Big data technology and data science illustration. Data flow concept. Querying, analysing, visualizing complex information. Neural network for artificial intelligence. Data mining. Business analytics.

Conseils supérieurs pour une utilisation réussie de l’intelligence des menaces

Lucas Morel

Le message clé est de réduire l’intelligence aux outils et aux données de votre organisation plutôt que d’avoir accès à l’intelligence qui ne fera que ralentir le processus.

Les entreprises qui cherchent à endiguer la vague de violations et d’attaques finissent généralement par acheter une plate-forme de renseignement sur les menaces (TIP). Ceux-ci peuvent prendre l’une des plusieurs formes, y compris un service géré basé sur le cloud ou une collection d’outils à couplage étroitement qui fournit un profil de gestion des risques plus large en liant la détection des menaces, la réponse aux incidents et la gestion de la vulnérabilité. Plus d’une douzaine de vendeurs offrent des conseils. La clé pour utiliser avec succès ces outils est de comprendre ce qu’ils peuvent et ne peuvent pas faire, en les faisant correspondre à votre propre environnement et à votre niveau de sophistication de sécurité. En outre, être capable de les intégrer à d’autres outils de sécurité et à des activités défensives.

Il y a des erreurs courantes que les CISO commettent lors de l’examen de ces outils, notamment d’avoir un programme de gestion des risques solide, de s’appuyer sur une mauvaise intelligence des menaces, de rassembler les mauvaises exigences ou de sources de menaces inappropriées, et de ne pas être plus stratégique pour choisir les bons outils. Nous allons maintenant plonger dans des conseils plus spécifiques pour effectuer l’achat et l’utilisation des conseils les plus réussis et les plus efficaces.

Concentrez-vous sur une bonne intelligence plutôt que sur la quantité

Tout d’abord, vous devez examiner les flux de menace réels qui sont utilisés comme matériel source et combien de flux différents sont traités. Cela signifie ne pas se concentrer sur le nombre total, mais prendre une plongée plus profonde dans les données collectées et comprendre comment la pointe consolide ces menaces, les enrichit de diverses métadonnées et les catalogue dans une structure de données adaptée aux requêtes.

Ce qui rend cet enrichissement possible et plus efficace, c’est comment le corpus Intel de menace prend en charge divers protocoles, tels que l’échange automatisé de confiance des informations sur les indicateurs (taxi) et l’expression des informations sur les menaces structurées (STIX), qui permettent toutes deux un transfert de métadonnées et de détails plus riches. Stix définit le «quoi» d’une menace potentielle tandis que les taxi définissent «comment» la menace s’est produite. Les deux normes sont maintenues par l’Organisation pour l’avancement des normes d’information structurées. Ensemble, ils peuvent être utilisés pour caractériser les motivations et les capacités de chaque menace, ainsi que les réponses suggérées, et être utilisées pour stimuler diverses activités de traitement automatisées et collaboratives.

Assurez-vous que vous n’avez pas plus d’informations que vous avez besoin

Ensuite, la phase de correspondance: la pointe la plus sophistiquée peut être exagérée si vous avez un petit département Infosec avec des compétences limitées ou si vous avez un environnement informatique relativement simple. Selon ce rapport de Greynoise en 2025, les flux de menaces doivent correspondre à votre propre environnement en termes de diversité, le niveau de complexité des menaces potentielles pour la diversité et la complexité de vos nuages ​​et terminaux.

Cela comprend la possibilité de voir les menaces des éléments virtuels et physiques de votre infrastructure informatique et applications, comme divers analystes l’ont écrit. « Comprendre le paysage des menaces est plus que simplement regarder les menaces, cela implique de comprendre les facteurs externes et internes qui influencent ou permettent directement les menaces de se matérialiser », a écrit Stuart Peck, qui a travaillé pour de nombreux vendeurs de sécurité et a écrit.

Comment gérez votre flux de travail post-incident

Les meilleurs conseils peuvent orchestrer n’importe quel nombre de réponses et d’atténuations pour arrêter la menace et résoudre les problèmes qui résultent d’un élément informatique compromis. « La valeur de l’intelligence des menaces est directement liée à la façon dont elle est ingérée, traitée, priorisée et a agi », a écrit Cyware dans leur rapport. Cela signifie une intégration minutieuse dans votre constellation existante d’outils de sécurité afin que vous puissiez tirer parti de tous vos investissements précédents dans vos acronymes de Soars, Siems et XDRS. Selon le rapport Greynoise, «vous devez intégrer la pointe dans votre écosystème de sécurité existant, en vous assurant de corréler vos données internes et d’utiliser vos outils de gestion de la vulnérabilité pour améliorer votre réponse incidente et fournir des analyses exploitables.»

Le mot-clé de cette dernière phrase est exploitable. Trop souvent, Intel ne guide aucune action, tel que le lancement d’une série de correctifs pour mettre à jour les systèmes obsolètes, ou les efforts de remédiation pour faire un segment de réseau particulier ou prendre hors ligne un dispositif incriminé.

Être exploitable est également une question de prêter attention au calendrier de deux mesures différentes. Premièrement, cet Intel devrait être en mesure de raccourcir le temps entre la détection et la correction, car les exploits deviennent plus rapidement opérationnels. Deuxièmement, les Intel devraient éclairer et comprendre les menaces en temps réel et lesquelles peuvent être contrecarrées ou rapidement arrêtées.

Avoir une intelligence exploitable permet la visualisation d’une menace potentielle. Un rapport de 2023 de ThreatConnect indique que «la capacité de prendre des mesures sur l’intelligence directement dans un environnement visuel dynamique est essentielle pour rendre les analystes plus efficaces et efficaces lors de leur analyse. L’analyse visuelle permet aux analystes de voir des modèles et de trouver des connexions qui peuvent être difficiles dans d’autres supports comme des tableaux de données.»

Une autre partie de la création d’analyses visuelles est la façon dont les tableaux de bord des menaces affichent ces informations d’une manière qui peut être utile et exploitable. Les meilleurs tableaux de bord peuvent montrer des tendances ou des anomalies en temps réel. Par exemple, un tableau de bord peut indiquer lorsqu’un serveur est sous une attaque DDOS ou lorsqu’un ensemble de ressources résidant sur un seul segment de réseau est interrompu. Une partie du processus de visualisation consiste également à s’assurer que votre organisation a défini les mesures de réussite d’une pointe, généralement dans le taux de détection des menaces et de réduction des incidents ultérieurs.

Tous ces éléments sont importants pour faire partie de la menace de vos opérations de sécurité, ce qui a enregistré Esteban Borges de Future en 2024 en ce qui concerne le triage de cette intelligence dans l’une des trois catégories de base:

  • Des idées stratégiques ou de niveau supérieur et des tendances d’identification
  • Tactique, ou plus mécanique derrière une menace particulière et
  • Opérationnel, fournissant une analyse plus réel ou en temps proche du temps

Il s’agit d’un acte d’équilibrage délicat, bien sûr, car en réalité vous devez aborder les trois catégories pour défendre correctement votre infrastructure. Une partie du défi ici consiste à empêcher les mentalités de spécialité cloisonnées de procéder aux mesures de réparation appropriées. «J’ai vu à maintes reprises lorsque la menace Intel ou même l’équipe de gestion de la vulnérabilité enverra une notification Flash sur une menace de grande priorité uniquement pour qu’elle soit perdue dans une file d’attente parce que l’équipe de menace ne l’a pas poursuivi. Il est tout aussi important pour les groupes de résolvants d’agir, car il s’agit de l’équipe de menace de le poursuivre», a déclaré Peck blogué. À titre d’exemple, avoir une seule tentative de phishing pourrait être un problème tactique, jusqu’à ce que votre pointe signale des événements similaires qui montrent des preuves persistantes d’une attaque ciblée qui pourrait signifier des changements opérationnels pour contrer ces tentatives. Les questions du contexte et les conseils peuvent aider à fournir cela.

Comprendre comment fonctionnent les outils améliorés

Certains des fournisseurs de pourboires gèrent leurs flux de travail à l’aide d’outils améliorés en AI et d’autres techniques automatisées. Étant donné que l’IA est si populaire, cela signifie que vous devez comprendre comment cette automatisation est construite et quelles sont ses limites. Par exemple, une limitation peut être de savoir comment le logiciel AI apprend de la consommation de données de vos flux de menace. Comme toute utilisation de l’IA, le diable est dans les détails. S’appuyant sur des années d’enquêtes pour les forces de l’ordre néerlandaises, Niko Dekens a qualifié cela de «l’effondrement lent de la pensée critique en raison des outils basés sur l’IA. C’est une distinction importante qui doit être maintenue en haut de l’esprit humain.

Si tout cela semble beaucoup de travail, c’est parce que c’est le cas. Les conseils ne sont pas des produits simples à évaluer ou à utiliser, et la gestion des menaces signifie que vous devez considérer tous les points d’entrée de votre infrastructure, applications et serveurs.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker with malware code in computer screen. Cybersecurity, privacy or cyber attack. Programmer or fraud criminal writing virus software. Online firewall and privacy crime. Web data engineer.
Skitnet Malware: le nouveau favori des ransomwares
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
You’ve already been targeted: Why patch management is mission-critical
Vous avez déjà été ciblé: pourquoi la gestion des patchs est critique de mission