Les flux d'information sur les menaces sont des flux de données externes grâce auxquels les équipes de sécurité sont en mesure d'identifier les menaces.
Cet article s'articule autour des points suivants :
Contenu associé
Informations sur les menaces
Modélisation de la menace
Traque des menaces
STIX/TAXII
Test de pénétration
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Un flux d'informations sur les menaces est un flux de données sur les attaques potentielles (connu sous le nom de « informations sur les menaces ») provenant d'une source externe. Les organisations peuvent utiliser les flux d'informations sur les menaces pour maintenir leurs défenses de sécurité à jour et prêtes à faire face aux dernières attaques.
Le fil d'actualité d'un site web journalistique ou le fil d'actualité d'une plateforme de médias sociaux affichent constamment des mises à jour : nouveau contenu, nouveaux éléments d'information, modifications apportées à des sujets en cours, etc. De la même façon, un flux d'informations sur les menaces est une source continuellement actualisée de données sur les menaces : indicateurs de compromission (IoC), domaines suspects , signatures de logiciels malveillants connus, et bien d'autres encore.
Les flux d'informations sur les menaces peuvent également être comparés à la reconnaissance militaire. Une armée peut être amenée à se servir d'informations sur les activités d'une force ennemie avant de prendre des décisions concernant la mise en place de ses défenses. De la même façon, les flux d'informations sur les menaces aident les équipes de sécurité à mieux se préparer aux cyberattaques actuelles et à venir.
Certains flux d'informations sur les menaces sont lisibles par une machine ; ces flux peuvent être mis à profit directement par les systèmes de gestion des informations et des événements de sécurité (SIEM) et par d'autres outils de sécurité. D'autres s'adressent aux humains et accompagnent les équipes de sécurité dans leurs actions et leurs décisions.
De nombreux flux d'informations sur les menaces sont gratuits et libres, afin de promouvoir la prévention des menaces à grande échelle. Certains flux d'informations sur les menaces sont exclusifs et ne sont accessibles qu'aux clients payants.
Le terme de « Menace » peut être défini comme une action susceptible d'entraîner le vol, la perte, le déplacement ou la modification de données sans autorisation. Il peut s'appliquer à la fois à des actions potentielles et à des actions réelles.
Si Chuck a volé le mot de passe de la messagerie d'Alice et pris la main sur sa boîte de réception, mais qu'il ne l'a pas encore fait pour Bob, Chuck représente toujours une menace pour Bob. Alice peut informer Bob de ce que Chuck a fait, afin que Bob puisse prendre des mesures pour se protéger de Chuck. Alice a donné à Bob une forme simple d'information sur les menaces : "Attention à Chuck !"
Mais pour être utiles aux outils et aux équipes de sécurité, les informations sur les menaces doivent être plus détaillées que la simple phrase « Attention à Chuck !». Les informations sur les menaces extérieures potentielles peuvent prendre plusieurs formes.
Les informations contenues dans un flux d'informations sur les menaces peuvent provenir de diverses sources, notamment :
Un fournisseur de flux d'informations sur les menaces compile ces informations, les ajoute à son flux et les distribue.
Informations actualisées : les cybercriminels veulent que leurs attaques aboutissent. C'est pourquoi ils modifient et élargissent constamment leurs tactiques afin de contourner les défenses. Les organisations qui sont configurées pour bloquer les attaques de l'année dernière peuvent être compromises par les tactiques d'attaque de cette année. Les équipes de sécurité veulent donc disposer des données les plus récentes afin d'informer leurs défenses et de faire en sorte qu'elles soient en mesure de stopper les attaques les plus récentes.
Une plus grande variété d'informations : les flux d'informations sur les menaces proposent un large éventail de données. Pour reprendre notre exemple, Bob peut avoir empêché Chuck de voler sa boîte aux lettres électronique par le passé, mais si Alice l'informe de la dernière attaque de Chuck, Bob sait alors comment bloquer à la fois l'attaque à laquelle il a été confronté auparavant et l'attaque dirigée contre Alice. De la même façon, les informations les menaces permettent aux organisations d'atténuer une plus grande variété de menaces.
Efficacité accrue : l'acquisition d'informations sur les menaces en provenance de sources externes permet aux équipes de sécurité de consacrer plus de temps au blocage des attaques qu'à la collecte de données. Les professionnels de la sécurité peuvent se consacrer à la prise de décisions et au déploiement de mesures d'atténuation plutôt qu'à la collecte des informations nécessaires à ces prises de décisions.Et les outils de sécurité tels que les WAF peuvent apprendre à reconnaître les attaques avant d'y être confrontés.
STIX et TAXII sont deux normes utilisées conjointement pour le partage d'informations sur les menaces. STIX est une syntaxe permettant de formater les informations sur les menaces, tandis que TAXII est un protocole normalisé pour la distribution de ces données (comme HTTP). De nombreux flux d'informations sur les menaces utilisent STIX/TAXII pour faire en sorte que leurs données puissent être largement interprétées et utilisées par une variété d'outils de sécurité.
Cloudflare protège un grand pourcentage des sites web du monde (avec 60 millions de requêtes HTTP traitées chaque seconde), ce qui lui permet d'analyser une grande quantité de données sur le trafic réseau et de schémas d'attaque. Ces données sont converties en informations sur les menaces, prêtes à être intégrées dans les outils de sécurité (via STIX/TAXII).
Cloudflare présente ce flux d'informations sur les menaces dans le cadre de son service Cloudforce One. Dirigé par une équipe de recherche expérimentée, Cloudforce One bloque des cyberattaquants dans le monde entier. En savoir plus sur Cloudforce One.
Prise en main
À propos de la sécurité des applications Web
Menaces courantes
Ressources VPN
Glossaire de sécurité