Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Comment les renseignements sur les menaces peuvent aider à contrer les attaques ciblées

novembre 2020 par Vishal Salvi, Senior Vice President, Chief Information Security Officer et responsable de la pratique de la cybersécurité, Infosys

Les entreprises sont de plus en plus préoccupées par la forte augmentation des attaques ciblées. Les attaques ciblées sont sophistiquées, persistantes, guidées par une motivation particulière et, dans la plupart des cas, bien financées. Les motivations des acteurs de la menace peuvent aller des intérêts commerciaux stratégiques aux intérêts nationaux, en passant par l’espionnage ou les gains financiers.

Les attaques récentes ont davantage visé des individus dans le but d’accéder à leurs informations personnelles. Par exemple, le téléphone mobile du PDG d’Amazon, Jeff Bezos, a été « piraté » après avoir reçu un message WhatsApp qui, selon le rapport d’enquête, avait apparemment été envoyé par le prince héritier d’Arabie saoudite. Il est également évident que les attaques ne se contentent pas d’exploiter les vulnérabilités de type « « 0-day », mais qu’elles recherchent également les failles dans toute mauvaise configuration de la sécurité. Il existe de nombreux cas de violations de données qui exploitent la mauvaise configuration des compartiments S3 d’Amazon, qui ont exposé plusieurs millions d’enregistrements contenant des informations sensibles et confidentielles.

Indépendamment de la motivation et du type d’attaque, les attaques ciblées sont souvent les plus difficiles à détecter et à corriger. Une attaque ciblée parfaitement conçue permet d’atteindre même les utilisateurs les plus avertis ou les plus expérimentés. Elles sont souvent appelées menaces persistantes avancées (advanced persistent threats, APT), car les cybercriminels utilisent une technologie très sophistiquée pour attaquer de manière répétée jusqu’à ce que la cible soit atteinte.

Une attaque réussie peut souvent mettre une entreprise à genoux. Par exemple, une interruption de la chaîne de production d’une entreprise automobile ou une violation de données confidentielles pour une banque peut entraîner des dommages considérables sur le plan des opérations et de la réputation.

La cybersécurité est au centre des préoccupations des entreprises, comme en témoigne la récente étude de marché réalisée par Infosys, dans laquelle 83 % des personnes interrogées considèrent la cybersécurité comme un élément essentiel de leur entreprise. Les dirigeants, tous secteurs confondus, sont convaincus que le risque de cybersécurité est l’un des cinq principaux défis qui peuvent changer l’avenir des entreprises.

Pour relever ce défi, les entreprises doivent mettre en place une infrastructure de cybersécurité évolutive, capable de s’adapter et de répondre de manière transparente à l’évolution du paysage des menaces. Renseignements sur les menaces

Alors que les entreprises adoptent une approche de « défense approfondie » pour éviter les attaques opportunistes, elles doivent détecter et atténuer les attaques ciblées en utilisant les renseignements sur les menaces.

Les renseignements sur les menaces se définissent comme des connaissances fondées sur des preuves, pertinentes sur le plan contextuel et pouvant être intégrées aux plateformes et aux outils, afin de répondre rapidement et précisément aux menaces pesant sur les personnes, les entreprises ou les biens, sous une forme standardisée et consommable. Ils peuvent être classés en deux catégories : les renseignements internes (recueillis au sein de l’entreprise) et les renseignements externes (acquis à l’extérieur de l’entreprise, comme les abonnements aux services de renseignement, les flux communautaires, etc.)

Les renseignements sur les menaces sont de trois types :
• La veille stratégique aide les dirigeants à mieux connaître les menaces auxquelles ils sont exposés et à planifier leur stratégie de sécurité
• La veille tactique, principalement utilisée par les analystes pour leurs opérations de sécurité quotidiennes et la détection des menaces de machine à machine, peut influencer immédiatement les décisions tactiques
• La veille opérationnelle fournit un contexte pour les événements et les incidents de sécurité

Le cycle de renseignements traditionnel se compose de six phases distinctes :
• Orientation : définition des objectifs du programme de renseignements sur les menaces
• Collecte : collecte d’informations pour répondre aux exigences en matière de renseignements
• Traitement : transformation des informations dans un format utilisable
• Analyse : conversion des informations traitées avec un apport humain en renseignements pour étayer les décisions
• Diffusion : distribution des renseignements aux bons destinataires
• Commentaires : compréhension des priorités et des besoins généraux des équipes de sécurité

Les renseignements sur les menaces sont utilisés dans le cadre de la protection proactive contre les menaces, ce qui renforce les contrôles d’atténuation des menaces, et de la détection des événements malveillants historiques, ce qui permet de réagir aux incidents.

Dans la plupart des centres d’opérations de sécurité (SOC), les fausses alarmes positives génèrent davantage de bruit en raison d’une connaissance insuffisante des techniques, tactiques et procédures d’attaque (TTP) ou des indicateurs de compromission (IOC) ou de la surface d’attaque employée par l’adversaire. Cela est dû à un volume énorme d’alertes et d’incidents quotidiens. Les renseignements sur les menaces fournissent des informations contextuelles aux indicateurs, ce qui permet aux analystes de sécurité de prendre conscience de la situation tout en menant une enquête sur l’incident. Ils permettent également de prendre en compte d’autres indicateurs, campagnes, opérations associés, etc., pour une réponse complète et probante à l’incident. C’est l’un des avantages immédiats de l’utilisation de renseignements tactiques et opérationnels.

Les avantages des renseignements sur les menaces sont les suivants :

Veille stratégique :
Ils fournissent des informations de haut niveau sur l’évolution du risque dans le cyberespace. Ils fournissent également des informations sur les menaces émergentes, l’indicateur d’exposition de l’entreprise (IOE) et son exposition aux risques de menaces actuelles et émergentes. Les dirigeants peuvent ainsi développer et institutionnaliser leur stratégie défensive.

Informations :
Les renseignements sur les menaces permettent de connaître la situation et de faire progresser les connaissances sur les PTT adverses, ce qui donne aux entreprises les moyens de faire face efficacement aux menaces. Ils fournissent des détails sur les domaines malveillants, les adresses IP contrôlées par les adversaires et toutes les vulnérabilités qui sont exploitées. Ils permettent de sensibiliser et d’approfondir les connaissances sur les nouvelles formes de logiciels malveillants, les indicateurs d’une attaque et la manière dont celle-ci pourrait potentiellement nuire aux entreprises. Cela les aide à préparer leurs propres défenses en mettant en place les antidotes nécessaires.

L’utilisation des flux de renseignements sur les menaces permet aux logiciels de protection avancée contre les menaces installées sur les systèmes, les réseaux, la messagerie électronique et les serveurs d’une entreprise de détecter les menaces imminentes et de les bloquer avant qu’elles ne causent des dommages.

Toute stratégie défensive repose sur la capacité de développement et d’action en fonction des renseignements sur les menaces. Les entreprises peuvent détecter et atténuer efficacement les attaques ciblées en utilisant des renseignements sur les menaces, soutenus par des outils de protection des données et de sécurité contextuelle qui avertissent les analystes humains d’une cyberattaque imminente.

À l’heure où le monde adopte l’IdO et les systèmes cyberphysiques, il est impératif que les entreprises élaborent le parfait mélange de talents, de processus et de technologies étayé par les renseignements sur les menaces afin de renforcer et d’améliorer leurs cyberdéfenses contre les attaques ciblées dans les années à venir.

Renseignements sur les menaces et gestion des vulnérabilités

Les renseignements sur les menaces ne portent pas seulement sur les indicateurs de la menace, mais aussi sur les vulnérabilités et les exploits. Ces renseignements sont recueillis auprès des équipementiers et, ce qui est plus intéressant, sur le dark web. Les renseignements sont utilisés pour superposer aux données de vulnérabilité des informations contextuelles et aider l’équipe opérationnelle à établir les priorités en matière de remédiation. Cela donne également à l’entreprise une perspective de son exposition à ces vulnérabilités et des menaces qui les exploitent.




Voir les articles précédents

    

Voir les articles suivants