Zpedia 

/ Que sont les renseignements sur les menaces ?

Que sont les renseignements sur les menaces ?

Les renseignements sur les menaces désignent le processus permettant de collecter, d’analyser et de diffuser des informations sur les cybermenaces présumées, émergentes et actives, y compris les vulnérabilités, les tactiques, techniques et procédures (TTP) des acteurs malveillants, et les indicateurs de compromission (IOC). Les équipes de sécurité utilisent les renseignements sur les menaces pour identifier et atténuer les risques, renforcer les contrôles de sécurité et éclairer une réponse proactive aux incidents.

Découvrir les analyses mondiales sur les menaces Internet de ThreatLabz
Protection contre les menaces en ligne
  1. Pourquoi c'est important
  2. Types de renseignements
  3. Qui en bénéficie
  4. Cycle de vie en 6 étapes
  5. Outils disponibles
  6. Cas d'utilisation
  7. Rôle de Zscaler
  8. Ressources suggérées
  9. Autres thèmes similaires

En quoi les renseignements sur les menaces sont-ils importants ?

Dans le paysage actuel des menaces, en constante évolution et en pleine croissance, les renseignements sur les menaces jouent un rôle essentiel dans la protection des utilisateurs, des données et de la réputation des entreprises en les aidant à mieux comprendre les menaces potentielles et à y répondre. En comprenant les IOC et les TTP associés aux menaces et vulnérabilités émergentes, les entreprises peuvent replacer les alertes de sécurité dans leur contexte, et ainsi donner la priorité aux menaces les plus sérieuses et empêcher la réussite des attaques.

Les renseignements sur les menaces aident également les entreprises à quantifier les risques en profondeur, ce qui favorise la conformité, l’évaluation et la création de rapports conformément aux lois RGPD, HIPAA, SEC et autres réglementations. Il s’agit en outre d’un outil puissant pour les forces de l’ordre et autres chasseurs de menaces qui s’efforcent de neutraliser les attaques ou d’en traquer leurs auteurs, contribuant ainsi à un environnement numérique plus sûr pour tous.

promotional background

Les renseignements sur les menaces proviennent de divers types de données (télémétrie du réseau, journaux des terminaux, signatures de malwares) et sources de données (données brutes, flux de renseignements, équipes de renseignements, forums du Dark Web).

À quoi sert le renseignement sur les menaces ?

Avec les outils et l’expertise appropriés pour regrouper, analyser et corréler ces données, les entreprises obtiennent des informations basées sur les données qui peuvent les aider à :

  • Identifier les menaces et vulnérabilités connues et émergentes susceptibles de mettre en danger les utilisateurs, les données ou l’infrastructure
  • Hiérarchiser les risques en fonction de leur gravité et pertinence pour l’entreprise
  • Affiner les mesures de sécurité pour mettre l’accent sur une défense proactive basée sur les signes avant-coureurs des menaces émergentes
  • Accélérer la réponse aux incidents, la remédiation et la récupération pour réduire l’impact d’une violation
  • Attribuer des modèles de comportement et d’autres contextes IOC pour aider à identifier les acteurs malveillants et leurs motivations
  • Soutenir la conformité réglementaire pour éviter aux entreprises d’encourir des amendes et des conséquences juridiques

Quels sont les types de renseignements sur les menaces ?

Différents types de renseignements sur les menaces aident les équipes à prendre diverses décisions concernant la sécurité. D’une manière générale, vous pouvez les classer selon la manière dont ils sont utilisés :

  • Les renseignements stratégiques sur les menaces offrent une vue d’ensemble du paysage des menaces, ainsi que des motivations et capacités des acteurs malveillants pour faciliter la prise de décision à long terme concernant un programme de sécurité et les dépenses associées. Exemple : les données sur un acteur étatique qui cible votre secteur.
  • Les renseignements tactiques sur les menaces fournissent des informations sur les vecteurs d’attaque spécifiques, les IOC, les TTP et bien plus encore, pour aider les équipes de réponse aux incidents et de sécurité à identifier et à atténuer les menaces actuelles et les attaques en cours. Exemple : le hachage de fichier d’une nouvelle souche de malware qui se propage par phishing.
  • Les renseignements opérationnels sur les menaces aident le centre des opérations de sécurité (SOC) à comprendre les risques quotidiens (menaces actives, vulnérabilités et attaques en cours) pour prendre en charge la détection et la réponse en temps réel. Exemple : les adresses IP impliquées dans une attaque DDoS contre votre entreprise.
  • Les renseignements techniques sur les menaces constituent des informations granulaires et détaillées sur les menaces qui permettent aux équipes de sécurité d’affiner les politiques de sécurité et autres contre-mesures pour une protection plus efficace. Exemple : les données CVE et correctifs pour une vulnérabilité logicielle spécifique.

Vous pouvez également classer les renseignements selon leur origine :

  • Les renseignements Open Source proviennent de sources publiques telles que les flux de menaces, les blogs, les forums et les référentiels. Les renseignements Open Source sont souvent les premiers à apparaître, mais il est important de s’assurer qu’ils proviennent d’une source fiable.
  • Les renseignements de source fermée proviennent de sources privées ou confidentielles (généralement des partenaires ou des prestataires de services) et peuvent être plus détaillés que les renseignements Open Source, mais ils proviennent souvent d’un produit payant.
  • Les renseignements humains sont recueillis auprès de sources humaines par le biais d’entretiens, d’interrogatoires ou même de surveillance et d’espionnage. En tant que tel, ils incluent souvent les détails privilégiés les plus directs, mais ils peuvent être difficiles à obtenir.

Quels sont les indicateurs courants de compromission ?

Recueillis auprès diverses sources de renseignement, les indicateurs de compromission (IOC) sont des éléments de preuve qui contribuent à identifier les violations potentielles et à y répondre, apportant aux analystes des indices sur la source d’une cyberattaque, son comportement ou son impact. Les IOC courants comprennent notamment les éléments suivants :

  • Adresses IP et noms de domaine associés à des acteurs malveillants connus
  • URL associées au phishing ou à la livraison de malwares
  • Signatures de malwares et hachages de fichiers de code malveillant
  • Adresses e-mail liées au phishing
  • Clés de registre ajoutées pour le stockage et la persistance
  • Noms de fichiers et répertoires associés à une activité malveillante
  • Tentatives de connexion ou d’accès anormales ou non autorisées
  • Modèles et pics inhabituels de trafic réseau
  • Déviations par rapport au comportement typique de l’utilisateur ou du système
  • Signes d’exfiltration de données ou de transferts de données inhabituels
  • Ralentissement des performances (par exemple, utilisation du processeur et activité du disque inattendues)
  • Processus ou services inhabituels en cours d’exécution

À qui profitent les renseignements sur les menaces ?

Les renseignements sur les menaces profitent à presque tous ceux qui ont un intérêt dans la protection des actifs numériques, des données sensibles ou dans la continuité des opérations, en leur fournissant un contexte inestimable pour renforcer les mesures de sécurité dans les environnements suivants :

  • Entreprises de toutes tailles et de tous secteurs d’activité : les renseignements sur les menaces fournissent aux équipes de sécurité des informations exploitables sur la manière de renforcer les défenses. Les dirigeants, les membres du conseil d’administration et autres décideurs peuvent les exploiter pour éclairer leurs décisions concernant les investissements en matière de sécurité, de gestion des risques et de conformité.
  • Gouvernements et organismes chargés de l’application de la loi : les renseignements sur les menaces sont essentiels pour aider les entreprises du secteur public à répondre et à stopper plus efficacement les menaces qui pèsent sur les infrastructures critiques, la sécurité publique et la sécurité nationale.
  • Secteur et communauté de la cybersécurité : les fournisseurs et les experts de la cybersécurité (chercheurs, analystes, hackers éthiques, etc.) peuvent exploiter les renseignements sur les menaces pour créer des solutions de sécurité plus efficaces, étudier les tendances, affiner les contre-mesures, etc., créant ainsi une boucle de rétroaction qui renforce l’ensemble de l’écosystème numérique.

Quel est le cycle de vie des renseignements sur les cybermenaces ?

Le cycle de vie des renseignements sur les menaces est la quintessence de la boucle de rétroaction mentionnée plus haut : une série d’étapes que les entreprises doivent franchir pour utiliser de manière efficace les renseignements sur les menaces et, surtout, pour en faire un usage plus efficace à l’avenir. Les six étapes sont les suivantes :

  1. Orientation : les parties prenantes définissent les objectifs, les priorités, l’allocation des ressources et la portée globale de leur programme de renseignement sur les menaces.
  2. Collecte de données : l’entreprise recueille des données à partir de flux de renseignements payants ou Open Source, de journaux internes, d’analystes humains, de partenaires, etc.
  3. Traitement : les analystes et les outils automatisés nettoient et normalisent les données collectées, vérifient les sources et confirment leur fiabilité pour les préparer à l’analyse.
  4. Analyse : les analystes et les outils identifient les modèles, les anomalies et les menaces potentielles au sein des données, puis corrèlent les données pour former des informations exploitables permettant de hiérarchiser et d’atténuer les risques critiques.
  5. Diffusion : les équipes de sécurité rendent compte aux parties prenantes afin de partager les résultats, les alertes et les recommandations. Les équipes intègrent les renseignements sur les menaces dans leurs outils et processus afin d’améliorer la détection, la prévention et la réponse aux menaces en temps réel.
  6. Rétroaction : les entreprises doivent continuellement évaluer et affiner leur programme de renseignements, en s’appuyant sur les commentaires des équipes de réponse aux incidents. Des examens périodiques permettent de maintenir les objectifs et les priorités en phase avec l’évolution du paysage des menaces et de l’entreprise elle-même.

Quels sont les outils de renseignements sur les menaces ?

Il existe de nombreux outils sur le marché conçus pour aider les entreprises à recueillir, corréler, analyser et exécuter les renseignements sur les menaces.

Collecte et agrégation

  • Les agrégateurs de flux de menaces collectent et regroupent les données des sources ouvertes et/ou fermées.
  • Les technologies de tromperie (par exemple, les honeypots) leurrent les attaques et collectent des données sur leur comportement.
  • Les plateformes de renseignement sur les menaces (TIP) collectent, organisent et diffusent des données sur les menaces provenant de diverses sources pour générer des informations exploitables.

Corrélation

  • Les flux de renseignements sur les menaces fournissent des renseignements pré-corrélés qui peuvent être rapidement exploités.
  • Les systèmes de gestion des informations et des événements de sécurité (SIEM) corrèlent les données sur les menaces avec les événements réseau.
  • Les plateformes de détection et de réponse étendues (XDR) corrèlent les données provenant de sources disparates (par exemple, télémétrie réseau, événements des terminaux, IAM, courrier électronique, suites de productivité).
  • Les plateformes d’orchestration de la sécurité, d’automatisation et de réponse (SOAR) automatisent les actions de réponse basées sur des informations corrélées.

Analyse

  • Les outils d’analyse des menaces, optimisés par l’IA et l’AA, analysent les données pour identifier les modèles et les tendances.
  • Les plateformes de partage de renseignements sur les menaces facilitent l’analyse collaborative entre les entreprises.
  • Les sandbox analysent et exécutent les fichiers et URL suspects dans des environnements isolés.

Exécution

  • Les systèmes de détection et de prévention des intrusions (IDS/IPS) bloquent les activités malveillantes ou les signalent sur la base des données relatives aux menaces.
  • Les outils de gestion des politiques mettent à jour les politiques des pare-feu, des proxys, et autres en fonction des adresses IP, des domaines, des signatures, etc. malveillants connus.
  • Les solutions de détection et de réponse aux menaces sur les terminaux (EDR) mettent les terminaux compromis en quarantaine ou les corrigent.
  • Les outils de chasse aux menaces effectuent une chasse aux menaces proactive basée sur les renseignements recueillis.

Comment l’apprentissage automatique améliore-t-il les renseignements sur les menaces ?

Pour l’essentiel, l’apprentissage automatique (AA) améliore les renseignements sur les menaces de la même manière qu’il améliore toute autre chose : en fonctionnant à une vitesse, à une échelle et à un niveau de disponibilité permanente que les opérateurs humains ne peuvent égaler. Les modèles d’AA avancés d’aujourd’hui sont entraînés sur de gigantesques ensembles de données, ce qui en fait des outils exceptionnels pour identifier des modèles, des anomalies comportementales, des corrélations et d’autres complexités avec un très faible taux de faux positifs.

Comme les outils d’AA se chargent aisément des tâches les plus lourdes et les plus fastidieuses en matière de renseignements sur les menaces, ils laissent aux analystes humains plus de liberté pour mener des projets qui requièrent une pensée créative et une compréhension du comportement, de la motivation et du contexte humains. En fin de compte, ils sont plus performants ensemble.

Cas d’utilisation des renseignements sur les menaces

Les outils de renseignements sur les menaces figurent parmi les outils les plus puissants et les plus polyvalents de la boîte à outils d’une équipe de sécurité, capables d’améliorer la protection, la réponse et la posture de sécurité globale.

Détection, prévention et réponse aux menaces

Les renseignements sur les menaces aident les équipes de sécurité à identifier et à atténuer les menaces de manière proactive, en utilisant les IOC pour détecter les activités malveillantes, affiner les politiques et renforcer les défenses. Ces renseignements renforcent également la réponse aux incidents en fournissant en temps opportun des données précises aux équipes chargées des enquêtes et de la chasse aux menaces afin de les aider à identifier les signes de compromission, les déplacements latéraux et les menaces cachées.

Gestion des vulnérabilités et évaluation des risques

Les renseignements sur les menaces peuvent aider les entreprises à hiérarchiser les correctifs de vulnérabilités en fonction du risque, et à obtenir un aperçu de leur situation globale en matière de cyber-risques afin d’évaluer l’impact potentiel des menaces émergentes. Ces renseignements sont également extrêmement précieux pour évaluer et surveiller la posture de sécurité des fournisseurs tiers afin de comprendre et d’atténuer les risques de sécurité dans la chaîne d’approvisionnement.

Partage de renseignements sur les menaces et prise de décision

La collaboration entre les secteurs et les gouvernements est essentielle pour conserver une longueur d’avance sur les cybermenaces. Le partage de renseignements sur les menaces, tactiques et vulnérabilités émergentes renforce nos défenses collectives et aide les parties prenantes à prendre les bonnes décisions stratégiques, tant pour la sécurité que pour les objectifs de leur entreprise.

 

Rôle de Zscaler dans les renseignements sur les menaces

Équipe de recherche chargée de la sécurité et des renseignements sur les menaces, Zscaler ThreatLabz analyse 500 000 milliards de points de données à partir du plus grand cloud de sécurité au monde, et bloque 9 milliards de menaces par jour. L’équipe suit les États-nations et les acteurs de la cybercriminalité les plus avancés, ainsi que leurs TTP, afin de discerner les attaques et les tendances émergentes.

Les chercheurs de ThreatLabz ont découvert des dizaines de vulnérabilités de type « zero-day » dans des applications populaires et ont travaillé avec les fournisseurs afin de résoudre les problèmes sous-jacents. ThreatLabz a également développé une plateforme propriétaire d’automatisation des malwares, intégrée à Zscaler Cloud, capable d’identifier et d’extraire des indicateurs de renseignements sur les menaces afin de protéger nos clients à grande échelle.

promotional background

Obtenez des informations actualisées sur les menaces, les dernières recherches et des informations exploitables sur les menaces de Zscaler ThreatLabz.

Consulter en direct les informations sur les menacesSuivre ThreatLabz sur X

Ressources suggérées

Rapport 2023 de Zscaler ThreatLabz sur les ransomwares
Télécharger le rapport complet
Rapport 2024 de Zscaler ThreatLabz sur le phishing
Télécharger le rapport complet
Blog sur la recherche en sécurité de Zscaler ThreatLabz
Découvrir les derniers articles
Zscaler ThreatLabz sur X (Twitter)
Découvrir les derniers articles
Zscaler ThreatLabz GitHub
Consulter les derniers IOC, notes sur les ransomwares et outils
Tableau de bord ThreatLabZ sur les activités de Zscaler Cloud
Voir les mises à jour en direct
01 / 04