Dans un premier temps, les syst\u00e8mes SIEM ont \u00e9t\u00e9 cr\u00e9\u00e9s en tant qu\u2019outil qui permet de recueillir des informations sur les \u00e9v\u00e9nements de s\u00e9curit\u00e9 de l\u2019infrastructure afin de pouvoir\u00a0 les analyser gr\u00e2ce aux donn\u00e9es externes sur les cybermenaces connues. Ils ont bien fait leur travail pendant un certain temps. Pourtant, les menaces et l\u2019industrie de la s\u00e9curit\u00e9 des informations \u00e9voluent, et de plus en plus d\u2019outils de Threat Intelligence apparaissent sur le march\u00e9. De plus, les structures changent de fa\u00e7on significative. Pour de nombreux experts, il est \u00e9vident que les SIEM ont besoin d\u2019un nouvel outil qui permettrait de naviguer sur les flux de Threat Intelligence pour fonctionner efficacement.<\/p>\n
\u00c0 premi\u00e8re vue, on pourrait croire que plus vous connectez de flux de donn\u00e9es externes sur les cybermenaces \u00e0 votre syst\u00e8me SIEM, plus il sera efficace. Pourtant, ce n\u2019est pas le cas.<\/p>\n
Tout d\u2019abord, plus un syst\u00e8me g\u00e8re d\u2019indicateurs, plus il g\u00e9n\u00e8re d\u2019alertes. M\u00eame si nous partons du principe qu\u2019il y a un nombre minimum de faux positifs (personne n\u2019en est \u00e0 l\u2019abri), un analyste serait incapable de naviguer rapidement parmi les millions de notifications en double et de donner la priorit\u00e9 aux plus importantes.<\/p>\n
Ensuite, les syst\u00e8mes SIEM existants n\u2019ont tout simplement pas \u00e9t\u00e9 con\u00e7us pour g\u00e9rer un nombre infini d\u2019indicateurs. Lorsque vous connectez plusieurs flux, la charge de travail du syst\u00e8me augmente de fa\u00e7on consid\u00e9rable, ce qui peut avoir un effet n\u00e9gatif sur le taux de d\u00e9tection des incidents. Les cons\u00e9quences pourraient \u00eatre les m\u00eames si vous essayez de mettre en place un sc\u00e9nario de mises \u00e0 jour fr\u00e9quentes du flux de Threat Intelligence. Ce n\u2019est pas impossible, mais cela pourrait nuire aux performances et au taux de d\u00e9tection.<\/p>\n
De plus, le syst\u00e8me SIEM n\u2019est pas recommand\u00e9 pour un travail plus d\u00e9taill\u00e9 et direct avec les flux de Threat Intelligence. Par exemple, il ne peut pas comparer la qualit\u00e9 et le taux de d\u00e9tection des flux d\u2019autres fournisseurs ou g\u00e9rer les diff\u00e9rents types de masques des flux dont les indicateurs de compromission sont des URL, des h\u00f4tes ou des domaines. Si un analyste a besoin de plus d\u2019informations pour un indicateur, il devra utiliser un autre outil. Peu importe si le contexte n\u00e9cessaire existe dans les flux, le SIEM peut ne pas savoir comment y acc\u00e9der. Enfin, n\u2019oubliez pas le facteur \u00e9conomique. La plupart des syst\u00e8mes SIEM offrent des licences bas\u00e9es sur la charge de travail\u00a0: plus le syst\u00e8me traite d\u2019indicateurs, plus vous devrez payer.<\/p>\n
En g\u00e9n\u00e9ral, une plateforme de Threat Intelligence peut r\u00e9soudre tous les inconv\u00e9nients des syst\u00e8mes SIEM mentionn\u00e9s ci-dessus. Pour commencer, il s\u2019agit d\u2019un outil indispensable qui vous permet de naviguer parmi une multitude de flux de diff\u00e9rents fournisseurs. Vous pouvez connecter plusieurs flux (pas forc\u00e9ment dans le m\u00eame format) et les comparer selon divers param\u00e8tres. Par exemple, vous pouvez d\u00e9tecter des croisements d\u2019indicateurs dans diff\u00e9rents flux, ce qui devrait vous aider \u00e0 identifier les flux de donn\u00e9es en double et d\u2019\u00e9ventuellement en rejeter certains. Vous pouvez aussi comparer les flux selon les indices statistiques de d\u00e9tection. \u00c9tant donn\u00e9 que certains fournisseurs proposent une p\u00e9riode d\u2019essai pour utiliser leurs flux, cela pourrait vous permettre d\u2019\u00e9valuer leur efficacit\u00e9 avant de les acheter.<\/p>\n
Une plateforme de Threat Intelligence offre de nombreuses comp\u00e9tences suppl\u00e9mentaires \u00e0 l\u2019analyste SOC, ce que le SIEM ne peut pas faire. Par exemple, il y a une fonction de r\u00e9tro-analyse qui permet de rev\u00e9rifier les donn\u00e9es et les registres historiques sauvegard\u00e9s auparavant en r\u00e9f\u00e9rence aux nouveaux flux. Une autre fonctionnalit\u00e9 est l\u2019enrichissement des indicateurs \u00e0 partir de diverses sources tierces, comme VirusTotal. Enfin, une plateforme de Threat Intelligence d\u00e9cente, en commen\u00e7ant par une alerte sp\u00e9cifique, permet de trouver et de t\u00e9l\u00e9charger un rapport APT qui d\u00e9taille les tactiques, les techniques et les proc\u00e9dures des cybercriminels associ\u00e9s, et donne des conseils pratiques quant \u00e0 l\u2019application de contre-mesures.<\/p>\n
Une plateforme de Threat Intelligence vous permet de filtrer et de t\u00e9l\u00e9charger les indicateurs, de classer les incidents, de pr\u00e9senter toutes les informations pr\u00e9c\u00e9dentes sous la forme d\u2019une interface graphique pratique pour l\u2019analyste, et de faire bien d\u2019autres choses. Tout d\u00e9pend des fonctions de chaque plateforme.<\/p>\n
Dans l\u2019ensemble, la plateforme de Threat Intelligence install\u00e9e sur le r\u00e9seau interne d\u2019une entreprise r\u00e9alise le processus d\u2019analyse et de corr\u00e9lation des donn\u00e9es entrantes, ce qui all\u00e8ge de fa\u00e7on consid\u00e9rable la charge de travail du syst\u00e8me SIEM. Cette plateforme vous permet de g\u00e9n\u00e9rer vos propres alertes lorsque des menaces sont d\u00e9tect\u00e9es. De plus, elle s\u2019int\u00e8gre aux processus existants de surveillance et de r\u00e9ponse via une API.<\/p>\n
Sur le fond, une plateforme de Threat Intelligence g\u00e9n\u00e8re son propre flux de donn\u00e9es avec les d\u00e9tections, un flux personnalis\u00e9 selon les besoins de votre entreprise. C\u2019est particuli\u00e8rement utile si vous avez plusieurs syst\u00e8mes SIEM qui s\u2019ex\u00e9cutent en parall\u00e8le au sein de votre infrastructure. Sans une plateforme de Threat Intelligence, vous devrez charger les flux bruts dans chaque syst\u00e8me.<\/p>\n
Prenons l\u2019exemple d\u2019un indicent assez simple pour voir comment une plateforme de Threat Intelligence aide les analystes. Imaginez que l\u2019utilisateur d\u2019une entreprise a acc\u00e9d\u00e9 \u00e0 un site depuis son ordinateur professionnel. L\u2019URL du site est class\u00e9e comme malveillante dans le flux d\u2019informations sur les menaces. Ainsi, la plateforme identifie l\u2019incident, l\u2019enrichit \u00e0 partir des informations des flux et envoie cette d\u00e9tection au syst\u00e8me SIEM pour qu\u2019elle soit enregistr\u00e9e. Ensuite, cet incident arrive \u00e0 l\u2019analyste SOC. Ce dernier voit la d\u00e9tection du flux de l\u2019URL malveillante et d\u00e9cide de l\u2019\u00e9tudier de plus pr\u00e8s en utilisant une plateforme de Threat Intelligence.<\/p>\n
Il peut ouvrir les informations contextuelles disponibles dans le flux de Threat Intelligence directement depuis la liste des d\u00e9tections\u00a0: adresse IP, hachage du fichier malveillant associ\u00e9 avec cette adresse, verdicts de la solution de s\u00e9curit\u00e9, donn\u00e9es du service WHOIS, etc. Pour plus de clart\u00e9, une interface graphique s\u2019ouvre. C\u2019est le plus pratique pour analyser la cha\u00eene d\u2019attaque.<\/p>\n
Pour l\u2019instant, il n\u2019y a pas plus d\u2019informations\u00a0: l\u2019outil voit la d\u00e9tection, l\u2019URL malveillante trouv\u00e9e et l\u2019adresse IP interne de la machine que la personne a utilis\u00e9 pour ouvrir l\u2019URL. En cliquant sur l\u2019ic\u00f4ne de l\u2019URL malveillante, la plateforme demande les indicateurs connus pour l\u2019adresse\u00a0: adresses IP, URL suppl\u00e9mentaires ou encore hachage du fichier malveillant t\u00e9l\u00e9charg\u00e9 \u00e0 un moment.<\/p>\n
L\u2019\u00e9tape suivante consiste \u00e0 v\u00e9rifier si d\u2019autres d\u00e9tections ont \u00e9t\u00e9 enregistr\u00e9es au sein de l\u2019infrastructure de l\u2019entreprise en utilisant les m\u00eames indicateurs. L\u2019analyste clique sur n\u2019importe quel objet, par exemple l\u2019adresse IP malveillante, et affiche les autres d\u00e9tections sur le graphique. En d\u2019autres termes, il peut savoir en un clic quel utilisateur a ouvert quelle adresse IP, ou quelle machine a re\u00e7u l\u2019adresse IP en r\u00e9ponse \u00e0 la requ\u00eate d\u2019URL au serveur DNS. De m\u00eame, la plateforme v\u00e9rifie quels utilisateurs ont t\u00e9l\u00e9charg\u00e9 le fichier dont le hachage appara\u00eet dans les indicateurs associ\u00e9s.<\/p>\n
Il peut y avoir des milliers de d\u00e9tections lors d\u2019un seul incident, et il serait difficile de les trier manuellement sans l\u2019interface graphique facile \u00e0 utiliser de la plateforme de Threat Intelligence. Tout le contexte disponible gr\u00e2ce aux flux de donn\u00e9es sur les cybermenaces est affich\u00e9 dans le graphique. L\u2019analyste peut regrouper ou masquer les objets, et appliquer le regroupement automatique des n\u0153uds. Si l\u2019analyste \u00e0 d\u2019autres sources d\u2019informations, il peut ajouter manuellement un indicateur et marquer de fa\u00e7on ind\u00e9pendante les corr\u00e9lations.<\/p>\n
Ainsi, l\u2019expert peut reconstruire la cha\u00eene d\u2019attaque compl\u00e8te et comprendre comment tout a commenc\u00e9. Par exemple, l\u2019utilisateur a saisi l\u2019URL d\u2019un site malveillant, le serveur DNS a renvoy\u00e9 l\u2019adresse IP et ce m\u00eame utilisateur a t\u00e9l\u00e9charg\u00e9 un fichier avec un hachage connu depuis le site.<\/p>\n