Le Rapport DBIR de Verizon rappelle chaque année que tout le monde – Etat, entreprise, individu – est une cible potentielle. La Threat Intelligence peut aider les entreprises à renforcer leurs défenses de plusieurs façons : du classement des menaces par ordre d’importance jusqu’aux dossiers approfondis sur l’attaquant, en passant par la formation des responsables du SOC.
Le bénéfice immédiat du renseignement consiste à automatiser l’acquisition et le déploiement des technologies de cybersécurité pour accélérer la détection et le blocage des attaques. Cependant, cela souligne l’objectif initial de donner un sens à tous les renseignements, afin d’identifier ce qui est pertinent et ce qui l’est moins.
À mesure que les responsables de la sécurité se concentrent sur l’information pertinente pour détecter et arrêter les adversaires, ils découvrent des modèles d’attaque. Généralement, après plusieurs attaques, un modèle apparaît. Celui-ci indiquant l’utilisation d’un vecteur spécifique à plusieurs reprises (ex. spearphishing) ou une chronologie des nouvelles attaques, permettant d’identifier leur cadence et leur répétition (ex. juste avant les vacances ou dans les 36 heures suivant la publication d’un patch de sécurité).
Ces modèles d’attaque définissent le mode opératoire standard de l’adversaire (TTP – tactiques, techniques et procédures) permettant d’effectuer des tests pour évaluer comment les technologies défensives permettent de lutter contre la menace. Comment les défenses en place se heurtent à de ransomware par exemple ou à des attaques Etatiques ? Les entreprises ont-elles les bonnes procédures de réponse aux incidents en place ?
Connaître l’ennemi est une tactique de défense fondamentale pour améliorer la cybersécurité. Cet effort permet également de répertorier les TTPs (tactiques, techniques et procédures) critiques et de créer un dossier sur l’adversaire. Ces dossiers fournissent des fiches aide-mémoire à la fois pour ceux qui dirigent les investigations, mais aussi pour les personnes qui rejoignent l’équipe du SOC ou les profils « juniors », qui peuvent ainsi étudier les principaux adversaires, dans le but d’améliorer la cybersécurité.
