Selon Wikipedia, La \u00ab Cyber Threat\nIntelligence \u00bb, ou renseignement sur la cyber-menace, est une \u00ab discipline\nbas\u00e9e sur des techniques du renseignement qui a pour but la collecte et\nl’organisation de toutes les informations li\u00e9es aux menaces du cyber-espace \u00bb.<\/p>\n\n\n\n
L\u2019important dans cette\nd\u00e9finition, c\u2019est de bien comprendre la notion de \u00ab techniques de\nrenseignement \u00bb. En effet, les activit\u00e9s de Cyber Threat Intelligence s\u2019appuient\ntr\u00e8s fortement sur toutes les m\u00e9thodes, concepts et techniques issus des\norganismes de renseignements traditionnels, qu\u2019ils soient militaires ou\n\u00e9tatiques.<\/p>\n\n\n\n
Je ne vais pas revenir sur ces\nsujets que j\u2019\u00e9voque plus longuement dans d\u2019autres posts ou articles, mais comme\nje l\u2019ai d\u00e9j\u00e0 expliqu\u00e9, pour anticiper et adapter sa r\u00e9action, il est n\u00e9cessaire\nde bien connaitre son ennemi. Et \u00e9videmment, \u00e7a passe par une bonne compr\u00e9hension\ndu d\u00e9tail des attaques, des techniques, des proc\u00e9dures mises en place (les\nfameuses TTP), des outils utilis\u00e9s, etc.<\/p>\n\n\n\n
Mais attention, collecter \u00e0\noutrance des informations qui ne seront pas trait\u00e9es ou enrichies n\u2019a pas franchement\nde sens. Beaucoup d\u2019acteurs pensent que multiplier les sources, empiler les\nindicateurs et marqueurs est gage de puissance et d\u2019efficacit\u00e9. Or nous le\nsavons, plus il y aura de donn\u00e9es disponibles non trait\u00e9es, plus ce volume aura\ndes effets n\u00e9gatifs car les utilisateurs finaux auront du mal \u00e0 tout traiter,\ninterpr\u00e9ter et utiliser.<\/p>\n\n\n\n
Et puis, aujourd\u2019hui, je constate\nque la qualit\u00e9 des renseignements sur les menaces est de plus en plus in\u00e9gale.\nEt l\u2019effet de volum\u00e9trie joue pour beaucoup.<\/p>\n\n\n\n
Et de cette in\u00e9galit\u00e9 dans la\nqualit\u00e9 de l\u2019information transmise nait un autre probl\u00e8me : la qualit\u00e9 du\ntraitement qui en est fait par le SOC.<\/p>\n\n\n\n
Le lien qui existe entre les\noutils et \u00e9quipes de d\u00e9tection du SOC et les \u00e9quipes de CTI est de plus en plus\nfort et \u00e9troit. L\u2019information fournie permet au SOC de proposer la meilleure\nanalyse possible, aussi bien dans la richesse du contexte que dans l\u2019interpr\u00e9tation\ndes motivations par exemple.<\/p>\n\n\n\n
L\u2019\u00e9quipe de renseignement va\npermettre au SOC d\u2019optimiser la pr\u00e9vention et la d\u00e9tection, en apportant des\ninformations suppl\u00e9mentaires sur le contexte d\u2019une attaque ou d\u2019une menace :<\/p>\n\n\n\n
- L\u2019acteur est-il connu ?<\/li>
- Quelles sont ses motivations ?<\/li>
- Quels outils ? quels malwares ?<\/li>
- Y a-t-il eu d\u2019autre attaques de ce type ? o\u00f9 ? quand ?<\/li><\/ul>\n\n\n\n
L\u2019\u00e9quipe de CTI a une importance\nstrat\u00e9gique pour le SOC, car elle apporte une vision sur 2 axes :<\/p>\n\n\n\n
- global, sur les tendances en termes de campagnes\nd\u2019attaques ou sur les acteurs dangereux<\/li>
- sp\u00e9cifique, pour un contexte m\u00e9tier, sectoriel\nou business donn\u00e9.<\/li><\/ul>\n\n\n\n
En travaillant en temps r\u00e9el sur l\u2019information\nqu\u2019elle exploite, l\u2019\u00e9quipe de renseignement va \u00e9galement travailler sur \u00ab la\nfra\u00eecheur \u00bb de la donn\u00e9e, et c\u2019est une des cl\u00e9s de la r\u00e9ussite d\u2019une telle\nentreprise. En effet, pour qu\u2019une d\u00e9tection soit efficace, il faut que la validit\u00e9\nde la donn\u00e9e soit la plus pr\u00e9cise possible. Le SOC est d\u00e9j\u00e0 trop souvent noy\u00e9\nsous les faux-positifs pour que la CTI en g\u00e9n\u00e8re d\u2019autres.<\/p>\n\n\n\n
![\"\"](\"https:\/\/www.cybsec.fr\/wp-content\/uploads\/2020\/02\/article-Nath.png\")
<\/figure>\n\n\n\nMais on a trop souvent tendance \u00e0\nr\u00e9duire la CTI \u00e0 une activit\u00e9 pourvoyeuse d\u2019indicateurs techniques.<\/p>\n\n\n\n
L\u2019\u00e9quipe de CTI va donc analyser\nle contexte, mais \u00e9galement le coupler \u00e0 l\u2019\u00e9tude du ou des groupes qui se\ncachent derri\u00e8re chaque menace.<\/p>\n\n\n\n
Ne pas se contenter de trouver\ndes contremesures \u00e0 un instant T. Il faut comprendre qui est derri\u00e8re une\nattaque, pour d\u00e9terminer le pourquoi et le comment. <\/p>\n\n\n\n
Mieux appr\u00e9hender le processus\nd\u00e9cisionnel de l\u2019adversaire est une des cl\u00e9s de la cyber-d\u00e9fense.<\/p>\n\n\n\n
Analyser le comportement criminel\ndevient donc primordial. Et ce sujet est trop souvent laiss\u00e9 de c\u00f4t\u00e9 pour,\nencore une fois, concourir sur la quantit\u00e9 et non la qualit\u00e9 : empiler des\n\u00ab IoC \u00bb plut\u00f4t que de prendre le temps de les qualifier pleinement.<\/p>\n\n\n\n
\u00ab Derri\u00e8re une attaque se\ncache un humain \u00bb\u2026 et pour comprendre l\u2019humain, il est indispensable d\u2019int\u00e9grer\ndes profils non techniques \u00e0 l\u2019analyse. C\u2019est que je fais au quotidien.<\/p>\n\n\n\n
Une compr\u00e9hension claire de\nl’adversaire est le fondement d’une d\u00e9fense forte et proactive.<\/p>\n\n\n\n
Une compl\u00e9tude du renseignement\npermet au SOC de mettre en \u0153uvre la meilleure strat\u00e9gie de supervision, et de\nd\u00e9ployer des plans de d\u00e9tection adapt\u00e9s et contextualis\u00e9s, et donc efficaces.<\/p>\n\n\n\n
Les informations r\u00e9colt\u00e9es par l\u2019\u00e9quipe\nde CTI permettent \u00e0 chacun des acteurs de prendre les bonnes d\u00e9cisions au bon\nmoment, de hi\u00e9rarchiser les probl\u00e9matiques en fonction des impacts mais aussi\nde g\u00e9rer ces impacts.<\/p>\n\n\n\n
De l\u2019importance de la Threat\nIntelligence dans un Security Operations Center <\/strong><\/p>\n\n\n\n
Guider les actions, anticiper des\nattaques, comprendre les motivations, pr\u00e9venir les risques… sont autant de\nmissions que remplit l\u2019\u00e9quipe de CTI.<\/p>\n\n\n\n
C\u2019est une valeur ajout\u00e9e\nincontournable pour n\u2019importe quel SOC. Ce dernier doit pouvoir apporter \u00e0 ses\nclients toutes les informations techniques et contextuelles qui sont en rapport\navec une menace, un risque ou un incident. Savoir r\u00e9pondre \u00e0 \u00ab qui nous\ncible ? \u00bb ou \u00ab comment l\u2019adversaire va nous attaquer ? \u00bb et\nce le plus t\u00f4t possible.<\/p>\n\n\n\n
Pouvoir cr\u00e9er des \u00ab rapports \u00e0 la carte \u00bb, d\u00e9chiffrer l’ensemble de donn\u00e9es en \u00e9l\u00e9ments d’action et en recommandations utiles pour chaque client, le tout dans un langage accessible, est un caract\u00e8re diff\u00e9renciant tr\u00e8s important pour un op\u00e9rateur de SOC.<\/p>\n\n\n\n
<\/p>\n\n\n\n
<\/p>\n\n\n\n
* quelques valeurs ont \u00e9t\u00e9 tir\u00e9es d’enqu\u00eates men\u00e9es par PONEMON en 2018 et 2019. <\/p>\n","protected":false},"excerpt":{"rendered":"
Une \u00e9tude r\u00e9cente montre que plus de 85% des entreprises consid\u00e8rent le renseignement sur les menaces comme un \u00e9l\u00e9ment important de l\u2019arsenal cyber \u00e0 d\u00e9tenir. Mais il a \u00e9t\u00e9 montr\u00e9 que seulement 41% des entreprises utilisent efficacement les informations fournies par les \u00e9quipes de Cyber Threat Intelligence pour r\u00e9duire leurs risques cyber. En parall\u00e8le, une … Continuer la lecture de « De l\u2019importance de la Threat Intelligence dans un Security Operations Center »<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_exactmetrics_skip_tracking":false,"_exactmetrics_sitenote_active":false,"_exactmetrics_sitenote_note":"","_exactmetrics_sitenote_category":0,"footnotes":""},"categories":[8],"tags":[10,9],"class_list":["post-102","post","type-post","status-publish","format-standard","hentry","category-threat-intelligence","tag-soc","tag-threat-intel"],"_links":{"self":[{"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/posts\/102","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/comments?post=102"}],"version-history":[{"count":3,"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/posts\/102\/revisions"}],"predecessor-version":[{"id":106,"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/posts\/102\/revisions\/106"}],"wp:attachment":[{"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/media?parent=102"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/categories?post=102"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.cybsec.fr\/index.php\/wp-json\/wp\/v2\/tags?post=102"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}