Cas d'utilisation et exemples de renseignements sur les menaces

Les organisations sont confrontées à différents types de menaces en fonction de leur secteur d'activité, de leur taille et de leur infrastructure numérique. Par exemple, une institution financière doit surveiller les chevaux de Troie bancaires et le vol d'identifiants, tandis qu'un prestataire de santé doit se prémunir contre les ransomwares ciblant les systèmes de données des patients. Ces différences impliquent de comprendre les approches de renseignement sur les menaces qui sont réellement importantes pour votre environnement.

Selon le rapport Global Perspectives de Google, 47 % des professionnels de la sécurité considèrent que l'application efficace des renseignements sur les menaces dans leur organisation est l'un de leurs plus grands défis. Une approche axée sur les exigences permet de traiter ce problème en répondant explicitement aux besoins des personnes concernées tout au long du cycle de vie des renseignements sur les menaces. Elle débute par l'identification des profils de menace pertinents pour votre secteur et votre région, puis s'appuie sur l'analyse des personnes concernées pour orienter la planification de la collecte et produire des résultats conformes à des exigences spécifiques. En appliquant des exemples et des cas d'utilisation de renseignements sur les menaces pertinents pour votre organisation, vous pouvez combler le fossé entre la collecte de données sur les menaces et la prévention proactive des attaques.

Exemples de renseignements sur les menaces

Voici quelques exemples courants de renseignements sur les menaces :

  • Indicateurs de compromission (IoC)
  • Tactiques, techniques et procédures
  • Attribution des pirates informatiques
  • Informations sur les failles
  • Flux de renseignements sur les menaces

Qu'ils soient utilisés séparément ou conjointement, ils constituent une approche préventive et proactive pour sécuriser les systèmes et les données sensibles.

Indicateurs de compromission (IoC)

Les IoC sont des artefacts d'investigation qui signalent des incidents de sécurité potentiels dans votre environnement. Il s'agit d'adresses IP malveillantes, de hachages de fichiers, de noms de domaines et d'URL qui vous aident à détecter la présence de pirates informatiques dans vos systèmes. Lorsque vos outils de sécurité identifient un IoC provenant d'une campagne d'attaques récente, vous pouvez immédiatement vérifier si cet indicateur apparaît dans votre environnement.

Tactiques, techniques et procédures

Les TTP décrivent le mode opératoire des acteurs malveillants et les méthodes qu'ils utilisent pour accéder à un système, se déplacer latéralement et atteindre leurs objectifs. La compréhension de ces schémas vous aide à reconnaître les comportements d'attaque, même lorsque des IoC spécifiques changent. Si vous savez qu'un groupe malveillant utilise généralement le harponnage pour obtenir un accès initial, vous pouvez configurer des règles de détection portant sur ces comportements.

Attribution des pirates informatiques

Les renseignements sur l'attribution identifient les groupes malveillants à l'origine des attaques et révèlent leurs cibles, motivations et capacités habituelles. Ce contexte vous aide à déterminer si votre organisation entre dans le champ de ciblage d'un groupe particulier. L'attribution vous aide également à comprendre les objectifs des pirates informatiques, qu'ils tentent de voler des données de propriété intellectuelle, de déployer un ransomware ou de maintenir un accès persistant.

Informations sur les failles

Les renseignements sur les failles fournissent des détails sur les points faibles des logiciels susceptibles d'être exploités par les pirates informatiques. Cela inclut les données CVE, la disponibilité du code d'exploitation et des informations sur les failles que les acteurs malveillants ciblent activement. Les renseignements sur les failles vous aident à distinguer les risques théoriques des menaces actives en vous indiquant les failles que les pirates informatiques exploitent dans leurs campagnes.

Flux de renseignements sur les menaces

Les flux fournissent des flux continus de données sur les menaces provenant de plusieurs sources, y compris des fournisseurs de solutions de sécurité, des organismes publics et des communautés de partage d'informations. Ces flux permettent de maintenir vos défenses à jour contre les menaces émergentes, sans nécessiter de recherches manuelles. Les flux varient en termes de couverture : certains portent sur de nombreux types de menaces, tandis que d'autres se spécialisent dans des domaines spécifiques, comme les domaines d'hameçonnage ou l'infrastructure des ransomwares.

Principaux cas d'utilisation des renseignements sur les menaces

En adoptant une approche centrée sur les cas d'utilisation, les renseignements sur les menaces deviennent concrets et directement exploitables. Lorsque vous associez les données sur les menaces à des fonctions de sécurité spécifiques, comme la réponse aux incidents et la gestion des failles, vous pouvez évaluer leur impact sur vos résultats en termes de sécurité et prendre de meilleures décisions concernant l'allocation des ressources.

Défense proactive

Les renseignements sur les menaces vous permettent d'identifier et de bloquer les menaces avant qu'elles n'atteignent votre environnement. En comprenant à l'avance l'infrastructure et les méthodes des pirates informatiques, vous pouvez configurer vos défenses de façon à arrêter les attaques au niveau du périmètre. Par exemple, lorsque les renseignements indiquent qu'un groupe malveillant enregistre des domaines en suivant des schémas de dénomination spécifiques, vous pouvez bloquer ces schémas dans votre filtrage DNS.

Réponse aux incidents

En cas d'incident, les renseignements sur les menaces fournissent un contexte sur la situation à laquelle vous êtes confronté. Vous pouvez rapidement déterminer la portée d'une attaque, identifier les indicateurs associés et comprendre les objectifs du pirate informatique pour contenir les menaces plus rapidement. Par exemple, si vous détectez une exécution PowerShell suspecte sur un point de terminaison, les renseignements sur des attaques similaires vous indiquent ce que vous devez surveiller par la suite (par exemple, mouvement latéral, exfiltration de données ou vol d'identifiants).

Traque des menaces

Les renseignements vous aident à détecter les menaces cachées déjà présentes dans votre environnement. En vous concentrant sur les TTP et les IoC connus et pertinents pour votre secteur, vous pouvez déjouer les attaques sophistiquées qui échappent à la détection automatisée. Par exemple, si des groupes malveillants ciblant votre secteur utilisent couramment des techniques d'exploitation des ressources locales avec des outils d'administration, vous pouvez rechercher une utilisation anormale de ces outils.

Approches des renseignements sur les menaces

Détection appliquée des menaces

Les renseignements sur les menaces appliqués dans Google Security Operations ne se limitent pas au stockage des indicateurs de compromission et des comportements des pirates informatiques. Ils s'appuient sur l'expertise de Google sur le paysage des menaces, y compris les renseignements sur les menaces émergentes de Mandiant, et appliquent ces connaissances à votre propre environnement. Le système met automatiquement en corrélation les données sur les menaces avec votre télémétrie de sécurité pour identifier les menaces pertinentes, sans analyse manuelle. Vous obtenez des résultats hiérarchisés et exploitables qui relient les événements, les alertes, les ressources et les utilisateurs dans un récit cohérent, ce qui vous permet de garder une longueur d'avance sur les dernières menaces.

Renseignements sur les menaces basés sur les exigences

L'approche axée sur les exigences structure la façon dont vous collectez et utilisez les renseignements sur les menaces en fonction des besoins réels de votre organisation. Ce processus répond explicitement aux besoins spécifiques de toutes les personnes concernées tout au long du cycle de vie des renseignements sur les menaces. Tout commence par un profil de menace qui fournit du contexte sur les menaces les plus pertinentes dans votre secteur, votre industrie et votre région. L'analyse des personnes concernées permet de définir les exigences en matière de renseignements et les cas d'utilisation, servant de guide pour planifier la collecte et développer les ressources associées. Ces éléments sont combinés pour former des lignes de service qui génèrent des résultats conformes aux exigences des personnes concernées en termes de format et de fréquence de reporting.

Cette approche comprend plusieurs composants qui fonctionnent en synergie. La planification et l'orientation déterminent quels renseignements sont nécessaires et dans quel but. La collecte rassemble les données brutes provenant des sources pertinentes. Le traitement convertit ces données en formats structurés. L'analyse transforme les données traitées en insights pratiques. La diffusion transmet ces informations aux décisionnaires et aux équipes de sécurité qui peuvent les exploiter. Vous pouvez appliquer ce framework à de nombreux cas d'utilisation, de la gestion des failles à la chasse aux menaces, en passant par la planification de l'architecture de sécurité.

Intégrer Google Threat Intelligence à votre programme de sécurité

Les renseignements sur les menaces sont plus utiles lorsque vous les appliquez à votre environnement et à vos défis de sécurité spécifiques. Google Threat Intelligence combine les insights issus de la surveillance de plus de 500 acteurs malveillants avec des fonctionnalités de détection automatisées. Vous obtenez ainsi des renseignements hiérarchisés et pertinents pour votre secteur et votre région. En intégrant ces fonctionnalités à vos opérations de sécurité, vous pouvez passer de la simple collecte de données sur les menaces à une approche proactive de prévention des attaques.

Découvrez nos solutions de renseignement sur les menaces

Passez à l'étape suivante

Commencez à créer sur Google Cloud avec 300 $ de crédits inclus et plus de 20 produits toujours sans frais.

Google Cloud
DocumentationAssistance
Console
Se connecter
  • Accélérez votre transformation numérique
  • Votre entreprise a déjà bien amorcé son processus de transformation numérique ? Vous n'en êtes qu'aux premiers stades ? Dans les deux cas, Google Cloud peut vous aider à relever vos défis les plus complexes.
  • Produits Google Cloud
  • Parcourez plus de 100 produits. Les nouveaux clients bénéficient de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail. Tous les clients peuvent utiliser plus de 25 produits gratuitement, dans les limites mensuelles spécifiées.
  • Faites des économies grâce à notre tarification transparente
  • Le paiement à l'usage de Google Cloud permet de réaliser des économies automatiques basées sur votre utilisation mensuelle et des tarifs réduits pour les ressources prépayées. Contactez-nous dès aujourd'hui afin d'obtenir un devis.
Google Cloud