Le renseignement sur les menaces est une information sur les attaques potentielles. Le renseignement sur les menaces aide les organisations à prendre des mesures pour se défendre contre ces attaques.
Cet article s'articule autour des points suivants :
Contenu associé
En quoi consiste le cross-site scripting ?
Qu'est-ce que le débordement de tampon (buffer overflow) ?
Tout savoir sur la SQL injection
Pare-feu
Flux d'informations sur les menaces
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Le renseignement sur les menaces est une information sur les attaques potentielles auxquelles une organisation peut être confrontée et sur la manière de détecter et d'arrêter ces attaques. Les forces de l'ordre distribuent parfois des affiches "Wanted" contenant des informations sur les suspects ; de même, le renseignement sur les cybermenaces contient des informations sur l'aspect des menaces actuelles et leur provenance.
En termes de sécurité numérique, une menace "" est une action malveillante qui pourrait entraîner le vol de données, leur perte ou leur modification sans autorisation. Ce terme désigne à la fois les attaques potentielles et réelles. Le renseignement sur les menaces permet aux organisations de prendre des mesures contre les menaces, plutôt que de simplement fournir des données. Chaque élément de renseignement sur les menaces permet de détecter et de prévenir les attaques.
Certains types de renseignements sur les menaces peuvent être intégrés aux pare-feu , , aux pare-feu d'applications Web (WAF), aux systèmes de gestion des informations et des événements de sécurité (SIEM) et à d'autres produits de sécurité, ce qui leur permet d'identifier et de bloquer plus efficacement les menaces. D'autres types de renseignements sur les menaces sont plus généraux et aident les organisations à prendre des décisions stratégiques plus importantes.
La plupart des renseignements sur les menaces entrent dans l'une de ces trois catégories :
Une signature est un modèle unique ou une séquence d'octets permettant d'identifier un logiciel malveillant. De la même manière que les empreintes digitales sont utilisées pour identifier les personnes suspectées d'un crime, les signatures permettent d'identifier les logiciels malveillants.
La détection de signatures est l'une des formes les plus courantes d'analyse des logiciels malveillants. Pour être efficace, la détection de signatures doit être constamment mise à jour avec les dernières signatures de logiciels malveillants identifiés dans la nature.
Un indicateur de compromission (Indicator of Compromise, IoC) est une donnée qui permet de déterminer si une attaque a eu lieu ou est en cours. Un indicateur IoC est comparable à un élément de preuve physique qu'un détective pourrait recueillir afin de déterminer l'identité de personnes présentes sur la scène du crime. De même, certaines preuves numériques (activités inhabituelles enregistrées dans les journaux, trafic réseau vers des serveurs non autorisés, etc.) aident les administrateurs à déterminer quand une attaque a eu lieu (ou si elle se produit actuellement) et de quel type d'attaque il s'agit.
Sans IoC, il peut parfois être difficile de déterminer si une attaque a eu lieu ; il est souvent avantageux pour l'attaquant de ne pas être détecté (par exemple, s'il veut utiliser un appareil compromis dans un botnet ).
Un flux d'informations sur les menaces est un flux externe de données contenant des informations sur les menaces. À l'instar d'un flux RSS pour les blogs, les entreprises peuvent s'abonner à un flux d'informations sur les menaces afin de fournir à leurs systèmes des mises à jour de sécurité continues.
Certains flux de renseignements sur les menaces sont gratuits ; d'autres sont payants et fournissent des renseignements exclusifs qui ne sont pas disponibles auprès de sources ouvertes.
Cloudflare occupe une position unique pour collecter des informations sur les menaces à grande échelle. Des millions de sites Web sont protégés par le réseau Cloudflare. En analysant le trafic en provenance et à destination de ces sites Web, Cloudflare peut identifier des modèles de trafic malveillant provenant de bots, d'exploits de vulnérabilité et d'autres attaques.
Cloudflare utilise ces informations pour mieux protéger ses clients. Par exemple, Cloudflare crée des règles WAF et les déploie pour tous les clients WAF dès qu'une nouvelle menace est détectée. Cloudflare Bot Management utilise les renseignements sur les menaces provenant des milliards de requêtes que Cloudflare voit chaque jour pour apprendre à identifier les bots malveillants.
Pour en savoir plus sur les cybermenaces, consultez le site . Qu'est-ce que la sécurité des applications web ?
Prise en main
À propos de la sécurité des applications Web
Menaces courantes
Ressources VPN
Glossaire de sécurité