Le volume des vulnérabilités en matière de cybersécurité augmente, avec près de 30 % de vulnérabilités supplémentaires trouvées en 2022 par rapport à 2018. Les coûts augmentent également, une violation de données en 2023 coûtant 4,45 M$ en moyenne contre 3,62 M$ en 2017.
Au deuxième trimestre 2023, un total de 1386 victimes ont été réclamées par des attaques de ransomware contre seulement 831 au premier trimestre 2023. L’attaque MOVEit a fait plus de 600 victimes jusqu’à présent et ce nombre continue d’augmenter.
Pour les personnes travaillant aujourd’hui dans le domaine de la cybersécurité, la valeur des renseignements automatisés sur les menaces est probablement assez évidente. Les chiffres croissants spécifiés ci-dessus, combinés à la manque de professionnels de la cybersécurité disponiblese, cela signifie que l’automatisation est une solution claire. Lorsque les opérations de renseignement sur les menaces peuvent être automatisées, les menaces peuvent être identifiées et traitées, avec moins d’efforts de la part des ingénieurs.
Cependant, une erreur que commettent parfois les organisations est de supposer qu’une fois qu’elles ont automatisé les flux de travail de renseignement sur les menaces, les humains sont hors de propos. Ils confondent l’automatisation avec des renseignements sur les menaces totalement autonomes et sans intervention humaine.
En réalité, les humains ont des rôles très importants à jouer, même (ou peut-être surtout) dans les opérations hautement automatisées. Comme le dit Pascal Bornet d’Aera Technology, « l’automatisation intelligente est avant tout une question d’humain« , et les renseignements automatisés sur les menaces ne font pas exception.
Intelligence automatisée sur les menaces : un bref historique
Renseignements sur les menaces n’a pas toujours été automatisé. C’était un processus réactif. Lorsqu’un problème survenait, l’équipe du Security Operations Center (SOC) – ou, dans certains secteurs, une équipe anti-fraude dédiée à la collecte de renseignements sur les risques – enquêtait manuellement. Ils ont effectué des recherches sur le dark web pour obtenir plus d’informations sur les menaces, en s’efforçant de découvrir quelles menaces étaient pertinentes et comment les acteurs malveillants prévoyaient d’agir.
À partir de là, les opérations de renseignement sur les menaces sont progressivement devenues plus proactives. Les analystes des menaces et les chercheurs se sont efforcés d’identifier les problèmes avant qu’ils n’affectent leurs organisations. Cela a conduit à des renseignements prédictifs sur les menaces, qui ont permis aux équipes d’identifier les menaces avant que les acteurs de la menace ne soient sur la clôture et tentent d’entrer.
Toutefois, les renseignements proactifs sur les menaces ne sont pas des renseignements automatisés sur les menaces. Les flux de travail étaient hautement manuels. Les chercheurs ont recherché manuellement les acteurs de la menace, trouvé les forums où ils se retrouvaient et discutaient avec eux. Cette approche n’a pas été adaptée à l’échelle, car elle nécessiterait une armée de chercheurs pour trouver et affronter tous les acteurs menaçants sur le Web.
Pour remédier à cette lacune, des renseignements automatisés sur les menaces sont apparus. Les premières formes d’automatisation impliquaient l’exploration automatique du dark web, ce qui permettait de trouver les problèmes plus rapidement avec beaucoup moins d’efforts de la part des chercheurs. Ensuite, les automatisations du renseignement sur les menaces sont allées plus loin, avec la possibilité d’explorer des forums fermés, tels que les groupes Telegram et les chaînes Discord, ainsi que d’autres endroits où les acteurs de la menace se rassemblent, comme les marchés. Cela signifiait que les renseignements automatisés sur les menaces pouvaient extraire des informations du Web ouvert, du Web sombre et du Web profond (y compris les canaux sociaux), rendant l’ensemble du processus plus rapide, plus évolutif et plus efficace.
Relever le défi des données de renseignement sur les menaces
La veille automatisée sur les menaces a aidé les équipes à fonctionner plus efficacement, mais elle présentait un nouveau défi : comment gérer et donner un sens à toutes les données produites par les processus automatisés de veille sur les menaces.
C’est un défi qui se pose chaque fois que vous collectez de grandes quantités d’informations. « Plus de données, plus de problèmes, » comme Filaire le met.
Le principal problème auquel les équipes sont confrontées lorsqu’elles travaillent avec une multitude de données de renseignement sur les menaces est que toutes ne sont pas réellement pertinentes pour une organisation donnée. Il s’agit en grande partie de menaces qui n’ont pas d’impact sur une entreprise particulière, ou simplement de « bruit » – par exemple, une discussion d’un acteur menaçant sur sa série animée préférée ou le type de musique qu’il écoute lorsqu’il écrit des exploits de vulnérabilité.
La solution à ce défi consiste à introduire une couche supplémentaire d’automatisation en appliquant des processus d’apprentissage automatique aux données de renseignement sur les menaces. En général, l’apprentissage automatique (ML) facilite grandement l’analyse de grands volumes de données et la recherche d’informations pertinentes. En particulier, le ML permet de structurer et d’étiqueter les données sur les menaces, puis de trouver les informations pertinentes pour votre entreprise.
Par exemple, l’une des techniques qui Cyberint utilise pour traiter les données de renseignement sur les menaces consiste à corréler les actifs numériques d’un client (tels que les domaines, les adresses IP, les noms de marque et les logos) avec notre lac de données de renseignement sur les menaces afin d’identifier les risques pertinents. Si un journal de logiciels malveillants contient « exempleclientdomaine.com », par exemple, nous le signalerons et alerterons le client. Dans les cas où ce domaine apparaît dans le champ du nom d’utilisateur, il est probable que les informations d’identification d’un employé aient été compromises. Si le nom d’utilisateur est un compte de messagerie personnel (par exemple Gmail) mais que la page de connexion se trouve sur le domaine de l’organisation, nous pouvons supposer qu’il s’agit d’un client dont les informations d’identification ont été volées. Ce dernier cas constitue une menace moindre, mais Cyberint alerte les clients des deux risques.
Le rôle des humains dans la veille personnalisée sur les menaces
Dans un monde où nous avons entièrement automatisé la collecte de données de renseignement sur les menaces, et en plus, nous avons automatisé l’analyse des données, les humains peuvent-ils disparaître complètement du processus de renseignement sur les menaces ?
La réponse est un non catégorique. L’efficacité des renseignements sur les menaces reste fortement dépendante des humains, pour plusieurs raisons.
Configuration de l’automatisation
Pour commencer, les humains doivent développer les programmes qui génèrent des renseignements automatisés sur les menaces. Ils doivent configurer ces outils, améliorer et optimiser leurs performances, et ajouter de nouvelles fonctionnalités pour surmonter de nouveaux obstacles, comme les captchas. Les humains doivent également indiquer aux outils de collecte automatisés où rechercher les données, quoi collecter, où les stocker, etc.
De plus, les humains doivent concevoir et entraîner les algorithmes qui analysent les données une fois la collecte terminée. Ils doivent s’assurer que les outils de renseignement sur les menaces identifient toutes les menaces pertinentes, mais sans effectuer de recherches si vastes qu’elles font apparaître des informations non pertinentes et produisent un flot d’alertes faussement positives.
En bref, les automatisations de renseignement sur les menaces ne se construisent ni ne se configurent d’elles-mêmes. Il faut des humains qualifiés pour faire ce travail.
Optimiser les automatisations
Dans de nombreux cas, les automatisations initialement construites par les humains s’avèrent ne pas être idéales, en raison de facteurs que les ingénieurs ne pouvaient pas prévoir au départ. Lorsque cela se produit, les humains doivent intervenir et améliorer les automatisations afin de conduire renseignements exploitables sur les menaces.
Par exemple, imaginez que votre logiciel génère des alertes concernant les informations d’identification de votre organisation mises en vente sur le dark web. Mais après une enquête plus approfondie, il s’avère qu’il s’agit de fausses informations d’identification, et non de celles que les acteurs malveillants ont réellement volées. Il n’y a donc aucun risque réel pour votre organisation. Dans ce cas, les règles d’automatisation des renseignements sur les menaces devraient être mises à jour pour valider les informations d’identification, peut-être en recoupant le nom d’utilisateur avec un système IAM interne ou un registre des employés, avant d’émettre l’alerte.
Suivi des développements en matière d’automatisation des menaces
Les menaces évoluent constamment et les humains doivent s’assurer que les outils de renseignement stratégique sur les menaces évoluent avec elles. Ils doivent effectuer les recherches nécessaires pour identifier les emplacements numériques des nouvelles communautés d’acteurs menaçants ainsi que de nouvelles stratégies d’attaque, puis utiliser les outils de collecte de renseignements pour suivre l’évolution du paysage des menaces.
Par exemple, lorsque les auteurs de menaces ont commencé utiliser ChatGPT pour générer des logiciels malveillants, les outils de renseignement sur les menaces devaient s’adapter pour reconnaître la nouvelle menace. Quand Forums exposés Après avoir émergé, des chercheurs humains ont détecté le nouveau forum et ont mis à jour leurs outils pour recueillir des renseignements à partir de cette nouvelle source. De même, le recours à Telegram par les acteurs de la menace a nécessité une reconfiguration des outils de renseignement sur les menaces pour explorer des canaux supplémentaires.
Validation des automatisations
Les automatisations doivent souvent être validées pour garantir qu’elles créent les informations les plus pertinentes. Les grandes organisations reçoivent des tonnes d’alertes et leur filtrage automatisé a ses limites. Parfois, un analyste humain est nécessaire pour intervenir et évaluer une menace.
Par exemple, il se peut que des outils automatisés de renseignement sur les menaces aient identifié un site de phishing potentiel susceptible d’usurper l’identité de la marque surveillée. Peut-être que le nom de la marque se trouve dans une URL particulière, soit dans un sous-domaine, le domaine principal ou un sous-répertoire. Il peut s’agir d’un site de phishing, mais il peut également s’agir d’un « site Web de fans », c’est-à-dire un site créé par quelqu’un qui rend hommage à la marque (par exemple, en écrivant des critiques positives, en décrivant des expériences favorables avec votre marque et vos produits, etc.). Pour faire la différence, un analyste doit enquêter sur l’alerte.
Téléchargez notre guide : Le Grand Livre du Deep et du Dark Web
Les avantages et les limites de la veille automatisée sur les menaces
L’automatisation est un excellent moyen de collecter des données de renseignement sur les menaces provenant des réseaux ouverts, profonds et sombres. L’automatisation peut être utilisée – sous la forme d’apprentissage automatique – pour aider à analyser efficacement les informations de renseignement sur les menaces.
Mais les algorithmes d’automatisation doivent être écrits, maintenus et optimisés en permanence par des humains. Les humains sont également nécessaires pour trier les alertes, éliminer les faux positifs et enquêter sur les menaces potentielles. Même avec celui d’aujourd’hui solutions avancées d’IA, il est difficile d’imaginer un monde dans lequel ces tâches pourraient être entièrement automatisées de telle manière qu’aucune interaction humaine ne soit nécessaire. Cela est peut-être possible dans le monde de la science-fiction, mais ce n’est certainement pas une réalité que nous verrons se concrétiser dans un avenir proche.
Les capacités d’analyse approfondie et sombre du Web de Cyberint aident à identifier les risques pertinents pour les organisations, depuis les fuites de données et les informations d’identification exposées jusqu’aux infections par des logiciels malveillants et aux discussions ciblées dans les forums d’acteurs menaçants. Cyberint fournit des alertes de renseignement percutantes, permettant aux équipes de gagner du temps en réduisant le taux de faux positifs et en accélérant les processus d’enquête et de réponse.
Voyez par vous-même en demander une démo Cyberint.