolitiques aux groupes de rançongiciels sophistiqués, continuent de proliférer tandis que de nombreuses équipes de sécurité peinent à en intégrer des dizaines. d'outils ensemble et restez au courant des menaces émergentes. Cet article couvre chaque étape du cycle de vie de Cyber ​​Threat Intelligence et fournit des recommandations pratiques aux équipes CTI.

Qu'est-ce que le cycle de vie des renseignements sur les menaces ?

La renseignements sur les menaces Le cycle de vie est le cadre de renseignement sur les menaces que les équipes CTI utiliseront lorsqu'elles seront invitées à mener une enquête spécifique ou à préparer des rapports sur certaines menaces. Les types de menaces qui préoccupent les organisations varient considérablement. Une grande institution financière peut demander à une équipe de renseignement sur les menaces de préparer des rapports sur les menaces avancées et persistantes d’un État-nation qui ciblent les institutions financières. À l’inverse, une équipe de renseignement sur les menaces dans le secteur des soins de santé de taille moyenne peut être invitée à analyser groupe de rançongiciels tactiques, techniques et procédures ciblage organismes de soins de santé.

Travailler à chaque étape du cycle de vie des informations sur les menaces fournit aux organisations une structure cohérente qui peut aider à garantir que les résultats des informations sur les menaces sont exploitables, conformes aux objectifs de gestion des risques et diffusés aux parties prenantes appropriées de l'organisation. 

Résumé:

  • Le cycle de vie Threat Intelligence comprend 6 phases : identification des exigences, collecte, traitement, analyse, diffusion et retour d'information 
  • Les équipes CTI peuvent appliquer le cycle de vie des renseignements sur les menaces pour analyser une gamme de menaces, notamment les risques géopolitiques, les vulnérabilités, les groupes de cybercriminalité, les menaces persistantes avancées et les menaces de fraude, entre autres.
  • Le cycle de vie des informations sur les menaces permet de garantir que les résultats et les analyses de l'équipe CTI sont correctement alignés sur la gestion des risques et les objectifs commerciaux.
  • S'assurer que les données sur les menaces sont efficacement diffusées est essentiel pour apporter de la valeur aux équipes de gestion des risques et aux dirigeants

Comprendre le cycle de vie des renseignements sur les menaces

Les renseignements sur les menaces ne fonctionnent pas dans le vide, les équipes CTI sont généralement affectées à des tâches et des enquêtes spécifiques en fonction des besoins de l'entreprise. Les équipes de renseignement sur les menaces progressent ensuite à travers un cycle de vie d'activités qui leur permet de clarifier les exigences, de collecter et de traiter des données, d'analyser des informations structurées et de diffuser des renseignements exploitables aux unités commerciales concernées.

Le cycle de vie Threat Intelligence est représenté dans un cercle avec les six phases étiquetées dans le sens des aiguilles d'une montre à partir du haut. L'arrière-plan est bleu marine et il y a des icônes bleues à côté de chacune des six phases : Phase 1 Détermination des exigences en matière de renseignements sur les menaces, Phase 2 Collecte de renseignements sur les menaces, Phase 3 Traitement des renseignements sur les menaces, Phase 4 Analyse des renseignements sur les menaces, Phase 5 Diffusion des renseignements sur les menaces et Phase 6 Rétroaction.
Le cycle de vie des renseignements sur les menaces comprend six phases : Phase 1) Définition des exigences en matière de renseignements sur les menaces, Phase 2) Collecte de renseignements sur les menaces, Phase 3) Traitement des renseignements sur les menaces, Phase 4) Analyse des renseignements sur les menaces, Phase 5) Diffusion des renseignements sur les menaces et Phase 6) Rétroaction.

Phase 1 du cycle de vie CTI : définition des exigences en matière de renseignements sur les menaces 

Outre le travail quotidien de renseignement sur les menaces, comme la surveillance des marchés du dark web et des forums pour les mentions d'entreprises, la plupart des projets de renseignement sur les menaces commencent par l'identification des exigences. Au cours de cette phase, l'équipe CTI ou les responsables de la collecte de renseignements s'interfaceront directement avec d'autres unités commerciales ou cadres pour déterminer quel type de renseignements doit être recueilli et quel est l'objectif du projet. L'identification des exigences est essentielle pour s'assurer que les processus CTI s'alignent correctement sur les objectifs commerciaux et de gestion des risques, et fournissent des informations pouvant être actionnées par les parties prenantes concernées. 

Pour les besoins de cet exemple de cycle de vie des informations sur les menaces, nous allons supposer que l'équipe CTI a été chargée de collecter des informations sur les courtiers d'accès initiaux sur les marchés du dark web. Plus précisément, nous supposerons que l'équipe CTI a été invitée à :

  • Identifier les courtiers d'accès initiaux (cybercriminels qui piratent les environnements informatiques d'entreprise, puis vendent leur accès à d'autres criminels sur des forums spécialisés sur le dark web) ciblant les entreprises de santé
  • Créez une liste de personnes que les courtiers d'accès initiaux utilisent, ainsi que des données pertinentes sur la taille des organisations qu'ils attaquent
  • Recueillir des informations pertinentes sur toutes les tactiques, techniques et procédures (TTP) identifiables que les acteurs de la menace utilisent pour accéder ou élever les privilèges 
  • Fournir des recommandations à l'organisation sur la manière dont elle peut réduire le risque associé à la compromission par un courtier d'accès initial

Phase 2 du cycle de vie CTI : Collecte de renseignements sur les menaces

Au cours de cette phase, les sources de renseignements sur les menaces sont identifiées et la collecte de données brutes commence. Si l'organisation utilise une plate-forme dédiée aux renseignements sur les menaces, les données peuvent être collectées directement à partir de la plate-forme, sinon les données peuvent être collectées à partir de sources pertinentes. 

Dans ce cas, l'équipe examinerait probablement des forums Web sombres spécialisés qui sont utilisés par les courtiers d'accès initiaux pour vendre aux enchères l'accès aux environnements informatiques d'entreprise. S'ils utilisaient une plate-forme de renseignement sur les menaces, ces données pourraient se présenter sous un format structuré, sinon il est probable qu'ils extrairaient manuellement les données de pages Web spécifiques sur TOR.

Phase 3 du cycle de vie CTI : traitement des renseignements sur les menaces

Une fois que les données pertinentes ont été collectées au cours de la phase de collecte de renseignements sur les menaces, l'équipe se met à les traiter. Cela implique de filtrer les données non pertinentes qui ont été collectées de manière fortuite, de structurer les données pour faciliter la phase d'analyse et de regrouper les données similaires pouvant être utilisées lors de la phase d'analyse. Cette étape pourrait impliquer :

  • Créer des feuilles de calcul et relier des éléments de données disparates pour créer un contexte pour les événements et les actifs
  • Téléchargement des IOC fournis par le fournisseur vers un outil SIEM ou SOAR pour les comparer au trafic réel 
  • Dans notre exemple, l'équipe CTI créerait probablement une matrice pour montrer les relations entre les courtiers d'accès initiaux, les données TTP identifiables découvertes lors de la collecte, ainsi que les forums et marchés spécifiques sur lesquels ils opèrent.

Phase 4 du cycle de vie CTI : Analyse des renseignements sur les menaces

La phase d'analyse est essentielle pour fournir à l'entreprise des données exploitables et pertinentes qui peuvent être utilisées pour réduire les risques ou éclairer les décisions de sécurité des informations de l'entreprise. Au cours de la phase d'analyse, les analystes des renseignements sur les menaces travailleront pour créer un contexte significatif et des renseignements exploitables à partir des données qui ont été formatées et structurées au cours de la phase de traitement. Les équipes d'analystes CTI doivent s'assurer que :

  • L'analyse communique efficacement et clairement au bon public. L'analyse axée sur les vulnérabilités couramment exploitées et destinée à l'équipe de gestion des vulnérabilités peut être très technique, mais les rapports destinés au conseil d'administration et aux autres cadres doivent être axés sur des recommandations et des risques exploitables.
  • L'analyse doit être aussi détaillée que nécessaire pour expliquer clairement les résultats et fournir des recommandations
  • Dans notre exemple, l'équipe CTI fournirait probablement un contexte autour des IAB découverts sur le dark web, identifierait ceux qui représentent la plus grande menace pour l'organisation et fournirait des informations supplémentaires sur les TTP identifiables et les contre-mesures.

Phase 5 du cycle de vie CTI : Dissémination des renseignements sur les menaces

Lors de la diffusion, les informations pertinentes sur les menaces sont envoyées aux différentes unités commerciales qui pourraient en tirer de la valeur et qui ont été identifiées lors de la phase « Identifier les besoins ». Bien qu'il s'agisse apparemment de l'une des phases les plus simples, de nombreuses organisations ne parviennent pas à garantir efficacement que les données exploitables sur les menaces parviennent aux bonnes parties prenantes d'une organisation. Voici quelques bonnes pratiques que vous pouvez utiliser pour améliorer la diffusion des renseignements sur les menaces :

  • Envisagez de créer différentes versions de renseignements sur les menaces « terminés » à différents niveaux de technicité pour apporter de la valeur aux parties prenantes des équipes techniques, des équipes de gestion des risques et au niveau de la direction.
  • Au fur et à mesure que votre équipe progresse dans le cycle de vie des renseignements sur les menaces, prenez le temps d'identifier d'autres unités commerciales susceptibles de bénéficier des renseignements finis

Phase 6 du cycle de vie CTI : commentaires

Une fois que les renseignements ont été envoyés aux unités commerciales et aux personnes concernées, il est temps de recueillir les commentaires de l'organisation pour déterminer si l'analyse des renseignements a été opportune, pertinente et exploitable. Vous trouverez ci-dessous quelques bonnes questions directrices que vous pouvez poser pour recevoir des commentaires qui peuvent être utilisés pour améliorer la collecte et l'analyse futures de renseignements.

  • Le produit de renseignement fini a-t-il entraîné des actions qui ont réduit les risques pour une ou plusieurs unités commerciales ?
  • L'intelligence finie était-elle au bon niveau de détail technique pour que les différentes équipes puissent facilement la comprendre et l'exploiter ?
  • Y avait-il des unités d'affaires qui auraient pu bénéficier du travail qui ne l'ont pas reçu ?

Accélérez le cycle de vie des renseignements sur les menaces avec Flare

La fusée Gestion de l'exposition aux menaces (TEM) La solution permet aux organisations de détecter, hiérarchiser et atténuer de manière proactive les types d’expositions couramment exploitées par les acteurs de la menace. Notre plateforme analyse automatiquement le Clear & Dark Web et les canaux Telegram illicites 24h/7 et XNUMXj/XNUMX pour découvrir des événements inconnus, hiérarchiser les risques et fournir des informations exploitables que vous pouvez utiliser instantanément pour améliorer la sécurité.

Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Apprenez-en davantage en vous inscrivant à notre essai gratuit.

Partager cet article
Afficher les messages

Flare

Contenu similaire

Using CTI to Help Predict Vulnerability Exploitability

En savoir plus
, ,

AlphaLock, Threat Actor Branding, and the World of Cybercrime Marketing

En savoir plus

Ransomware in Context: 2024, A Year of Tumultuous Change

En savoir plus

« Ce qui prenait environ 1500 heures peut désormais être réalisé en une semaine. Flare me permet d'habiliter des analystes débutants à mener des enquêtes sur le Web clandestin qui étaient auparavant impossibles, libérant ainsi de la bande passante. »

Spécialiste principal en cybersécurité chez un prestataire de services en gestion des cybermenaces (MSSP)

« D'autres solutions nous auraient présenté des milliers de fuites potentielles avec lesquelles il était impossible de travailler pour notre petite équipe. Flare était le seul à pouvoir filtrer et prioriser avec succès les fuites de données avec leur système de notation à 5 points. »

Directeur du renseignement sur les cybermenaces (CTI) dans une grande banque nord-américaine

« Flare nous permet de réagir rapidement lorsque des cybermenaces sont rendues publiques, ce qui nous aide à protéger notre marque et nos ressources financières contre les brèches de données. »

Responsable de la sécurité des systèmes d'information (RSSI) dans une grande banque nord-américaine

« Nous avons audité des dizaines de solutions différentes et Flare était le seul à rendre le renseignement sur les cybermenaces facile et compréhensible pour tous, avec les bonnes données. »

Conseiller cadre dans une entreprise de technologies de l'information

Commencez votre essai gratuit dès aujourd'hui

Faites l'expérience de Flare par vous-même et découvrez pourquoi Flare est utilisé par des organisations telles que des agences de sécurité publique, des sociétés du Fortune's 50, des institutions financières et des jeunes entreprises.

COMMENCEZ L'ESSAI GRATUIT
Flare logo
Démo
Essai gratuit
LinkedIn Twitter Facebook Youtube
Droits d'auteur 2024 Flare Systems, Inc.
1751 Rue Richardson, Unité 3.108, Montréal, Québec, H3K 1G6

Siège social de Flare

société de cybersécurité soc 2
Flare logo
Essai gratuit
Obtenez l'accès complet
Connexion