Utilisez-vous le renseignement sur les menaces pour la réponse aux incidents ?

Comme nous l'avons mentionné précédemment Sur ce blog, l'industrie de la sécurité informatique a développé une multitude d'excellentes solutions de détection. Grâce à ces outils disponibles sur le marché, les organisations peuvent désormais se concentrer sur le renseignement sur les menaces, c'est-à-dire la connaissance des attaques existantes ou potentielles visant leur environnement.

Bien que le renseignement sur les menaces soit essentiel pour une organisation, l'un des problèmes majeurs de la gestion des opérations de sécurité aujourd'hui est son manque d'intégration avec la réponse aux incidents. Autrement dit, les alertes concernant les menaces potentielles identifiées grâce au renseignement sur les menaces parviennent au SOC, mais il n'existe aucun moyen d'exploiter rapidement ce même renseignement pour approfondir l'analyse de l'alerte et identifier des informations complémentaires sur son contexte.

Pour tirer le meilleur parti des informations qu'elles collectent déjà grâce aux outils de détection, les équipes de sécurité ont besoin d'une solution qui traite les informations fournies par le renseignement sur les menaces (comme un nom d'hôte ou une adresse IP, par exemple) et interroge les référentiels de données de renseignement sur les menaces de l'organisation pour obtenir des réponses à des questions telles que :

• À quoi cette attaque est-elle associée ?

• Qui pourrait être l'auteur de cette attaque ?

• Mènent-ils d'autres opérations malveillantes ?

• Quelle est la prochaine étape que je devrais suivre ? basé sur des processus qu'un membre de l'équipe a utilisé — et dont l'utilisation a été interceptée avec un outil ou une plateforme — pour atténuer une attaque similaire par le passé ?

Obtenir les réponses à ces questions, et en particulier à la dernière, permet aux professionnels de la sécurité de l'information de répondre de manière exhaustive aux menaces en se basant sur une connaissance situationnelle plus large.

Une manière simple d'envisager l'exploitation du renseignement sur les menaces pour la gestion des réponses aux incidents consiste à l'analyser sous l'angle du Big Data. Les organisations de tous les secteurs collectent des quantités considérables d'informations et la quasi-totalité d'entre elles recherchent le moyen le plus efficace d'éliminer le bruit et de se concentrer sur les données susceptibles d'améliorer leurs processus. La gestion des opérations de sécurité ne fait pas exception : plus vous identifiez rapidement les informations les plus pertinentes, plus vous pouvez réagir tôt dans la chaîne d'attaque face à une menace.