Qu'est-ce qu'un flux d'informations sur les menaces ?

Les flux d'information sur les menaces sont des flux de données externes grâce auxquels les équipes de sécurité sont en mesure d'identifier les menaces.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Décrire le type d'informations contenues dans un flux d'informations sur les menaces
  • Discuter des avantages liés à l'utilisation d'un flux d'informations sur les menaces
  • Comprendre les sources d'informations sur les menaces

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce qu'un flux d'informations sur les menaces ?

Un flux d'informations sur les menaces est un flux de données sur les attaques potentielles (connu sous le nom de « informations sur les menaces  ») provenant d'une source externe. Les organisations peuvent utiliser les flux d'informations sur les menaces pour maintenir leurs défenses de sécurité à jour et prêtes à faire face aux dernières attaques.

Le fil d'actualité d'un site web journalistique ou le fil d'actualité d'une plateforme de médias sociaux affichent constamment des mises à jour : nouveau contenu, nouveaux éléments d'information, modifications apportées à des sujets en cours, etc. De la même façon, un flux d'informations sur les menaces est une source continuellement actualisée de données sur les menaces : indicateurs de compromission (IoC), domaines suspects , signatures de logiciels malveillants connus, et bien d'autres encore.

Les flux d'informations sur les menaces peuvent également être comparés à la reconnaissance militaire. Une armée peut être amenée à se servir d'informations sur les activités d'une force ennemie avant de prendre des décisions concernant la mise en place de ses défenses. De la même façon, les flux d'informations sur les menaces aident les équipes de sécurité à mieux se préparer aux cyberattaques actuelles et à venir.

Certains flux d'informations sur les menaces sont lisibles par une machine ; ces flux peuvent être mis à profit directement par les systèmes de gestion des informations et des événements de sécurité (SIEM) et par d'autres outils de sécurité. D'autres s'adressent aux humains et accompagnent les équipes de sécurité dans leurs actions et leurs décisions.

De nombreux flux d'informations sur les menaces sont gratuits et libres, afin de promouvoir la prévention des menaces à grande échelle. Certains flux d'informations sur les menaces sont exclusifs et ne sont accessibles qu'aux clients payants.

Qu'est-ce qu'une cybermenace ?

Le terme de « Menace » peut être défini comme une action susceptible d'entraîner le vol, la perte, le déplacement ou la modification de données sans autorisation. Il peut s'appliquer à la fois à des actions potentielles et à des actions réelles.

Si Chuck a volé le mot de passe de la messagerie d'Alice et pris la main sur sa boîte de réception, mais qu'il ne l'a pas encore fait pour Bob, Chuck représente toujours une menace pour Bob. Alice peut informer Bob de ce que Chuck a fait, afin que Bob puisse prendre des mesures pour se protéger de Chuck. Alice a donné à Bob une forme simple d'information sur les menaces : "Attention à Chuck !"

Mais pour être utiles aux outils et aux équipes de sécurité, les informations sur les menaces doivent être plus détaillées que la simple phrase « Attention à Chuck !». Les informations sur les menaces extérieures potentielles peuvent prendre plusieurs formes.

  • Tactiques, techniques et procédures (TTP) : Les TTP sont des descriptions détaillées du comportement d'une attaque.
  • Signatures de logiciels malveillants : une signature est un modèle unique ou une séquence d'octets permettant d'identifier un fichier. Les outils de sécurité peuvent rechercher des fichiers dont les signatures correspondent à des logiciels malveillants connus.
  • Indicateurs de compromission (IoC) : il s'agit d'éléments d'information qui permettent de déterminer qu'une attaque a eu lieu ou est en cours.
  • Adresses IP et domaines suspects : tout le trafic sur un réseau provient de quelque part. Si l'on constate que les attaques proviennent d'un certain domaine ou d'une certaine adresse IP, les pare-feu peuvent bloquer le trafic provenant de cette source afin de prévenir d'éventuelles attaques à venir.

D'où proviennent les informations sur les menaces contenues dans un flux ?

Les informations contenues dans un flux d'informations sur les menaces peuvent provenir de diverses sources, notamment :

  • Analyse du trafic Internet à la recherche d'attaques et d'exfiltration de données
  • Recherche approfondie par des professionnels de la sécurité
  • Analyse directe des logiciels malveillants, à l'aide de l'analyse heuristique, du sandboxing ou d'autres méthodes de détection des logiciels malveillants.
  • Données largement disponibles, en source ouverte, partagées au sein de la communauté de la sécurité
  • L'indexation du web pour identifier les attaques et les infrastructures d'attaque (Cloudflare Area 1 Email Security, par exemple, utilise une forme de cette technique dans le but d'identifier les attaques par phishing à l'avance)
  • Regroupement des données analytiques et télémétriques des clients d'une société de sécurité

Un fournisseur de flux d'informations sur les menaces compile ces informations, les ajoute à son flux et les distribue.

Pourquoi utiliser un flux d'informations sur les menaces ?

Informations actualisées : les cybercriminels veulent que leurs attaques aboutissent. C'est pourquoi ils modifient et élargissent constamment leurs tactiques afin de contourner les défenses. Les organisations qui sont configurées pour bloquer les attaques de l'année dernière peuvent être compromises par les tactiques d'attaque de cette année. Les équipes de sécurité veulent donc disposer des données les plus récentes afin d'informer leurs défenses et de faire en sorte qu'elles soient en mesure de stopper les attaques les plus récentes.

Une plus grande variété d'informations : les flux d'informations sur les menaces proposent un large éventail de données. Pour reprendre notre exemple, Bob peut avoir empêché Chuck de voler sa boîte aux lettres électronique par le passé, mais si Alice l'informe de la dernière attaque de Chuck, Bob sait alors comment bloquer à la fois l'attaque à laquelle il a été confronté auparavant et l'attaque dirigée contre Alice. De la même façon, les informations les menaces permettent aux organisations d'atténuer une plus grande variété de menaces.

Efficacité accrue : l'acquisition d'informations sur les menaces en provenance de sources externes permet aux équipes de sécurité de consacrer plus de temps au blocage des attaques qu'à la collecte de données. Les professionnels de la sécurité peuvent se consacrer à la prise de décisions et au déploiement de mesures d'atténuation plutôt qu'à la collecte des informations nécessaires à ces prises de décisions.Et les outils de sécurité tels que les WAF peuvent apprendre à reconnaître les attaques avant d'y être confrontés.

Comment les flux d'informations sur les menaces utilisent-ils STIX/TAXII ?

STIX et TAXII sont deux normes utilisées conjointement pour le partage d'informations sur les menaces. STIX est une syntaxe permettant de formater les informations sur les menaces, tandis que TAXII est un protocole normalisé pour la distribution de ces données (comme HTTP). De nombreux flux d'informations sur les menaces utilisent STIX/TAXII pour faire en sorte que leurs données puissent être largement interprétées et utilisées par une variété d'outils de sécurité.

Comment les flux d'informations sur les menaces de Cloudflare sont-ils diffusés ?

Cloudflare protège un grand pourcentage des sites web du monde (avec 57 millions de requêtes HTTP traitées chaque seconde), ce qui lui permet d'analyser une grande quantité de données sur le trafic réseau et de schémas d'attaque.  Ces données sont converties en informations sur les menaces, prêtes à être intégrées dans les outils de sécurité (via STIX/TAXII).

Cloudflare présente ce flux d'informations sur les menaces dans le cadre de son service Cloudforce One. Dirigé par une équipe de recherche expérimentée, Cloudforce One bloque des cyberattaquants dans le monde entier. En savoir plus sur Cloudforce One.