Abonnez-vous à DeepL Pro pour éditer ce document.

Visitez www.DeepL.com/pro pour en savoir plus.

Stratégie 6 : éclairer les Adve rsaires avec des renseignements sur les
cybermenaces Trouver des activités malveillantes et d'autres traces d'adversaires
est extrêmement difficile dans les environnements complexes d'aujourd'hui,
d'autant plus qu'il est facile pour un adversaire de ressembler à un utilisateur
légitime. Le renseignement sur les cybermenaces (CTI) est un moyen précieux
d'accroître la capacité du SOC à identifier les adversaires et à distinguer leurs
mouvements de ceux des utilisateurs autorisés. Il permet au SOC de passer d'une
approche par incident à un paradigme axé sur l'adversaire. L'analyse et l'adaptation
des CTI et l'établissement du contexte permettent au SOC de donner la priorité aux
actions de détection et de prévention afin de conserver les ressources et d'améliorer
l'efficacité des opérations du SOC. Par exemple, la CTI peut fournir des
informations et des données pour informer et aider les SOC à répondre aux
incidents. Les intervenants en cas d'incident se concentrent sur ce qui se passe et
sur la manière d'éradiquer l'adversaire ; la CTI fournit le contexte de l'identité des
menaces, ce qui permet aux intervenants de déterminer avec précision et de
manière exhaustive la portée d'un incident, conduisant à une éradication plus
efficace de l'activité indésirable. Pour les analystes CTI expérimentés qui
comprennent leur groupe, le contexte peut considérablement armer le SOC avec
des informations permettant d'anticiper et parfois de prévenir des attaques
imminentes. En fin de compte, ce sont des individus, des criminels, des
organisations ou des gouvernements qui sont à l'origine des activités malveillantes.
La distinction est importante car la détection et l'anticipation des menaces est une
fonction dynamique, active et centrée sur l'individu. Dans le cyberespace, la
manière dont un adversaire se manifeste par un logiciel malveillant ou un
hameçonnage change en fonction de la sophistication de la personne qui se trouve
derrière le clavier. Dans les environnements SOC, la CTI peut renforcer les
défenses en fournissant les informations suivantes : - Identifier les acteurs
indésirables dans les réseaux - Ajuster les capteurs et les systèmes/cadres
analytiques pour une meilleure surveillance - Prioriser les ressources - Fournir un
contexte aux incidents - Anticiper les activités des adversaires dans les SOC plus
avancés - Prévenir ou ralentir les attaques imminentes Dans cette stratégie, nous
discutons des concepts de CTI et de la manière de créer, d'analyser et d'utiliser
efficacement les renseignements sur les cyber-menaces dans le SOC. La CTI est
plus efficace lorsqu'elle suit le cycle classique du renseignement, qui comprend six
étapes : planification, collecte, traitement, analyse, diffusion et évaluation [162].
Fondamentalement, chaque étape est importante pour comprendre ce qui est
nécessaire à chaque organisation pour acquérir les bonnes informations et données,
les filtrer et les appliquer aux opérations du SOC. Cela constitue un point de départ
pour naviguer dans les ressources CTI et aider à déterminer quand le SOC a besoin
de CTI et comment maximiser son utilisation.