Sommaire
Les menaces sont diverses. Tout comme la Threat Intelligence.
Lorsqu’il s’agit d’informations sur le cyber-champ de bataille, ce qu’on appelle Cyber Threat Intelligence (CTI) peut varier considérablement, entre le flux brut d’observables, jusqu’à la curation entièrement contextualisée de modèles de menace sur mesure.
En effet, pour qu’une pratique CTI soit efficace, les analystes doivent prendre en compte l’éventail complet des indicateurs susceptibles de s’appliquer à leur organisation et tirer parti de produits de renseignement non seulement informatifs mais également exploitables. Cela signifie à la fois l’étendue de la portée et la profondeur des données.
Liste des observables basés sur STIX : les données de sécurité peuvent être très diverses.
Sur le terrain, les analystes de la sécurité opérationnelle sont chargés de fournir une détection et une réponse rapides et efficaces à leurs parties prenantes. Cela signifie que chaque élément de renseignement qu’ils recueillent doit être opérationnalisé. Par exemple, il doit être opportun : si vous fournissez des informations sur une menace après que l’attaque s’est déjà produite, ces informations ont beaucoup moins de valeur. Il est également important que votre intelligence soit précise. Si ce n’est pas le cas, cela peut faire plus de mal que de bien, par exemple en déclenchant des réactions excessives.
L’intelligence doit également être pertinente : si vous parlez de menaces qui sont rarement ou jamais utilisées contre votre propre profil d’exposition, vos opérateurs de sécurité ne voudront pas y prêter attention. Ils ont besoin d’informations qui les aideront à prendre des décisions. En d’autres termes, ils veulent des informations contextualisées.
À cette fin, nous recommandons d’organiser les renseignements sur les cybermenaces selon une approche en forme de T : analyser les menaces de manière générale tout en étant capable d’approfondir des menaces spécifiques et de sélectionner des sources pour fournir un portefeuille équilibré.
Le CTI en forme de T a les cybermenaces dans votre ligne de mire
Pour obtenir à la fois une couverture complète et une optimisation des ressources, nous croyons en une approche équilibrée et structurée de la Threat Intelligence. Nous avons appelé cette approche : la CTI en forme de T.
Les organisations doivent trouver un équilibre entre l’étendue de la portée (être capable d’articuler n’importe quel type de menace, sur n’importe quel type de vecteur) et la profondeur des données, et pouvoir exploiter chaque élément d’information provenant des tranchées.
L’intelligence en forme de T combine largeur et profondeur
Le premier composant, largeur, représente les différents composants et types de menaces qu’une organisation peut surveiller et utiliser pour enquêter. Alors que les acteurs de la menace essaient d’exploiter tous les actifs techniques possibles sur lesquels ils peuvent mettre la main, la CTI ne peut pas être restreinte à un seul type d’indicateur (tel que les adresses IP ou les hachages de fichiers). Elle doit tout englober et fournir le contexte qui aidera à trier profit de la pertinence et l’actualité de ces informations.
La deuxième dimension, la profondeur, fait référence à la capacité à tirer parti d’un volume de télémétrie sur les types d’indicateurs les plus courants. Les adresses IP sont le type d’indicateurs le plus largement utilisé. En effet, chaque tentative d’intrusion est susceptible d’en nécessiter au moins une au moins une fois lors du déplacement sur les réseaux. Mais, leur polyvalence et leur fluidité rendent également le volume écrasant lorsqu’il est mal manipulé. Pour éviter cela, il est primordial de manier des outils qui fournissent non seulement du volume, mais aussi du contexte et de la convivialité.
SEKOIA.IO CTI : Modélisation et métadonnées au cœur de l’actionnabilité
Depuis 2008, nous pensons que pour rendre les cyberattaques indolores, l’intelligence est essentielle. Nous avons créé un environnement qui combine harmonieusement les compétences avancées de nos chercheurs internes avec la technologie pour accélérer le cycle du renseignement à la vitesse de la lumière et tirer parti des résultats pour une large utilisation des renseignements sur les menaces.
En surveillant activement à la fois nos propres trackers personnalisés et nos pots de miel, sources de renseignement ouvertes (OSINT), nous sommes en mesure de modéliser finement l’activité des attaquants, en temps quasi réel. Cela nous permet de fournir à nos clients des informations détaillées aux différents niveaux requis : des indicateurs techniques pour la chasse et l’investigation de bas niveau, jusqu’à la vision stratégique soutenant la prise de décision de l’organisation de sécurité.
Cette approche d’enrichissement est un complément parfait de la télémétrie/données que les partenaires technologiques peuvent fournir. La Threat Intelligence de SEKOIA est toujours entièrement modélisée et contextualisée. Cela signifie qu’au-delà des indicateurs techniques, nous fournissons des métadonnées permettant aux équipes de sécurité de trier plus rapidement les informations pertinentes. Notre modélisation native des menaces est conforme aux dernières normes ouvertes telles que STIX 2.1, auxquelles nous avons d’ailleurs contribué en tant que membre du comité technique OASIS.
Unir nos forces au profit des équipes de sécurité
Qu’est-ce que cela signifie pour les analystes de sécurité ? Cela signifie que la conservation d’un portefeuille équilibré de CTI est une expertise qu’ils peuvent sous-traiter à SEKOIA. Nous travaillons en partenariat avec divers courtiers en données pour améliorer continuellement notre couverture sans compromettre la qualité de nos flux. Par exemple, nous pouvons compter sur une télémétrie réseau supplémentaire obtenue auprès de partenaires de confiance. Des indicateurs révélant des groupes d’attaquants spécifiques aux informations sur leurs outils et procédures et au-delà, les menaces auront beaucoup moins de place pour se cacher.Merci d’avoir lu cet article. Vous pouvez également lire cette enquête où nous partageons des informations sur la manière dont notre CTI nous a permis de suivre et de détecter cobalt strike.
Lire aussi :