La Cyber Threat Intelligence (CTI) peut être définie comme une connaissance fondée sur des preuves sur les adversaires, y compris leurs indicateurs, leurs tactiques, leurs motivations et les conseils pratiques à leur encontre. Ceux-ci peuvent être utilisés pour protéger les actifs critiques et éclairer les équipes de cybersécurité et les décisions commerciales de la direction.
Il serait courant d’utiliser les termes « données », « information » et « renseignement » de manière interchangeable. Distinguons-les cependant pour mieux comprendre comment la CTI entre en jeu
Données : indicateurs discrets associés à un adversaire, tels que des adresses IP, des URL ou des hachages.
Informations : une combinaison de plusieurs points de données qui répondent à des questions telles que « Combien de fois les employés ont-ils accédé à tryhackme.com au cours du mois ? »
Intelligence : corrélation de données et d'informations pour extraire des modèles d'actions basés sur une analyse contextuelle.
L'objectif principal du CTI est de comprendre la relation entre votre environnement opérationnel et votre adversaire et comment défendre votre environnement contre toute attaque. Vous atteindrez cet objectif en développant votre contexte de cybermenace en essayant de répondre aux questions suivantes :
Avec ces questions, les renseignements sur les menaces seraient collectés auprès de différentes sources dans les catégories suivantes :
Interne:
Événements de sécurité d’entreprise tels que les évaluations de vulnérabilité et les rapports de réponse aux incidents.
Rapports de formation sur la sensibilisation à la cybersécurité.
Journaux et événements système.
Communauté:
Externe
Menace Intel vise à comprendre la relation entre votre environnement opérationnel et votre adversaire. Dans cette optique, nous pouvons répartir les informations sur les menaces selon les classifications suivantes :
Informations stratégiques : informations de haut niveau qui examinent le paysage des menaces de l'organisation et cartographient les zones de risque en fonction des tendances, des modèles et des menaces émergentes susceptibles d'avoir un impact sur les décisions commerciales.
Informations techniques : examine les preuves et les artefacts d'attaque utilisés par un adversaire. Les équipes de réponse aux incidents peuvent utiliser ces informations pour créer une surface d'attaque de base afin d'analyser et de développer des mécanismes de défense.
Renseignements tactiques : évalue les tactiques, techniques et procédures (TTP) des adversaires. Ces informations peuvent renforcer les contrôles de sécurité et remédier aux vulnérabilités grâce à des enquêtes en temps réel.
Intel opérationnel : examine les motivations spécifiques et l'intention d'un adversaire de mener une attaque. Les équipes de sécurité peuvent utiliser ces informations pour comprendre les actifs critiques disponibles dans l'organisation (personnes, processus et technologies) qui peuvent être ciblés.