Scribd Logo
Importer

Bienvenue sur Scribd !

  • Cyber Threat Intelligence

    Transféré par

    nadia
    2 vues6 pages

    Titre original

    Cyber-Threat-Intelligence

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    Télécharger au format pdf ou txt
    2 vues6 pages

    Cyber Threat Intelligence

    Transféré par

    nadia

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    Télécharger au format pdf ou txt
    sur 6

    Projet Fin d’Etudes

    Cyber Threat Intelligence (CTI)

    Plan de Travail :

    1. Le cycle de Vie de Cyber Threat Intelligence

    2. Etude Comparative des outils

    3. Enchainement à suivre avec l’outil OpenCTI

    4. Estimation de la durée de réalisation

    Réalisé par : Nadia Ayari


    Cyber Threat Intelligence est le procès de collecter, traiter et analyser les données afin
    d’aider les organisations à anticiper les attaques potentielles et de répondre d’une manière
    proactive à ces attaques.

    1. Le cycle de Vie de Cyber Threat Intelligence :

    Le cycle de vie de CTI vise à transformer les données brutes en des informations finales et utilisables
    permettant les organisations de prévenir les cybers menaces.

    Le cycle de renseignement s’effectue en 6 étapes :

    1. Direction :

    La direction est la première étape du cycle de vie de Cyber Threat Intelligence , au niveau
    de cette phase on définit les but du programme threat intelligence basée sur les besoin de
    l’organisation (Quoi protéger, les priorités..)

    2. Collecte des données :

    La collecte est la deuxième étape du cycle de vie de CTI. Cette étape est fondamentale, au
    niveau de laquelle la collecte des données s’effectue à partir des sources internes ou externes, soit
    en récupérant les métadonnées et journaux (logs) à partir du réseau interne de l’organisation ou
    capturer des informations sur des incidents de sécurité pertinents (OSINT).

    Outils : ELK (ElasticSearch) , OpenCTI.

    3. Traitement des données :


    Le traitement des données est le procès de rendre les données collectées organisés,
    au format structurés et compréhensible. Le traitement des données s’effectue en 3 parties :
     Normalisation : Cette étape permet de transformer les données en un
    format standardisé.
    Outils : STIX, TAXI
     Enrichissement : Enrichir les informations en les croisant avec des sources
    externes (l’utilisation de bases de données de menaces, de services de
    renseignements sur les vulnérabilités, de rapports de sécurité
    gouvernementaux).

     Nettoyage et filtrage : éliminer le bruit et garantir que seules les


    informations pertinentes et fiables sont présentes.
    Outils d’ETL (Extract, Transform, Load) : Talend, Hevo.

    OpenCTI (Open Cyber Threat Intelligence) permet d’exécuter ces 3 parties.

    4. Analyse des données :

    Le but de cette étape est de mieux comprendre les données collectées et traitées, identifier
    les attaques potentielles et évaluer la gravité des menaces. Les principaux aspects de la phase
    d’analyse :

     Analyse des malwares : cette analyse vise à comprendre le fonctionnement


    des logiciels malveillants collectés.
     Analyse des indicateurs de compromission(Ioc) : Les Ioc (adresses IP
    malveillantes, signature de malware..) sont examinés pour déterminer leur
    pertinence et leur corrélation avec des attaques spécifiques.

     Analyse des Tactiques, Techniques et Procédures(TTP) :L’analyse de TTP se


    concentre sur comment l’attaquant opère et les méthodes utilisées par
    l’acteur de menace.
    Outil : ATT&CK

    5. Diffusion :
    Cette étape consiste à partager les renseignements des menaces fournies aux parties
    prenantes afin de prendre les mesures appropriées et renforcer la sécurité.

    6. Feedback ou Rétroaction :
    Cette phase est la dernière étape du cycle de vie de CTI est essentielle pour garantir une
    amélioration continue du processus global.
    1. Cycle de vie de CTI

    2. Etude Comparative :

    MISP (Malware Information Sharing Platform) est une plateforme de cyber threat
    intelligence open source permet la collecte et le partage des données (IoC) aux
    parties prenantes .

    Bien que MISP propose une version gratuite, certaines fonctionnalités sont payantes
    tel que l’analyse avancée des données.

    OpenCTI (Open cyber threat intelligence) est une plateforme de cyber threat
    intelligence open source permet la collecte, la normalisation et l’analyse des
    données avec une gestion complète des menaces.
    VirusTotal est une plateforme de cyber threat intelligence open source permet la
    détection des fichiers et url malveillant en se basant sur une grande base d’antivirus.

    OpenCTI MISP VirusTotal


    Avantages et +gratuit - une version +gratuit
    Inconvénients +bonne gestion des gratuite limitée et +installation facile
    menaces des fonctionnalités -Certains fichiers
    +visualisation avancées payantes légitimes peuvent
    -installation apparaitre non
    complexe +installation et légitimes aux
    configuration facile certains antivirus
    -risque de partages
    involontaire des
    données

    OpenCTI semble la plateforme la plus adéquate offrant tout les services de collecte ,
    normalisation et analyse, gratuite et offre une bonne gestion de menaces et
    visualisation graphique des données .

    3. Outil à déployer : OpenCTI


    Enchainement :

    1) installer OpenCTI sur un serveur physique (Suivre les étapes du site officiel et
    la documentation de GITHUB)

    ** Il faut d’abord accéder au serveur directement ou à distance via SSH(Linux)


    ou RDP(Windows)

    2) Configuration (créer un compte administrateur, langue, horaire)

    3) Collecte des données à partir des sources externes et les journaux de


    sécurité (logs)
    **cela nécessite un outil de collecte : ELK Stack ou canaux de communication
    via (API, SNMP, SYSLOG) ou lier les entrepôts de données via des APIs

    4) Créer les entités qui représente le système d’information : les entités actives
    (les serveurs de l’ONT, les postes de travail), les attaquants, des entités pour
    représenter les IoCs, documenter les vulnérabilités.

    5) Créer une relation entre les entités (vulnérables) et les techniques


    d’attaques afin de mieux comprendre comment elles pourraient cibler nos
    actifs

    **Exploitation et utilisation des fonctionnalités de visualisation des


    graphiques.

    6) Enrichissement des données

    7) Partage des résultats

    4. Estimation de la durée de réalisation :

    Durée
    Étape estimée Tâches
    - Installation d'OpenCTI sur un serveur
    Installation et 1à2 - Configuration d’un compte administrateur
    configuration semaines - Configuration de la langue et de l'horaire
    2à4 - Identification des sources de données internes et externes
    Collecte des données semaines - Choix et installation des outils de collecte de logs (ELK Stack)
    - Définition des types d'entités (actifs, attaquants, IoCs,
    vulnérabilités)
    - Création des entités
    - Création des relations entre les entités et les techniques
    Création des entités et 2à3 d’attaques (associer les menaces ou attaques aux entités
    des relations semaines vulnérables)
    - Identification des sources d'enrichissement
    Enrichissement des 2à3 -ajouter des informations à partir des sources externe (IoC)
    données semaines - Validation et correction des données enrichies
    - Définition des formats de partage (STIX, TAXII)
    - Création de rapports et de tableaux de bord
    Partage des résultats 1 semaine - Communication des résultats aux parties prenantes

    Vous aimerez peut-être aussi