Cyber renseignements sur les menaces est une information utilisée pour identifier les cyberattaques présentes ou futures contre les systèmes d'une organisation. Les entreprises peuvent s'abonner aux flux et services de renseignements sur les menaces pour en savoir plus sur les campagnes de logiciels malveillants ou de menaces en cours et profiter des services permettant d'identifier les menaces potentielles pour une entreprise, ses employés et ses clients.
Cyber renseignements sur les menaces donne un aperçu du paysage actuel des menaces et des cyberattaques potentielles auxquelles les entreprises peuvent être confrontées. Il peut également s'agir d'informations sur des intrusions et d'autres incidents de sécurité auxquels une organisation a déjà été confrontée.
Les renseignements sur les menaces sont essentiels pour garantir que les organisations allouent des ressources limitées en matière de cybersécurité de manière à maximiser les avantages potentiels pour l'organisation.
En connaissant les campagnes de menaces en cours, les entreprises peuvent adapter leurs défenses afin de maximiser leur capacité à identifier et à bloquer les cyberattaques à venir. De plus, les renseignements sur les menaces sont utiles pour identifier les intrusions passées dans les systèmes d'une entreprise et évaluer l'impact potentiel sur l'entreprise et ses clients.
Les cyber-renseignements sur les menaces comprennent toutes les informations qui peuvent être utilisées pour informer l'entreprise sur les cyber-menaces potentielles auxquelles elle est confrontée et sur la manière d'y faire face. La majorité des renseignements sur les menaces traite des cyberattaques actuelles et des variantes actives de logiciels malveillants.
Toutefois, les organisations peuvent également avoir accès à des types de renseignements sur les menaces plus ciblés, leur fournissant des informations sur les risques pour leur marque ou sur les données ayant fait l'objet d'une fuite à la suite d'une violation de données.
L'essentiel des données des renseignements techniques sur les menaces est lié aux TTP utilisées par les différents acteurs de la menace. Lorsque de nouveaux logiciels malveillants ou de nouvelles campagnes de cyberattaques sont détectés, les chercheurs en sécurité collectent et diffusent des indicateurs d'attaque (IoA) et des indicateurs de compromission (IoC) qui peuvent être utilisés pour identifier ces menaces.
Par exemple, un flux de renseignements stratégiques sur les menaces pourrait inclure des hachages de fichiers pour les nouvelles variantes de logiciels malveillants ainsi que les adresses IP et les noms de domaine associés à des campagnes d'attaques cybernétiques connues.
Les organisations peuvent s'abonner à des flux de renseignements tactiques sur les menaces pour collecter ces informations et les transmettre à leurs solutions de sécurité. Ces données peuvent également être filtrées ou personnalisées afin d'identifier les menaces pertinentes auxquelles une organisation est le plus susceptible d'être confrontée :
En tirant parti de ces renseignements plus ciblés sur les menaces, une organisation peut évaluer avec plus de précision les types de menaces auxquels elle est susceptible d'être confrontée et la manière de s'en défendre au mieux.
Les cybercriminels utilisent couramment des adresses électroniques et des sites web fictifs dans leurs attaques de hameçonnage. Cela a pour but de faire paraître les attaques potentielles légitimes aux yeux de leurs cibles et de profiter de la confiance de ces dernières dans la marque.
Cette pratique peut nuire considérablement à la réputation d'une organisation auprès de ses clients, vendeurs, fournisseurs et autres partenaires.
Les informations ci-dessous peuvent être collectées en tant que renseignements sur les menaces personnalisées pour une organisation :
L'organisation peut alors prendre des mesures pour protéger sa marque contre ces menaces.
Souvent, il faut du temps pour qu'une violation soit détectée, si tant est que l'entreprise s'en aperçoive.
Dans le rapport sur l'état d'une violation de données, IBM et Ponemon font une distinction entre les violations identifiées dans les 200 jours et celles qui ont pris plus de 200 jours pour être détectées lorsqu'ils comparent le prix et l'impact d'une détection plus rapide des violations.
Dans certains cas, les entreprises n'apprennent l'existence d'une violation que lorsque les données de l'entreprise, des employés ou des clients sont mises en vente sur le dark web. Les services de surveillance des brèches peuvent être recherchés :
renseignements sur les menaces donne un aperçu des cybermenaces potentielles auxquelles une entreprise peut être confrontée ou des failles qu'elle n'a pas encore identifiées dans ses systèmes.
Cet ensemble diversifié d'informations sur la sécurité a de nombreuses applications potentielles au sein d'une organisation.
L'une des applications les plus courantes des renseignements stratégiques sur les menaces est l'identification des incidents de sécurité potentiels par le biais de la détection des menaces persistantes et de la chasse aux menaces. Les flux de renseignements sur les menaces fournissent généralement des éléments de référence que les organisations peuvent rechercher dans leurs systèmes afin d'identifier et de bloquer une attaque imminente ou de détecter la présence d'un intrus dans leurs systèmes.
Les services de renseignements sur les menaces sont fournis par une équipe conjointe Check Point du pilier Assess d'Infinity Global Services et de l'organisation Check Point Research (CPR). Le CPR est composé de plus de 150 chercheurs et analystes. Cette équipe travaille également en étroite collaboration avec des tiers, y compris d'autres fournisseurs de sécurité, divers CERT et les forces de l'ordre.
Le CPR s'appuie sur des renseignements sur les menaces et d'autres données provenant d'un grand nombre d'endroits différents. Il s'agit notamment de sources accessibles au public, de l' IA ThreatCloud de Check Point, de solutions et de technologies externes fournies par nos partenaires de service, et de renseignements recueillis sur le dark web.
En interne, l'équipe de sécurité a créé des modules d'apprentissage machine personnalisés, des techniques de rétro-ingénierie, de détection des anomalies et de chasse aux campagnes qui aident les entreprises à suivre le rythme de l'évolution du paysage des menaces.