Protéger le réseau contre les intrus avec la veille sur les menaces

L’entreprise s’efforce d’intégrer et de continuer à actualiser les mesures de sécurité pour se défendre contre le nombre croissant de cyberattaques. Toutefois, il s’avère difficile d’anticiper les cybermenaces. Les pirates excellent à exploiter les failles de sécurité et lancer des attaques ciblées. L’entreprise requiert donc une solide stratégie de sécurité pour parer les cyberattaques non structurées et sophistiquées.

La veille sur les menaces vise à aider les équipes de sécurité à prendre des décisions éclairées en contextualisant l’activité du réseau.

Aperçu de la veille sur les menaces

La veille sur les menaces offre une analyse contextuelle des sources malveillantes qui sert à identifier et prévenir les attaques et menaces avec des données historiques. L’entreprise utilise des flux de menaces open source disponibles au format STIX/TAXII ou externes de fournisseurs tiers pour détecter les attaques dans son réseau. Ces flux de menaces ajoutent un contexte opérationnel aux conclusions des données de journal, permettant aux administrateurs de suivre rapidement les attaques ciblées et sophistiquées.

Importance d’employer un système de veille sur les menaces

L’entreprise doit rester à jour des derniers vecteurs d’attaque ou son état de sécurité se dégrade. La veille met en contexte les données de journal pour pouvoir détecter précisément les menaces. De plus, les données des flux de menaces dynamiques aident l’entreprise à se défendre contre les attaques à venir.

La veille sur les menaces permet de protéger le réseau en alertant les administrateurs sur les anomalies et déclenchant immédiatement des mesures correctives pour limiter l’impact des attaques.

Veille sur les menaces et flux de menaces

L’entreprise intègre les données de flux à son système de sécurité pour identifier différentes sources malveillantes ou de menaces. Les flux de menaces sont corrélés à l’activité réseau pour déceler les événements suspects, les menaces ou les exploits.

Types de veille sur les menaces

La veille sur les menaces se classe comme suit :

• Stratégique

  Fournit un aperçu global du paysage des menaces (évolution des menaces et des attaques dans le temps). Identifie des tendances historiques, des modèles d’attaque et des modes d’exécution d’attaque. Il importe de connaître l’origine et le mobile d’une attaque, car cela renseigne sur le plan d’action futur possible de l’attaquant.

  La veille stratégique offre un aperçu utile avec les caractéristiques de l’intrusion ou attaque, le secteur ou lieu géographique visé et des statistiques sur les violations, les maliciels et le vol de données.

• Opérationnelle

  Définit la nature et l’objet de l’attaque (détails sur les capacités de l’attaquant). En traçant le contexte des incidents de sécurité et des événements, la veille opérationnelle aide les administrateurs à déceler les risques, comprendre les méthodes des attaquants et réaliser un examen détaillé des incidents.

• Tactique

  La veille tactique décrit précisément les indicateurs liés à l’attaque. Elle donne un aperçu des techniques, des outils et des tactiques d’un attaquant. Il s’agit de la forme la plus basique de veille sur les menaces, servant souvent à détecter les menaces machine-à-machine.

• Technique

  La veille technique informe sur les maliciels et les campagnes (flux de menaces). Elle donne une idée de ce qu’il faut rechercher, facilitant l’analyse d’un incident. Cible surtout les indices techniques d’une attaque, comme les lignes d’objet des messages de phishing ou les URL frauduleuses.