5 meilleurs flux de renseignements sur les menaces
Flux de renseignements sur les menaces sont des bases de données sur les récentes attaques de pirates informatiques et les événements planifiés qui pourraient nuire aux entreprises. Les avertissements peuvent concerner des équipements, des industries, des pays, des entreprises ou des types d'actifs spécifiques.
Systèmes de détection d'intrusion (IDS), détection et réponse des points finaux (EDR), détection et réponse étendues (XDR), et SIEM les plates-formes peuvent toutes être améliorées par un flux de renseignements sur les menaces.
L’idée du flux de renseignements sur les menaces est que lorsqu’une entreprise est touchée, elle raconte à tout le monde ce qui s’est passé. Ces informations sont enregistrées dans une base de données et des extraits périodiques des entrées récentes de la base de données sont distribués aux abonnés.
L'aliment peut être produit sous forme de lisible par l'homme rapport ou un flux formaté directement dans un système de cybersécurité. Les systèmes de sécurité conçus pour recevoir le flux de renseignements sur les menaces utilisent les informations de cette mise à jour pour rechercher des activités malveillantes.
Renseignements sur les menaces
Le terme renseignement sur les menaces désigne simplement des informations relatives aux attaques. Le concept est parfois appelé renseignements sur les cybermenaces (CTI) pour distinguer ces informations informatiques des connaissances des services secrets sur les groupes terroristes ou les gouvernements étrangers.
L’intelligence des menaces est un terme général et ne se rapporte pas spécifiquement à un format ou à un protocole défini. Par exemple, un article d’actualité sur un site Web du secteur informatique peut être considéré comme une information sur les menaces à l’autre extrémité du spectre ; un flux automatisé de données envoyé sur Internet directement dans un package de sécurité constitue également du renseignement sur les menaces.
Ceux flux automatisés , ou « flux », n’ont pas de protocole unique à l’échelle de l’industrie. Au lieu de cela, le fournisseur de chaque flux détermine son format. Par conséquent, les créateurs d’outils de cybersécurité doivent s’assurer qu’ils programment leurs produits pour traiter un format de flux spécifique et les interpréter en sources de données pour leurs besoins. chasse aux menaces activités.
Cela signifie que tous les outils de sécurité ne sont pas compatibles avec tous les flux de renseignements sur les menaces. Dans de nombreux cas, la plateforme de renseignement sur les menaces permet aux abonnés de spécifier un format d'extraction parmi plusieurs formats standards, tels que PDF ou CSV . Avec cette option, un technicien de sécurité peut rechercher des moyens d'utiliser les options de personnalisation dans un outil de cybersécurité choisi et mettre en place un flux de travail pour transférer automatiquement les informations sur les menaces entrantes dans l'outil. Cependant, un plugin ou une intégration pré-écrit facilite grandement l’acquisition de renseignements sur les menaces.
Types de renseignements sur les menaces
Il existe trois types de renseignements sur les menaces :
- Stratégique
- Opérationnel
- Tactique
Chaque type s'adresse à un public différent et est produit dans un format distinct. Chacun d’entre eux peut être livré sous forme de « alimentation ». Le concept de flux signifie simplement qu'une nouvelle édition des renseignements sur les menaces est automatiquement transmise à un abonné.
Intelligence stratégique sur les menaces
Stratégique Les renseignements sur les menaces sont destinés aux décideurs politiques des entreprises et des agences gouvernementales. Ce type d’informations détaille la direction des cybermenaces. Il peut se concentrer sur un nouveau mouvement dans le monde des hackers ou sur l’identification d’une équipe de hackers, détaillant leurs traits d’identification et leurs tactiques préférées.
Un flux de renseignements stratégiques sur les menaces est utilisé pour l'évaluation des risques . Par exemple, cela peut influencer les prix des couvertures d’assurance. Les dirigeants d’entreprise peuvent également l’utiliser pour déterminer si la politique actuelle de cyberprotection de l’entreprise est suffisante pour faire face à l’évolution du paysage des menaces.
Intelligence opérationnelle sur les menaces
Même si les responsables des opérations informatiques et les analystes de sécurité liront les renseignements sur les menaces stratégiques dans le cadre de leur intérêt à suivre les évolutions du secteur, les opérateurs de sécurité informatique de terrain seront plus intéressés par les opérationnel flux de renseignements sur les menaces.
Les renseignements sur les menaces opérationnelles expliquent les outils que les pirates utilisent pour pénétrer dans les systèmes, soit par le biais de systèmes automatisés, tels que les chevaux de Troie, soit manuellement dans le cadre d'un type d'intrusion connu sous le nom d'intrusion. menace persistante avancée (APTE). Bien que le troisième type de renseignement sur les menaces soit appelé « tactique », les informations sur les tactiques de piratage sont classées comme opérationnelles.
Une catégorie de renseignements sur les menaces opérationnelles est TTP , Qui veut dire ' Tactiques, techniques et procédures ».
Les concepteurs d’outils de défense des systèmes utilisent les informations fournies par les renseignements opérationnels sur les menaces. Le taux de changement dans cette catégorie est beaucoup plus lent que dans la classe Tactique. Les détails ici seraient pour un nouvel exploit découverts dans des logiciels largement utilisés et éventuellement de nouvelles stratégies d'attaque.
Intelligence tactique sur les menaces
Tactique les renseignements sur les menaces sont ceux qui sont mis à jour le plus rapidement. Il s’agit généralement d’une pure liste d’identifiants et peut être comprise plus précisément comme une liste noire. Cependant, ce type de renseignements sur les menaces présente un volume élevé et ne peut être digéré que sous forme de flux automatisé communiqué directement aux logiciels de sécurité.
Indicateurs de compromis
Les informations critiques contenues dans le flux de renseignements tactiques sur les menaces sont appelées « indicateur de compromis » (CIO). Encore une fois, il n’existe pas de format unique pour un enregistrement IoC. En effet, il existe plusieurs types d'IoC, de sorte que les formats de flux de renseignements sur les menaces auront un type d'enregistrement pour les IoC qui permet au processeur récepteur de connaître la longueur et la présentation attendues de l'enregistrement à venir.
Les différents types d’IoC sont :
- Adresses IP des acteurs malveillants
- Adresses IP des systèmes automatisés de distribution de virus
- Noms de domaine des sites Web infectés
- Noms de domaine utilisés par les serveurs de commande et de contrôle des botnets
- Hachages MD5 de fichiers malveillants
- Signatures de virus
L'IoC a évolué à partir des procédures opérationnelles originales de Logiciel antivirus . Les antivirus réels ont été programmés pour contenir les noms connus des fichiers de virus. Cependant, lorsque les entreprises et les consommateurs du monde entier ont commencé à installer en grand nombre des antivirus, les producteurs de virus ont réalisé que leurs actifs étaient dévalorisés et ont créé de nouveaux virus avec des fichiers différents pour contourner ces règles de détection.
Avant longtemps, les systèmes audiovisuels devaient être mis à jour pour rester efficace, et à mesure que la fréquence de production de virus augmentait, les efforts déployés pour ne pas réécrire le code devenaient coûteux. En conséquence, les AV ont été réécrits pour faire référence à une base de données ou à une liste de noms de fichiers plutôt que d'avoir ces identifiants intégrés dans le code. Avec cette innovation, seule la liste devait être mise à jour, et non l'ensemble du système audiovisuel.
Ces mises à jour des bases de données virales constituaient la première forme de flux de renseignements sur les menaces.
L’évolution des IoC
Les fabricants d’antivirus gardaient pour eux leurs informations sur les nouveaux virus. Ces informations constituaient un secret de commerce, et les fournisseurs audiovisuels à succès ont acquis leur avantage marketing en fournissant de meilleures recherches que leurs concurrents.
La stratégie des bases de données virales est devenue insoutenable . Chaque laboratoire audiovisuel devrait prendre conscience de l’existence d’un nouveau virus avant de le rechercher. Ainsi, de nombreuses entreprises ont été touchées avant que les experts ne remarquent un nouveau virus en circulation. Cela signifiait que chaque nouvelle mise à jour de la base de données virale devenait immédiatement obsolète.
Le secteur de la cybersécurité a réagi en se concentrant sur le comportement de virus plutôt que leurs noms. Cela a permis de lutter contre la stratégie des pirates informatiques consistant simplement à modifier les noms de fichiers pour échapper à la détection. Cependant, les signatures sont des caractéristiques qui sont finalement devenues connues sous le nom de Indicateurs de compromis .
Flux de renseignements privés sur les menaces
Chaque fournisseur de logiciels de sécurité produira son flux de renseignements sur les menaces . En outre, il est désormais très courant que des logiciels de sécurité soient implémentés sur des plateformes cloud sous forme de service d'abonnement, à la suite de la Logiciel en tant que service (SaaS).
Avec la livraison SaaS, toute chasse aux menaces au cœur d’un SIEM ou d’un IDS est effectuée par les serveurs du fournisseur. Ainsi, toute découverte est immédiatement disponible pour le prestataire et est communiquée à modules de réponse sur le site du client. En conséquence, il ne faut pratiquement aucun effort pour accumuler les résultats rencontrés dans les données opérationnelles d’une implémentation client dans une base de données centrale.
La base de données de renseignements sur les menaces du fournisseur supprimera les identifiants du client et ne contiendra que l’IoC. Comme tous les comptes clients sont hébergé sur la même plateforme , cette base de données IoC est instantanément disponible pour référence par toutes les instances. Ainsi, plutôt que de diffuser un flux vers de nombreux clients, le module de recherche des menaces est programmé pour se référer à la base de données importante sur les menaces, éliminant ainsi la transmission et les retards.
Certains grands fournisseurs de plateformes logicielles non directement impliqués dans la cyber-sécurité produire leurs flux de renseignements sur les menaces ; Par exemple, Microsoft traite les informations sur les menaces en examinant les attaques sur ses plateformes Microsoft 360 et Azure basées sur le cloud. Facebook a également créé ses systèmes de renseignement sur les menaces, tout comme IBM .
Échanges de renseignements sur les menaces
Les principaux fournisseurs mondiaux d’outils de cybersécurité disposent d’une vaste base de clients, ce qui leur permet de recueillir quotidiennement des renseignements sur les menaces auprès de nombreuses entreprises. Cependant, le contrôle des renseignements sur les menaces par quelques entreprises mondiales ne permet pas au secteur de se développer grâce à l’entrée de nouveaux fournisseurs. Échanges de renseignements sur les menaces résoudre ce problème.
Les échanges de renseignements sur les menaces existent depuis longtemps. Il ne s’agit cependant pas d’une évolution récente visant à atténuer la domination des grands fournisseurs de cybersécurité.
Le premier système fournissant des renseignements sur les menaces était et est toujours gratuit. Il s'agit d'un service appelé le Échange ouvert de menaces (OTX). AlienVault a développé cette plateforme. L'activité AlienVault a évolué à partir d'un autre projet open source, appelé OSSIM , un premier système SIEM qui est toujours disponible et dont l'utilisation est gratuite.
OTX permet aux entreprises de contribuer et d'extraire des enregistrements d'un lac de données typique d'IoC. Les extraits peuvent être automatique et introduits directement dans les logiciels de cybersécurité. Depuis le lancement d’OTX, de nombreuses autres sources gratuites de renseignements sur les menaces sont disponibles. Plusieurs services d'abonnement ne sont directement associés à aucun fournisseur de logiciels de sécurité spécifique.
Formats de flux de renseignements sur les menaces
Bien qu’il n’existe pas de format unique pour les flux de renseignements sur les menaces, plusieurs initiatives ont formulé une présentation pour les enregistrements des flux de renseignements tactiques sur les menaces.
- STIX et TAXII
- OpenLoC
- MAEC
Les flux de renseignements sur les menaces peuvent également être fournis aux formats JSON et CSV.
STIX
STIX est probablement le format le plus connu pour les flux automatisés de renseignements sur les menaces. Il s’agit d’un projet open source et son accès est gratuit. Le nom est une abréviation de Structured Threat Information Expression. Il est étroitement lié à TAXI (Trusted Automated eXchange of Intelligence Information), un protocole administratif qui fournit un cadre pour organiser et distribuer des données au format STIX.
Le but de STIX est de formaliser la présentation des enregistrements TTP qui détaillent les stratégies de menace réelles, y compris des détails sur les équipes de pirates informatiques qui les sous-tendent. STIX est un flux lisible par machine qui intéresserait particulièrement les producteurs de systèmes tels que les gestionnaires de vulnérabilités.
OpenLoC
OpenLoC , cette norme est une Format XML pour communiquer les données IoC. Le système a été développé par Mandiant/FireEye et son utilisation est gratuite. Cependant, ce système est compliqué à intégrer dans des processus automatisés de génération et de consommation car il produit trois ont des records pour chaque IoC – métadonnées, références et définition.
Mandiant et FireEye ont connu une fusion, un changement de marque et une scission. En conséquence, la responsabilité d’OpenIoC incombe désormais à Oeil de feu . L'entreprise offre gratuitement Éditeur OpenIoC , Écrivain OpenIoC , et Recherche d'IoC .
MAEC
Énumération et caractérisation des attributs des logiciels malveillants (MAEC) (prononcé « Mike ») est un projet open source qui produit une gamme de mises en page pouvant être utilisées pour envoyer ou extraire des informations sur les menaces concernant les logiciels malveillants. Les formats proposent des langages pour coder les données destinées à être utilisées par les outils, extraire les données codées dans un format lisible par l'homme et assurer une transmission automatisée d'outil à outil.
MAEC c'est comme un langage de programmation qui décrit le comportement et les caractéristiques de chaque élément malveillant dans un package comprenant des enregistrements de différents formats.
Plateformes de renseignements sur les menaces
STIX est le plus répandu des trois principaux formats de flux open source décrits ci-dessus. Cependant, vous pouvez décider d'utiliser plusieurs flux. Canaliser plusieurs flux de renseignements sur les menaces vers un seul système de détection des menaces n’est pas une bonne idée. Le traitement de tous les différents flux, y compris les mêmes informations dans d’autres formats, ralentira la chasse aux menaces.
Une solution au danger de alourdir votre système avec trop de données saisies consiste à pré-traiter les flux en un seul flux d'enregistrements uniques. L’outil qui effectue cette action s’appelle une plateforme de renseignement sur les menaces (TIP).
Il est également possible de souscrire à un service de regroupeur qui résumera plusieurs flux en un seul. Cependant, bon nombre de ces services vous facturent les informations provenant de flux gratuits. De nombreux systèmes de détection des menaces sont regroupé dans une plateforme de renseignement sur les menaces pour prétraiter eux-mêmes plusieurs flux. Regarder Meilleures plateformes de renseignements sur les menaces (TIP) pour plus d’informations sur les plateformes de renseignement sur les menaces.
Les meilleurs flux de renseignements sur les menaces
Pour compléter ce rapport sur les renseignements sur les menaces, nous avons compilé un catalogue de bons flux auxquels s'abonner.
Voici notre liste des cinq meilleurs flux de renseignements sur les menaces :
- CrowdStrike Falcon Intelligence (ESSAI GRATUIT) CrowdStrike propose un service de renseignement sur les menaces dans le cadre de sa plateforme Cloud de services de sécurité appelée Falcon. CrowdStrike Falcon Intelligence est disponible en trois niveaux de forfait. Ce service vise principalement à améliorer les performances des systèmes médias XDR et SIEM. Cependant, ils peuvent également être liés à des outils de sécurité tiers. Falcon Intelligence fournit des rapports lisibles par l'homme ainsi que des flux automatisés envoyés directement aux services de sécurité. Vous pouvez vous inscrire pour un essai gratuit du logiciel.
- Échange ouvert de menaces AlienVault Il s’agit de la première collecte de renseignements sur les menaces participative, et elle reste probablement la meilleure, traitant plus de 19 millions de nouveaux enregistrements IoC chaque jour. Le service est gratuit et peut fournir des renseignements sur les menaces dans différents formats, notamment les formats STIX, OpenIoC, MAEC, JSON et CSV. Chaque instance de flux est appelée une « impulsion ». Vous pouvez définir vos besoins, obtenir des données préfiltrées spécifiques, et il existe également la possibilité d'obtenir des flux personnalisés par type d'appareil, tels que les points de terminaison. Si les données associées se trouvent en dehors des paramètres de votre flux, ces données supplémentaires seront liées aux enregistrements qui vous sont fournis.
- InfraGard du FBI Un flux de renseignements sur les menaces du FBI jouit d’une grande autorité et son accès est gratuit. Les flux sont classés par secteur d’activité selon la définition de la Cybersecurity and Infrastructure Security Agency. Il s’agit donc d’une liste filtrée des IoC selon le secteur d’activité. En rejoignant le service, vous vous inscrivez également dans une section locale, ce qui constitue une excellente opportunité de réseauter avec d'autres chefs d'entreprise locaux.
- Flux de menaces anormales Ce service d'agrégation consolide les flux de renseignements sur les menaces provenant de plusieurs sources en une seule. Le service utilise l'IA pour filtrer les faux positifs et les avertissements non pertinents. Il gère les données TTP et les IoC, et produira un flux automatisé pour votre logiciel de sécurité ainsi qu'un rapport lisible par l'homme. L'outil peut être exécuté sur site en tant que machine virtuelle ou accessible en tant que SaaS. Le package téléchargera également les rapports de votre système vers les bases de données de menaces et diffusera les avertissements d'activité de chacun de vos périphériques réseau à tous les autres.
- Intelligence des menaces Mandiant Ce service de renseignement sur les menaces est très respecté et propose des flux réguliers dans divers formats, notamment des rapports pour les analystes et des entrées pour les logiciels. Les informations couvrent à la fois les IoC et les TTP. Il existe une version gratuite de ce service.