Plateformes de cyberveille

Kurt Baker - août 23, 2022

Qu’est-ce qu’une plateforme de cyberveille ?

Une plateforme de cyberveille automatise la collecte, l’agrégation et le rapprochement des données sur les menaces externes. Elle fournit aux équipes de sécurité les informations les plus récentes sur les cybermenaces dans l’optique d’atténuer les risques associés pour leur entreprise.

La cyberveille est un outil fondamental permettant aux équipes de cybersécurité de prendre des décisions avant et après incident. Actuellement, les équipes de cybersécurité ne manquent pas de sources de cyberveille. Dizaines d’articles d’actualité, centaines de flux d’indicateurs open source gratuits, centres d’échange et d’analyse d’informations (ISAC), cyberveille assurée par les fournisseurs : les professionnels croulent vraiment sous les informations. Les consommateurs de toutes ces données se posent évidemment des questions : auxquelles dois-je me fier, y a-t-il des recoupements et comment puis-je traduire toutes ces données en informations directement exploitables pour mes contrôles ou en cours de workflow ?

Utilisateurs des plateformes de cyberveille

Le recours à une plateforme de cyberveille présente le grand avantage de faciliter le partage des informations sur les cybermenaces externes à travers toute l’entreprise avec les parties prenantes techniques et non techniques. À cette fin, les workloads sont automatisés et les données recueillies sont intégrées et constamment enrichies.

Voici quelques métiers de la cyberveille et leurs missions :

Analyste sécurité et analyste informatique

Recourt à la cyberveille pour optimiser les fonctionnalités de prévention et de détection et consolider les défenses.

Missions de l’analyste

  • Intégrer les flux de cyberveille dans d’autres produits de sécurité
  • Bloquer les adresses IP, URL, noms de domaine, fichiers, etc. malveillants

SOC (Security Operation Center)

Priorise la réponse à incident en fonction du risque et de l’impact sur l’entreprise.

Missions du SOC

  • Tirer parti de la cyberveille pour enrichir les alertes
  • Mettre en corrélation des alertes pour détecter des incidents
  • Limiter les faux positifs et la lassitude face aux alertes répétées

Équipe de réponse aux incidents de sécurité informatique (CSIRT, Computer Security Incident Response Team)

Diligente l’investigation, la gestion et la priorisation d’un incident de sécurité.

Missions du CSIRT

  • Récolter des informations sur les motivations, les attributions et les tactiques, techniques et procédures (TTP) d’un incident
  • Analyser les causes pour déterminer l’ampleur de l’incident

Analyste en cyberveille

Identifie et suit l’activité des cybermenaces ciblant l’entreprise pour mieux cerner le paysage actuel des cybermenaces et effectuer des analyses avancées pour comprendre rapidement le contexte des alertes organisationnelles parmi les acteurs, campagnes, incidents, logiciels malveillants, signatures, TTP et vulnérabilités connus.

Missions de l’analyste en cyberveille

  • Agréger des données structurées et non (rapports) relatives aux cybercriminels pour apprendre à mieux les repérer
  • Faciliter le tri des alertes et la réponse à incident
  • Définir la priorité des correctifs de vulnérabilité

Équipe de direction

Appréhende les risques auxquels l’entreprise est confrontée et les options dont elle dispose pour faire face à leurs conséquences.

Missions de l’équipe de direction

  • Évaluer le niveau de menace global de l’entreprise
  • Établir une feuille de route de la sécurité

Fonctionnement des plateformes de cyberveille

Les plateformes de cyberveille recueillent automatiquement des données provenant de diverses sources externes. Ensuite, elles les agencent dans des formats présentables et analysables par l’homme ou la machine.

Cependant, les menaces évoluent sans cesse. Les entreprises doivent s’adapter rapidement si elles veulent prendre des mesures fortes. Les équipes de sécurité ont besoin d’un référentiel pour optimiser leurs ressources et rester au fait du paysage des cybermenaces. Le cycle de vie de la cyberveille est une procédure en six points qui s’acquitte précisément de cette tâche :

1.Définition des objectifs

À l’étape de la planification, l’entreprise définit les consommateurs de la cyberveille et les résultats souhaités. Par exemple, les renseignements nécessaires à la détection spécifique, à la réponse après incident ou à la compréhension des menaces les plus pertinentes pour la surface d’attaque de l’entreprise. Dans cette phase de définition, il importe de d’abord cerner les principaux types de cybermenaces, p. ex. les cybercriminels les plus susceptibles de cibler l’entreprise, les tactiques les plus courantes et les parties prenantes à tenir informées.

2. Collecte

Les plateformes de cyberveille commencent généralement par recueillir des données brutes à l’extérieur de l’entreprise, p. ex. auprès de fournisseurs de solutions de sécurité, de communautés, de bases de données nationales des vulnérabilités ou de flux de données open source. Les fournisseurs de solutions de sécurité peuvent agréger les données de l’ensemble de leur base d’utilisateurs et soit intégrer les flux de données de cyberveille qui en résultent dans leurs solutions au bénéfice de leurs clients, soit mettre les flux de données à disposition en tant que produit distinct. Autres sources : les flux de données spécifiques à un secteur, les « cercles de confiance » des experts de la cybersécurité et les forums du Dark Web. Les flux de données open source sont disponibles auprès de nombreux intervenants, notamment la Cybersecurity and Infrastructure Security Agency (CISA), le SANS Institute et Google. Quant aux robots d’indexation, ils peuvent servir à passer Internet au peigne fin pour débusquer des exploits et des attaques.

3. Traitement

Les données brutes sont converties dans des formats analysables. Cette opération passe par le décryptage de fichiers, la traduction du contenu de source étrangère, l’organisation des données dans des feuilles de calcul et l’évaluation de la fiabilité et de la pertinence des données.

4. Analyse

À cette étape, les données brutes sont converties en cyberveille exploitable pour formuler des plans d’action conformément aux décisions prises lors de la phase de définition des objectifs. Les informations obtenues sont présentées dans des rapports et évaluations à l’intention de différents publics :

  • La cyberveille stratégique est destinée aux planificateurs de sécurité de haut niveau. Elle s’intéresse surtout aux grandes tendances afin de planifier les investissements et les politiques de sécurité.
  • La cyberveille tactique se concentre sur les indicateurs de compromission. Elle accélère l’identification et l’élimination d’une cybermenace potentielle. Plus facile à générer, la cyberveille tactique est généralement automatisée.
  • La cyberveille opérationnelle prête attention aux auteurs ainsi qu’aux tenants et aboutissants d’une cyberattaque. Son but est de comprendre les tactiques, les motivations et les niveaux de compétence des cyberattaquants. On peut ainsi mettre en place les défenses adéquates avant la cyberattaque suivante ou une cyberattaque similaire.

5. Diffusion

Les résultats d’analyse sont traduits en recommandations adaptées à des publics spécifiques et présentés aux parties prenantes. À cette étape, il est important d’éviter le jargon technique et de rester concis. Un rapport d’une page ou un bref diaporama sont les formats de présentation idéaux.

6. Retour d’informations

Vu l’évolution constante du paysage des cybermenaces, un retour d’informations permanent s’impose. À cette étape, demandez aux parties prenantes de juger la pertinence des rapports fournis et mesurez l’efficacité des contrôles techniques en place. Ces commentaires peuvent servir à ajuster la sélection des sources externes de cyberveille ainsi que la priorisation des nouvelles informations générées en fonction du contexte.

Principales caractéristiques de la plateforme de cyberveille

Une plateforme de cyberveille reposant uniquement sur des indicateurs ne constitue pas un outil de sécurité adéquat dans l’environnement actuel des cybermenaces sophistiquées. Les cyberadversaires changent souvent de tactique et les indicateurs recueillis ne permettent pas d’identifier leurs motivations ou leur niveau. Il faut trouver une solution qui intègre plusieurs formes de cyberveille et offre aux utilisateurs la possibilité de passer en revue et distribuer les données. Les plateformes de cyberveille doivent consolider et dédupliquer les indicateurs provenant de plusieurs sources. Cependant, c’est l’enrichissement des données sur les cyberattaquants et leurs tactiques qui peut vraiment donner aux équipes de sécurité des pistes sur les mesures à prendre. En outre, il faut automatiser l’identification des nouvelles campagnes de cyberattaque et l’intégrer à un large éventail de contrôles ou d’outils de détection : analyse de la sécurité (SIEM, NBA), détection et intervention sur les endpoints (EDR), pare-feu de nouvelle génération (NGFW), outils de gestion des vulnérabilités et des ressources, et workflows de réponse à incident.

Prise en charge des plateformes de cyberveille par CrowdStrike

CrowdStrike prend en charge les plateformes de cyberveille en proposant des intégrations prédéfinies et un accès API à notre module de cyberveille primé : CrowdStrike Falcon® Intelligence™. CrowdStrike Falcon® Intelligence fournit des indicateurs de compromission enrichis en données contextuelles, des rapports sur les menaces, une analyse antimalware en environnement sandbox, l’attribution et un référentiel de logiciels malveillants consultable. CrowdStrike propose également une intégration à des fournisseurs de plateformes de cyberveille de pointe, tels que ThreatQuotient, ThreatConnect et Anomali, qui fournissent des informations exploitables sur les principaux acteurs de la cybermenace, les vecteurs de cyberattaque et les tendances en matière de cyberveille.

Précisons que la plateforme de cyberveille n’est qu’une solution parmi d’autres pour les cas d’usage évoqués dans cet article. L’architecture de sécurité cloud de CrowdStrike corrèle chaque jour des billions d’événements de sécurité recueillis auprès de millions d’endpoints et de workloads cloud dans le monde. En conjuguant l’intelligence artificielle et analyse humaine par des experts, nous générons chaque année des millions d’indicateurs de compromission en temps réel et des milliers de rapports de cyberveille à l’intention des clients CrowdStrike. Ceux-ci peuvent avoir recours à la plateforme de cyberveille dans la majorité des cas énoncés ci-dessus, et ce sans avoir à déployer une nouvelle infrastructure ou à définir de nouveaux workloads.

Envie de savoir comment nos clients tirent parti de CrowdStrike pour réaliser leurs objectifs de cyberveille ? Rendez-vous sur nos pages CrowdStrike Falcon® Intelligence et Plateforme Falcon.

À PROPOS DE L'AUTEUR

Kurt Baker est directeur du marketing produits de Falcon Intelligence chez CrowdStrike. Il possède plus de 25 années d’expérience à des postes de direction, principalement acquise auprès d’éditeurs de logiciels émergents. Il possède une grande expertise en matière de cyberveille, d’analyse et de gestion de la sécurité ainsi que de protection contre les menaces avancées. Avant de rejoindre CrowdStrike, Kurt Baker a occupé des postes techniques chez Tripwire et a participé à la création de plusieurs startups sur divers marchés allant des solutions de sécurité d’entreprise aux terminaux mobiles. Il est diplômé de l’Université de Washington et réside actuellement à Boston, aux États-Unis.