Qu'est-ce que le renseignement sur les menaces ?

Le renseignement sur les menaces est une information sur les attaques potentielles. Le renseignement sur les menaces aide les organisations à prendre des mesures pour se défendre contre ces attaques.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir le terme "renseignement sur les menaces".
  • Énumérer les principaux types de renseignements sur les cybermenaces
  • Découvrez les flux de renseignements sur les menaces

Copier le lien de l'article

Qu'est-ce que le renseignement sur les menaces en matière de cybersécurité ?

Le renseignement sur les menaces est une information sur les attaques potentielles auxquelles une organisation peut être confrontée et sur la manière de détecter et d'arrêter ces attaques. Les forces de l'ordre distribuent parfois des affiches "Wanted" contenant des informations sur les suspects ; de même, le renseignement sur les cybermenaces contient des informations sur l'aspect des menaces actuelles et leur provenance.

En termes de sécurité numérique, une menace "" est une action malveillante qui pourrait entraîner le vol de données, leur perte ou leur modification sans autorisation. Ce terme désigne à la fois les attaques potentielles et réelles. Le renseignement sur les menaces permet aux organisations de prendre des mesures contre les menaces, plutôt que de simplement fournir des données. Chaque élément de renseignement sur les menaces permet de détecter et de prévenir les attaques.

Certains types de renseignements sur les menaces peuvent être intégrés aux pare-feu , , aux pare-feu d'applications Web (WAF), aux systèmes de gestion des informations et des événements de sécurité (SIEM) et à d'autres produits de sécurité, ce qui leur permet d'identifier et de bloquer plus efficacement les menaces. D'autres types de renseignements sur les menaces sont plus généraux et aident les organisations à prendre des décisions stratégiques plus importantes.

Quels sont les trois principaux types de renseignements sur les menaces ?

La plupart des renseignements sur les menaces entrent dans l'une de ces trois catégories :

  1. Le renseignement stratégique décrit les tendances générales et les problèmes à long terme. Elle peut également inclure les motivations, les objectifs et les méthodes des attaquants connus.
  2. Les renseignements opérationnels décrivent les tactiques, techniques et procédures (TTP) utilisées par les attaquants - par exemple, les boîtes à outils ou les kits d'exploitation utilisés par les attaquants, d'où proviennent leurs attaques ou les étapes qu'ils suivent généralement pour mener à bien une attaque.
  3. Renseignement tactique : détails spécifiques sur le terrain concernant les menaces ; il permet aux organisations d'identifier les menaces au cas par cas. Les signatures de logiciels malveillants et les indicateurs de compromission (IoC) sont des exemples de renseignements tactiques. Ces deux termes sont expliqués plus en détail ci-dessous.

Qu'est-ce qu'une signature de logiciel malveillant ?

Une signature est un modèle unique ou une séquence d'octets permettant d'identifier un logiciel malveillant. De la même manière que les empreintes digitales sont utilisées pour identifier les personnes suspectées d'un crime, les signatures permettent d'identifier les logiciels malveillants.

La détection de signatures est l'une des formes les plus courantes d'analyse des logiciels malveillants. Pour être efficace, la détection de signatures doit être constamment mise à jour avec les dernières signatures de logiciels malveillants identifiés dans la nature.

Que sont les indicateurs de compromission (IoC) ?

Un indicateur de compromission (IoC) est un élément de données qui permet d'identifier si une attaque a eu lieu ou est en cours. Un IoC est comparable à un élément de preuve physique qu'un détective pourrait recueillir pour déterminer qui était présent sur la scène du crime. De même, certaines preuves numériques - activité inhabituelle enregistrée dans les journaux, trafic réseau vers des serveurs non autorisés, etc. - aident les administrateurs à déterminer quand une attaque a eu lieu (ou est en cours) et de quel type d'attaque il s'agit.

Sans IoC, il peut parfois être difficile de déterminer si une attaque a eu lieu ; il est souvent avantageux pour l'attaquant de ne pas être détecté (par exemple, s'il veut utiliser un appareil compromis dans un botnet ).

Qu'est-ce qu'un flux de renseignements sur les menaces ?

Un flux de renseignements sur les menaces est un flux externe de données sur les menaces. À l'instar d'un flux RSS pour les blogs, les organisations peuvent s'abonner à un flux de renseignements sur les menaces afin de fournir des mises à jour de sécurité constantes à leurs systèmes.

Certains flux de renseignements sur les menaces sont gratuits ; d'autres sont payants et fournissent des renseignements exclusifs qui ne sont pas disponibles auprès de sources ouvertes.

En quoi l'approche adoptée par Cloudflare pour recueillir des renseignements sur les menaces est-elle unique ?

Cloudflare occupe une position unique pour collecter des informations sur les menaces à grande échelle. Des millions de sites Web sont protégés par le réseau Cloudflare. En analysant le trafic en provenance et à destination de ces sites Web, Cloudflare peut identifier des modèles de trafic malveillant provenant de bots, d'exploits de vulnérabilité et d'autres attaques.

Cloudflare utilise ces informations pour mieux protéger ses clients. Par exemple, Cloudflare crée des règles WAF et les déploie pour tous les clients WAF dès qu'une nouvelle menace est détectée. Cloudflare Bot Management utilise les renseignements sur les menaces provenant des milliards de requêtes que Cloudflare voit chaque jour pour apprendre à identifier les bots malveillants.

Pour en savoir plus sur les cybermenaces, consultez le site . Qu'est-ce que la sécurité des applications web ?

Service commercial