Blog
Support

Qu'est-ce que le renseignement sur les menaces ?

Le renseignement sur les menaces est une connaissance fondée sur des preuves concernant une menace ou un danger existant ou émergent pour les actifs qui peut être utilisée pour éclairer les décisions concernant la réponse du sujet à cette menace ou à ce danger.

Présentation du renseignement sur les menaces

Le renseignement sur les cybermenaces est un sous-ensemble du renseignement axé sur la sécurité de l'information. Ces informations sélectionnées sont destinées à vous aider à prendre de meilleures décisions quant à la manière de vous défendre et de défendre votre entreprise contre les cybermenaces. Les renseignements sur les menaces peuvent répondre aux questions suivantes :

Qui sont mes adversaires et comment pourraient-ils m'attaquer ?
Comment les vecteurs d'attaque affectent-ils la sécurité de mon entreprise ?
À quoi mes équipes chargées des opérations de sécurité doivent-elles être attentives ?
Comment puis-je réduire le risque d'une cyberattaque contre mon entreprise ?

« Les renseignements sur les menaces sont des connaissances fondées sur des preuves, y compris le contexte, les mécanismes, les indicateurs, les implications et les conseils pratiques, concernant une menace ou un danger existant ou émergent pour les actifs, qui peuvent être utilisées pour éclairer les décisions concernant la réponse du sujet à cette menace ou à ce danger. »

Définition du renseignement sur les menaces par Gartner

Niveaux de renseignement sur les menaces

Les renseignements sur les cybermenaces sont généralement considérés à trois niveaux :

Stratégique : répondre au « qui » et au « pourquoi »
Opérationnel : répondre au comment et au où
Tactique : répondre au quoi

L'utilisation de chaque instance de renseignement est importante car elle remplit des fonctions différentes. Les analystes qui tirent parti de la somme des connaissances de ces trois types de renseignements sont mieux à même de déterminer quelles solutions de sécurité utiliser, comment les exploiter et comment répondre aux menaces de manière proactive et réactive.type of intelligence is important because they serve different functions. Analysts leveraging the sum knowledge of these three types of intelligence are better able to determine what security solutions to use, how they should be leveraged, and how to proactively and reactively respond to threats.

Tapez
Slogan
Demi-vie d'utilité
Concentrez-vous
Construit sur l'analyse de
Types de données de sortie
Stratégique
Qui ?
Pourquoi ?
Longue (pluriannuelle)
Non technique
Grandes campagnes, groupes, intrusions impliquant plusieurs victimes (et informations opérationnelles)
Rédaction détaillée sur la victimologie, la méthodologie YoY, la cartographie des intrusions et des campagnes en fonction des conflits, des événements et des pressions géopolitiques
Opérationnel
Comment ? Où ?
Moyen (un an et plus)
Mixte
Familles complètes de malwares, groupes de menaces, analyse du comportement humain (et informations tactiques)
Rédaction abrégée, listes à puces, sur : les techniques de persistance et de communication, les victimes, les profils de groupe, les profils familiaux, les descriptions TTP, les déclencheurs, les modèles et les règles méthodologiques
Tactique
Quoi ?
Court (mois)
Technique
Événements de sécurité, échantillons de malwares individuels, e-mails de phishing, infrastructure pour les attaquants
Indicateurs atomiques et lisibles par machine tels que les adresses IP, les domaines, les IOC, les « signatures »
TACTIQUE
OPÉRATIONNEL
STRATÉGIQUE

Renseignements tactiques sur les menaces

Le renseignement tactique sur les menaces est la forme la plus élémentaire de renseignement sur les menaces. Il s'agit de vos indicateurs courants de compromission (IOC). Le renseignement tactique est souvent utilisé pour la détection automatique des menaces et pour les intervenants en cas d'incident afin de rechercher des artefacts spécifiques dans les réseaux d'entreprise.

Utilisation de renseignements tactiques sur les menaces

Les renseignements tactiques sur les menaces et les IOC sont destinés à documenter les cyberattaques de manière historique, en servant à la fois de corpus de preuves (à des fins de conformité, d'application de la loi, d'enquêtes, à des fins juridiques, etc.) et de matériel de référence permettant aux analystes d'interpréter et d'extraire le contexte à utiliser dans le cadre d'opérations défensives.

Les IoC sont fournis aux analystes pour servir d'exemples d'une menace particulière, comme un échantillon de malware, une famille de logiciels malveillants, une campagne d'intrusion ou un acteur de la menace. Les analystes peuvent enrichir les alertes des solutions de sécurité avec des informations tactiques sur les menaces afin de fournir plus de contexte et de déterminer quelles menaces méritent d'être préoccupées et lesquelles peuvent être ignorées en toute sécurité.

Renseignements tactiques sur les menaces pour APT29

628d4f33bd604203d25dbc6a5bb35b90
2aabd78ef11926d7b562fd0d91e68ad3
3d3363598f87c78826c859077606e514
meek-reflect.appspot.com
portail.sbn.co.th
202,28,231,44
hxxps : //files.counseling [.] org/eFax/incoming/150721/5442.zip
googleService.exe
GoogleUpdate.exe
acrotray.exe
PCI \ VEN_80EE&DEV_CAF

Renseignements tactiques sur les menaces pour le secteur de l'éducation

d9b7b0eda8bd28e8934c5929834e5006
support @securitygrade [.] org
46,244,4,37

Renseignements sur les menaces opérationnelles

Le renseignement opérationnel sur les menaces fournit un aperçu des méthodologies des acteurs et expose les risques potentiels. Il alimente des programmes de détection, de réponse aux incidents et de chasse plus pertinents. Alors que le renseignement tactique fournit aux analystes le contexte de menaces déjà connues, le renseignement opérationnel rapproche les enquêtes de la découverte de menaces totalement nouvelles.

Ce type de renseignement est le plus souvent utilisé par les enquêteurs judiciaires et les intervenants en cas d'incident et comprend généralement les types d'éléments suivants :

Outils destinés à des groupes de menaces particuliers (services publics, familles de portes dérobées, infrastructures communes)
Tactiques, techniques et procédures (TTP) pour des groupes de menaces particuliers (répertoires intermédiaires, conventions de dénomination des fichiers, ports, protocoles, types de fichiers favoris)
TTP émergents (nouvelles méthodes de persistance, exploits, systèmes de phishing)

Du point de vue de la réponse aux incidents, considérez les points suivants : si vous répondez à un événement d'intrusion, vous vous demandez peut-être comment un acteur en particulier procède à une escalade de privilèges, à un mouvement latéral ou à un vol de données. Si vous recherchez une activité malveillante non découverte, vous pouvez commencer votre recherche en recherchant le comportement d'un acteur spécifique. Quel que soit votre scénario, vous devez répondre à la question « Comment recherchez-vous cet acteur dans votre environnement ? »

Utilisation de renseignements opérationnels sur les menaces

Les renseignements opérationnels sur les menaces sont des connaissances acquises en examinant les détails des attaques connues. Un analyste peut se faire une idée précise de la méthodologie des acteurs en rassemblant des indicateurs tactiques et des artefacts pour les intégrer au renseignement opérationnel. Cela peut aider à atteindre un certain nombre d'objectifs défensifs, tels que l'amélioration des plans de réponse aux incidents et des techniques d'atténuation pour les attaques et les incidents futurs.

Les analystes peuvent également mettre en œuvre et renforcer un programme de découverte proactif (« programme de chasse ») pour identifier les fichiers suspects et les activités qui ont contourné les technologies de sécurité traditionnelles. À partir de là, ils peuvent développer des méthodologies de détection qui ne dépendent pas des IOC, garantissant une couverture plus large des menaces en temps opportun.

Exemples de renseignements sur les menaces opérationnelles

Exemple de renseignement sur les menaces opérationnelles pour APT29
Vecteur d'infection préféré : spear phishing avec RAR auto-extractible
Familles de malwares de premier stade : COZYCAR, SWIFTKICK, TADPOLE
Familles de malwares de deuxième phase : SEADADDY, MINIDIONIS, SPIKERUSH
Techniques de persévérance
  • Tâches planifiées pour la plupart des portes dérobées
  • WMI par installation manuelle pour les portes dérobées qui n'ont pas de persistance intégrée
  • Remplacement légitime du fichier de rapport d'erreurs Windows (wermgr.exe)
Utilisation de TOR pour C2
Utilisation de Google Docs pour C2
Utilisation de Google Cloud Apps pour le transfert C2 (en tant que proxy)
Utilisation de requêtes HTTP POST supérieures à 443 pour C2
Utilisation de portes dérobées configurées pour les ports 1, 80, 443, 3389 pour C2
Utilisation de scripts PowerShell
Utilisation de Py2Exe pour modifier et recompiler les portes dérobées avec des variations dans les protocoles C2 et l'infrastructure C2
Exemple de renseignement sur les menaces opérationnelles pour le secteur de l'éducation
Les vecteurs d'attaque courants sont le spear phishing, les trous d'eau et l'injection SQL
Professeurs d'université spécialisés dans l'intégration des nouvelles technologies dans les salles de classe
Le spear phishing destiné aux recruteurs et aux personnes impliquées dans les processus de recrutement
Les attaques les plus courantes sont le spear-phishing et l'injection SQL (SQLi)
Familles de malwares courantes : PISCES, SOGU, LOGJAM, COBALT, COATHOOK, POISONIVY, NJRAT, NETWIRE
Familles de pentests courantes : Meterpreter, PowerShell Empire, Metasploit Framework
Utilisation de Dropbox pour C2
Utilisation de protocoles HTTPS et TCP personnalisés pour C2
Utilisation des TLD .ru et .su pour les domaines C2
Utilisation de yandex.ru et bk.ru pour les adresses e-mail
Vol de bases de données contenant les noms des étudiants, les informations administratives, les informations de facturation, les numéros de sécurité sociale et d'autres informations d'identification personnelle.

Renseignements stratégiques sur les menaces

Les renseignements stratégiques sur les menaces fournissent une vue d'ensemble de l'évolution des menaces et des attaques au fil du temps. Le renseignement stratégique sur les menaces peut permettre d'identifier les tendances historiques, les motivations ou les attributions quant à l'identité des personnes à l'origine d'une attaque. Connaître l'identité et le pourquoi de vos adversaires fournit également des indices sur leurs opérations et tactiques futures. Cela fait du renseignement stratégique un point de départ solide pour décider quelles mesures défensives seront les plus efficaces.

Les renseignements stratégiques sur les menaces peuvent inclure des informations sur les sujets suivants :

Attribution pour les intrusions et les violations de données
Tendances des groupes d'acteurs
Ciblage des tendances pour les secteurs industriels et les zones géographiques
Associer les cyberattaques aux conflits et événements géopolitiques (mer de Chine méridionale, printemps arabe, Russie-Ukraine)
Statistiques mondiales sur les violations, les logiciels malveillants et le vol d'informations
Le TTP des principaux attaquants change au fil du temps

Utilisation de renseignements stratégiques sur les menaces

Le renseignement stratégique sur les menaces repose sur un vaste ensemble de connaissances et comprend des avis d'experts et des idées qui sont basés sur l'agrégation de renseignements opérationnels et tactiques sur les menaces provenant de cyberattaques connues. Ces informations sont particulièrement utiles pour les personnes occupant des postes de direction, tels que les RSSI et les dirigeants, qui doivent justifier leurs budgets et prendre des décisions d'investissement plus éclairées. Le renseignement stratégique sur les menaces peut notamment être utilisé pour :

Informez vos dirigeants sur les acteurs de menaces à haut risque, les scénarios de risque pertinents et l'exposition aux menaces dans la sphère technologique destinée au public et dans la clandestinité criminelle.
Effectuez une analyse approfondie des risques et un examen de l'ensemble de la chaîne d'approvisionnement technologique.
Découvrez les entreprises commerciales, les fournisseurs, les entreprises partenaires et les produits technologiques les plus susceptibles d'augmenter ou de réduire les risques pour l'environnement de votre entreprise.

Exemples de renseignements stratégiques sur les menaces

Renseignements stratégiques sur les menaces pour APT29
APT29 est un acteur basé en Russie qui se livre généralement au cyberespionnage dans le but de voler des données.
Parmi les victimes de l'APT29 figurent de nombreuses organisations mondiales dans les domaines du gouvernement, de l'éducation, de la haute technologie, de la finance, des organisations à but non lucratif, de l'industrie pharmaceutique et de la base industrielle de défense.
APT29 est un groupe sophistiqué et adaptable capable de développer des outils d'attaque personnalisés, une infrastructure de commande et de contrôle alambiquée. Contrairement aux comportements historiques des acteurs parrainés par l'État russe, ce groupe a l'audace de continuer à fonctionner longtemps après avoir été détecté.
L'APT29 a toujours été chargée de mener des opérations liées à des questions de politique étrangère des gouvernements, en particulier celles liées au conflit russo-ukrainien. En outre, le groupe a pris pour cible plusieurs agences gouvernementales nationales occidentales, des sous-traitants du secteur de la défense et du gouvernement, ainsi que des institutions universitaires.
Renseignements stratégiques sur les menaces pour le secteur de l'éducation
L'infrastructure informatique éducative compte une base d'utilisateurs diversifiée et comprend donc généralement une myriade de systèmes d'exploitation, de types d'ordinateurs, de logiciels et de tonnes de serveurs et de sites Web accessibles au public depuis Internet. Cela fait des universités et des centres de recherche universitaires des cibles de choix pour les attaquants, à la fois en tant que lieux où voler des données précieuses et en tant que points de départ pour d'autres opérations d'intrusion.
Le secteur de l'éducation continuera de subir des activités de cyberespionnage dans un avenir proche. Nous attendons des acteurs de la menace de Chine, de Russie, d'Iran et d'autres pays qu'ils mènent des opérations d'espionnage à des fins de vol de données, d'informations commerciales, de renseignement économique et de surveillance de la diaspora.
Plusieurs groupes ont été observés en train de mener des opérations d'intrusion qui ont touché des institutions universitaires, notamment des universités et des centres de recherche :
  • APT10 alias « MenuPass Group »
  • APT22 alias « Barista Team »
  • APT29 alias « The Dukes »

Renseignements sur les menaces et objectifs commerciaux

Le renseignement sur les menaces a toujours un objectif pour éclairer la prise de décisions et inciter à l'action. Cependant, il n'est pas rare que les entreprises aient du mal à déterminer la valeur de leur équipe, de leurs processus et de leurs outils de renseignement sur les menaces. La terminologie du renseignement sur les menaces n'est généralement pas compatible avec le lexique commercial, ce qui entraîne des malentendus quant à son objectif et à sa valeur.

Les entreprises peuvent aider à tirer parti de leurs programmes de renseignement en les alignant sur un ensemble de priorités générales au niveau macroéconomique, comme indiqué ci-dessous (pas exhaustif) :

Augmentez vos revenus
Diminution des dépenses
Réduire et atténuer les risques
Satisfaction et fidélisation de la clientèle
Satisfaction et rétention des employés
Conformité - Réglementation

Une fois que l'équipe chargée du renseignement sur les menaces comprend les objectifs commerciaux, elle peut aligner ses opérations et ses efforts pour soutenir l'entreprise. Les priorités commerciales ne seront pas toutes parfaitement alignées sur les capacités de renseignement sur les menaces, et ce n'est pas grave. Vous pouvez développer la granularité et les nuances au fur et à mesure que vous définissez vos exigences. Voici quelques objectifs de départ pour toute équipe de renseignement sur les menaces :

Réduire les dépenses liées à la fraude et à la cybercriminalité
  • Collaborez avec l'équipe chargée des fraudes pour déterminer les 3 à 5 principaux types de fraude et demandez-leur quelles informations pourraient les aider à détecter et à prévenir de telles fraudes à l'avenir.
Prévenir la perte de données
  • Que révèle l'analyse des tickets d'incident sur la nature et le type de données ciblées lors de précédentes violations de données ?
  • Quelles vulnérabilités ont été exploitées et par quels moyens ?
Protégez les informations personnelles
  • Quels systèmes stockent les informations personnelles et comment les vulnérabilités de ces systèmes correspondent-elles à des vecteurs d'exploitation connus ?
Réduire les risques commerciaux
  • Les TI peuvent se concentrer sur la réduction des risques liés à la perte de données et aux menaces externes en identifiant les acteurs et en recueillant des informations sur les menaces externes ciblant leur secteur d'activité, en s'assurant que des techniques et des mécanismes de détection sont en place et capables de détecter ces menaces.

Évolution du renseignement sur les menaces

Le renseignement sur les menaces continuera d'évoluer et constituera une fonction de sécurité clé. L'intégration de renseignements tactiques, opérationnels et stratégiques sur les menaces fournira des informations précieuses sur les IOC et les méthodologies des acteurs de la menace. Cela permettra de créer des environnements plus sécurisés dans lesquels vous pourrez identifier vos adversaires. Un nombre croissant d'organisations des secteurs public et privé utilisent désormais les renseignements sur les cybermenaces. Une étude récente publiée par le Ponemon Institute a révélé que 80 % des organisations l'utilisent et qu'un pourcentage encore plus élevé le considère comme essentiel.

Les organisations qui utilisent le renseignement sur les cybermenaces font face à de nombreux défis en matière de sécurité. Ils détectent les menaces avancées et y répondent. Ils préviennent les violations de données et protègent les informations sensibles. Ils réduisent les coûts liés à la cybercriminalité et à la fraude. Plus important encore, ils réduisent le risque commercial global.

En savoir plus sur les renseignements sur les menaces

Les informations de cette page devraient vous permettre de bien comprendre ce qu'est le renseignement sur les cybermenaces et la valeur qu'il apporte. Il ne s'agit toutefois que d'un point de départ. Outre ces informations, Anomali propose de nombreuses ressources qui peuvent vous aider à prendre une décision intelligente quant aux raisons pour lesquelles vous devriez ajouter des fonctionnalités de renseignement sur les cybermenaces à votre pile de sécurité et à la manière de les intégrer avec un minimum de friction.

Datasheet

Anomali Intelligence Initiatives

Lire la fiche technique

White Paper

North America Cyber Threat Landscape from Anomali Threat Research

Lisez le livre blanc

White Paper

SANS 2020 Cyber Threat Intelligence (CTI) Survey Results

Lisez le livre blanc

White Paper

2019 Ponemon Report: The Value of Threat Intelligence from Anomali

Lisez le livre blanc

White Paper

SANS 2019 Cyber Threat Intelligence (CTI) Survey Results

Lisez le livre blanc
Aucun article n'a été trouvé.

eBook

Cyber Threat Intelligence Programs: What’s Needed to Keep Up? | ESG Research & Anomali eBook

Lisez le livre électronique

eBook

Mighty Guides: 7 Experts on Enhancing Your Security Defenses by Focusing on Your Adversaries

Lisez le livre électronique

eBook

Intelligently Evolving with Your Adversaries and Attackers

Lisez le livre électronique

eBook

Using Diverse Threat Intel Feeds to Maximize Your Intelligence Data

Lisez le livre électronique

Infographic

Seven Cybersecurity Experts on Creating Cyber Fusion

voir l'infographie

Video

VirtuPort TV Interviews Anomali at MENA ISC

Regardez la vidéo

Video

Anomali Overview

Regardez la vidéo

Video

Introduction to Threat Intelligence

Regardez la vidéo

Video

What is a Threat Intelligence Ecosystem?

Regardez la vidéo

Webinar

Insights for CISOs: Threat Intelligence | Frost & Sullivan and Anomali

Regardez le webinaire

Webinar

Adopting an Intelligence-Driven Security Model Panel Discussion

Regardez le webinaire

Webinar

Attackers Continue to Evolve; Learn How Defenders Keep Pace

Regardez le webinaire

Webinar

Detect LIVE April 22 – Power of Cyber Threat Intelligence Illustrated | Microsoft

Regardez le webinaire

BLOG

5 Crucial Use Cases for Threat Intelligence Platforms

Read the blog

BLOG

Leveraging Data Enrichment in Cyber Threat Intelligence (CTI)

Read the blog

BLOG

A Deep Dive into Different Types of Threat Intelligence

Read the blog

BLOG

Threat Intelligence is a Core Component of a Zero Trust Architecture (ZTA)

Read the blog

BLOG

Focusing on Your Adversary

Read the blog

BLOG

The Need to Share

Read the blog

BLOG

Is XDR Right for Your Enterprise? To Answer the Question, You Need to Know What XDR Is

Read the blog

BLOG

Anomali August Quarterly Product Release: Achieving Cyber Fusion

Read the blog

BLOG

Actionable Threat Intelligence Available for Sunburst Cyber Attacks on SolarWinds

Read the blog

BLOG

Give Splunk (and Your Security Team) a Helping Hand with Threat Intelligence

Read the blog

BLOG

What is Threat Intelligence?

Read the blog

BLOG

What is Strategic Threat Intelligence?

Read the blog

BLOG

Generating Your Own Threat Intelligence Feeds in ThreatStream

Read the blog

BLOG

The Intersection of Threat Intelligence and Business Objectives

Read the blog

BLOG

What is Operational Threat Intelligence?

Read the blog

BLOG

Making Sense of a 'Threat Intelligence Platform'

Read the blog

BLOG

Making a Case for Internal Threat Intelligence

Read the blog

BLOG

5 Reasons Why Threat Intelligence Matters to Your Company

Read the blog

BLOG

Building a Threat Intelligence Environment

Read the blog

BLOG

The Importance of Managing Threat Intelligence

Read the blog

BLOG

Mind the Threat Intelligence Gap with a Strong Cybersecurity Strategy

Read the blog

BLOG

Cyber Threat Intelligence Saves Enterprises Millions

Read the blog

BLOG

Top 5 Cyber Threat Intelligence Training Resources to Check Out

Read the blog

BLOG

Threat Hunting: Eight Tactics to Accelerating Threat Hunting

Read the blog
Trier par date (Desc)
Parcourez toutes les ressources