Les plateformes de renseignement sur les menaces ont évolué et sont devenues des outils défensifs essentiels de la sécurité. Voici ce que vous devez savoir avant de choisir un conseil.
Le fondement d’un programme de sécurité d’entreprise solide commence par le choix d’une plate-forme de renseignement sur la menace (TIP) appropriée et comment l’utiliser pour concevoir le reste de votre programme. Sans la pointe, la plupart des services de sécurité n’ont aucun moyen d’intégrer les différents outils de composants et de développer les tactiques et les processus appropriés pour défendre leurs réseaux, serveurs, applications et points de terminaison.
Introduction à la plate-forme d’intelligence des menaces
Les conseils sont des outils essentiels, d’autant plus que l’exploit moyen se produit plus rapidement et que ses effets sont obscurcis grâce aux logiciels malveillants axés sur l’IA. Cela se produit en même temps que les acteurs de la menace semblent fonctionner avec un niveau de coordination plus élevé. Les organisations ne peuvent plus se permettre d’attendre pour répondre.
L’Agence de sécurité de la cybersécurité et de l’infrastructure (CISA) a constaté que depuis 2023, la majorité des exploits étaient zéro jours, ce qui signifie exploitant des méthodes inconnues jusqu’à présent. Et selon le dernier rapport d’enquête sur les violations de données de Verizon (DBIR), le pourcentage d’e-mails malveillants assistés par l’IA a doublé à 10% des totaux qu’ils ont observés au cours des deux dernières années, ce qui rend le respect des menaces plus difficiles.
Mais ce qui est remarquable, c’est que l’univers de la menace est devenu beaucoup plus complexe et concentré. Par exemple, le Verizon DBIR a constaté que les menaces visant les dispositifs VPN et Edge ont augmenté à plus de huit fois ce qui a été signalé en 2024.
«Les dirigeants de la cybersécurité naviguent aujourd’hui sur une tempête parfaite de perturbation de l’IA, de complexité réglementaire et d’acteurs de menaces sophistiquées», a déclaré le partenaire fondateur de Cioso, Greg Sullivan. «Nous ne gérons pas seulement les risques – nous redéfinissons à quoi ressemble la confiance numérique dans un monde où Deepfakes, des vulnérabilités tierces et des lois sur la confidentialité fragmentées sont la nouvelle normale.»
Une façon de se battre est de surveiller en continu divers vecteurs de menace tels que les e-mails, le trafic réseau et les appareils Edge. Il s’agit cependant d’un processus à forte intensité de main-d’œuvre qui nécessite un nombre important d’analystes qui peuvent ensuite aider à améliorer la posture de sécurité de l’organisation.
Dans notre article précédent, nous avons fourni plusieurs conseils sur la façon d’utiliser de manière productive et efficace une astuce. Ici, nous offrons quelques conseils sur la façon d’acheter le bon conseil, y compris certains fournisseurs recommandés, les éléments à rechercher et combien vous devez payer pour cela.
Que rechercher dans une plate-forme d’intelligence de menace
Les premiers conseils étaient des produits très non sophistiqués, souvent simplement pavés ensemble les flux d’intelligence des derniers exploits, avec peu ou pas de détails. Le conseil d’aujourd’hui a des informations plus riches, y compris des complexités sous-jacentes et des détails sur le fonctionnement de la menace. La pointe moderne a plusieurs domaines fonctionnels et objectifs en commun:
Le Capacité à agréger, corréler et normaliser les données de menace dans les formats structurés (généralement une base de données SQL) et non structurés. Ces fonctions comprennent la suppression des entrées en double et le filtrage des erreurs (telles que les faux positifs) et des données inappropriées. L’objectif ici est de réduire la fatigue des alertes et de rendre les données plus exploitables, comme découvrir des modèles cachés ou porter à la lumière de nouveaux vecteurs de menace potentiels. Cela implique que la pointe s’appuie sur une variété de flux de menaces et de sources de logiciels malveillants et peut les ingérer en conséquence. Mais ce n’est pas seulement la quantité de flux, mais leur qualité et la quantité de métadonnées et d’informations peuvent être utilisées pour créer des informations et des réponses à la menace qui comptent.
Automatiser les actions tels que la réponse aux menaces et l’atténuation, la production de manuels après-invidence et d’autres activités partout. Idéalement, l’automatisation devrait permettre des flux de travail à action rapide avec une intervention manuelle minimale. Cet objectif est de permettre la réponse la plus rapide possible pour réduire les temps de séjour de logiciels malveillants et minimiser les dommages potentiels aux systèmes informatiques. Pour automatiser et orchestrer ces tâches signifie utiliser diverses normes telles que l’échange automatisé de confiance des informations sur les indicateurs (taxi) et l’expression structurée des informations sur les menaces (STIX) dans l’ensemble de la chaîne d’outils de gestion des menaces, afin que différents produits puissent communiquer efficacement entre eux. Le moins d’effort manuel impliqué dans ces tâches (y compris la mise à jour des feuilles de calcul personnalisées par exemple), mieux c’est. Les exemples incluent des choses telles que l’enrichissement des alertes, le partage en temps réel des indicateurs ou la production de rapports à la demande.
Créer un lieu central pour toutes les tâches de gestion des menacescouvrant l’intégralité du cycle de vie de la découverte à l’atténuation et un durcissement supplémentaire pour empêcher les attaques ultérieures. Cela signifie être capable de s’intégrer à des outils de sécurité existants, tels que Soars, Siems et CNApps, et éviter de dupliquer leurs efforts. «Les conseils modernes permettent l’ingestion multi-sources, la priorisation intelligente, les workflows automatisés et l’intégration transparente avec les outils de sécurité existants», selon Cyware.
Devriez-vous vous concentrer sur le cloud ou sur les conseils des prémisses?
Les premiers conseils étaient généralement basés sur des locaux, mais au fil des ans, ont élargi leur couverture et déménagé dans les services basés sur le cloud, dans certains cas mis en place par les prestataires de services gérés. L’astuce d’aujourd’hui doit couvrir les deux cas d’utilisation et une grande variété de sources de cloud, y compris d’autres fournisseurs de cloud en plus d’Amazon, Google et Microsoft, des clusters Kubernetes et des serveurs virtuels.
Combien de paiement pour une plate-forme d’intelligence de menace
La plupart des fournisseurs de conseils sont timides sur leurs prix, et nous avons indiqué des détails pour ceux qui étaient disposés à fournir les détails, y compris les essais gratuits, dans la section ci-dessous. Il existe une large gamme de prix, mais attendez-vous à payer dans les six chiffres bas par an pour défendre l’infrastructure plus grande et plus complexe.
Menés vendeurs de plate-forme de renseignement sur les menaces
Il y a eu de nombreux changements dans le paysage des fournisseurs en 2024: Bitisght a acquis Cybersixgill, Zerofox a acquis Haveli Investments et MasterCard a acquis un avenir enregistré. Chacune de ces acquisitions aide à enrichir la pointe sous-jacente avec des données supplémentaires et des signaux d’intelligence. Examinons certains des principaux fournisseurs, reconnaissant qu’il y en a beaucoup d’autres qui pourraient être inclus dans cette catégorie – Gartner, par exemple, répertorie plus de 150 fournisseurs dans son compendium de pourboire.
Bitsight Cyber Risk Intelligence fournit une intelligence en temps réel à partir d’une grande variété de sources, notamment la Dark Web Analytics de son acquisition de Cybersixgill. Ils organisent plus de sept millions d’articles et un milliard de titres de compétences compromis quotidiennement et affirment qu’ils peuvent fournir des alertes dans une minute suivant leur collection qui est personnalisée pour chaque destinataire.
Cyware Threat Intelligence Platform couvre un large éventail de sources de menaces structurées et non structurées avec des actions en temps réel et de puissantes fonctionnalités d’automatisation qui peuvent enrichir les données de menace et être utilisées par des équipes de sécurité interfonctionnelles.
Greynoise utilise une collection de plus de 300 pots de miel basés sur des appareils pour collecter son intelligence de menace et fournir une analyse en temps presque réel. Il dispose d’une large collection d’intégations d’outils dans les produits de pare-feu SIEM, SOAR, HUNTERS XDR et Sophos Network. Ces intégrations aident à corréler les menaces avec les vulnérabilités et la réponse aux incidents dans un cours cohérent et exploitable.
Kela Threat Intelligence possède une collection d’outils qui font partie de sa pointe. Il peut automatiser les manuels de jeu pour les défenseurs pour aider à surveiller et à hiérarchiser les actions d’atténuation et peut s’intégrer dans une variété de produits de sécurité tiers existants. Il utilise des données collectées par son groupe de recherche, comme pour suivre des milliards de titres de compétences compromis au cours de la dernière année. Il existe un compte d’essai gratuit disponible pour les acheteurs potentiels qualifiés.
OpenText Threat Intelligence (BrightCloud) dispose d’un réseau de capteurs global pour détecter les menaces émergentes et possède une classification Web en temps réel, une détection anti-phishing et une surveillance de la réputation basée sur la propriété intellectuelle et des fichiers. Il fournit également des détails sur les menaces basées sur le cloud et a la capacité d’identifier et d’isoler les logiciels malmorphes polymorphes.
Cortex XSIAM de Palo Alto Networks est une plate-forme SOC dirigée par AI qui ingère, corréle et agit sur des quantités massives de données de sécurité, y compris les renseignements sur les menaces. Il utilise une IA générative pour effectuer des analyses continues entre les points de terminaison, les réseaux, les nuages et les fournisseurs d’identité et peut agréger les données de menace entre les fournisseurs commerciaux et open source et intègre plus de 250 outils tiers pour créer des règles, des livres de jeu et des atténuations.
L’intelligence des menaces futures enregistrées a été considérée comme un chef de file par de nombreux analystes, et faire partie de MasterCard a cimenté ce poste. Ils ont leur propre groupe de chasse aux menaces internes (INSIKT) qui fournit des rapports de recherche, dont les données sont encapsulées dans leur astuce. Ils partagent également leurs données de fraude de paiement avec leurs nouveaux propriétaires. Ils utilisent une IA déterministe depuis une décennie et utilisent cette expérience pour construire des fronts de l’IA génératifs pour piloter l’analyse et les flux de travail et pour suggérer des requêtes et des idées. Un nouveau module d’intelligence malveillante corrèle le comportement observé avec plus de 15 ans de données de menace historique.
SeeTlplicity utilise son propre moteur d’IA appelé Remops pour créer des plans de correction personnalisés basés sur les informations contextuelles trouvées dans les référentiels de code, à partir des gestionnaires de services informatiques et des systèmes de billetterie. Il peut diriger les remèdes recommandés à l’analyste le plus approprié. Il est évalué sur le nombre de sources de données et d’automations couvertes, à partir de frais annuels de 60 000 $. Il peut collecter et intégrer les données des outils de sécurité existants tels que les données, les gestionnaires de posture des cloud et les applications, la détection et la réponse des points de terminaison, et autres.
Silentpush A une variété de fonctionnalités, y compris la protection de la marque et du DNS et la protection en temps réel. Il a des intégrations avec divers outils SOAR et SIEM ainsi que des plates-formes Crowdsstrike et Cyware. Il a une version communautaire gratuite qui n’inclut aucun flux de menace mais qui surveille les changements d’infrastructure. La version d’entreprise la plus complète commence à 120 000 $ par an pour les bases, mais le coût peut rapidement grimper à 500 000 $ ou plus.
Socradar Cyber Threat Intelligence n’est que l’un des trois éléments de leur gamme de produits, les deux autres étant la surveillance du Web sombre et les renseignements sur les menaces prolongées. Ce dernier comprend la gestion de la surface d’attaque, la protection de la marque et l’analyse de la chaîne d’approvisionnement. Il résume de nombreux flux de menaces, y compris la surveillance de plus de 1 500 canaux de menace de base télégramme, et dispose d’un simple outil de requête en langage naturel. Il propose également de nombreuses intégrations avec les systèmes de gestion des journaux, SOAR et SIEM. Ils ont une page de tarification très transparente. Il y a un plan gratuit pour toujours et un plan essentiel qui commence à 11 350 $ par an. Dark Web et une intelligence prolongée coûteront un supplément.
Enfin, tiendez compte de ces paroles de sagesse: «L’intelligence efficace des menaces ne concerne pas seulement la technologie – il s’agit aussi de gens», a écrit ThreatQuotient. «Pour vraiment tirer le meilleur parti de votre pourboire, vous devez favoriser la collaboration entre votre équipe de sécurité et d’autres parties de votre organisation.
