Quand la Threat Intel rencontre le DFIR – 1ère partie

Magazine
Marque
MISC
Numéro
85
Mois de parution
mai 2016
Domaines


Résumé

Qu’on se prenne pour James Bond ou pour un shaman, ce que notre industrie appelle la Threat Intelligence fait place à beaucoup de fantasmes que les vendors nourrissent joyeusement à chaque fois qu’un nouveau rapport est publié. Mais, concrètement, à quoi ça sert de « faire de la threat intelligence » ? Quelle est la différence par rapport au renseignement classique ? Quels sont les avantages concrets que le renseignement sur les menaces apporte lors de la gestion d’un incident de sécurité ? C’est ce que cet article cherche à expliquer, du point de vue de deux DFIRers.


 

1. La Troll Intelligence

Commençons par aborder certaines idées reçues sur la Threat Intelligence qui nuisent à la compréhension de la discipline et qui sont souvent la source de trolls bien velus.

1.1 Feeds. Feeds everywhere.

À écouter les forces de vente de sociétés de sécurité informatique ou en traînant l’oreille dans des conférences cyber « executives », la Threat Intelligence, c’est souscrire à des « Feeds ». Un feed, ou flux dans les allées de l’Académie Française, est une technique de distribution de données succinctes suite à un changement ou l'ajout de nouvelles données. Les flux ne sont pas destinés à être directement interprétables par un humain et nécessitent un agrégateur ou un interpréteur pour leur bonne lecture. Vous avez peut-être l’impression que nous sommes en train de parler de RSS, d'Atom et de syndication de contenus et vous auriez totalement raison !

Les Feeds donc, sont des « flux RSS » de...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Traitement de courriels d’hameçonnage avec TheHive & Cortex

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Face au nombre toujours plus important d'alertes de sécurité à qualifier et d'incidents à traiter, il devient primordial pour un SOC ou une équipe CSIRT de mettre en œuvre des solutions permettant d’identifier les sujets prioritaires. L’actualité de ces derniers mois et l’accroissement du nombre de victimes de rançongiciels met en évidence le besoin de détecter et de réagir au plus vite. Cet article propose de montrer comment intégrer TheHive et Cortex au processus de détection et de réponse pour automatiser un certain nombre de tâches, et donc gagner du temps, toujours précieux dans ces situations.

DFIR et CTI, une complémentarité idéale

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Lorsqu’une entreprise constate que son système d’information a été compromis par une attaque d’envergure et persistante, sa préoccupation première consiste à vouloir déloger les attaquants du système, et le sécuriser afin que l’attaquant ne puisse plus revenir. Cependant, pour mener à bien cette noble mission, il est nécessaire à la fois de procéder à des actions de réponse à incident, de confinement (c’est dans l’air du temps), de remédiation, mais aussi de procéder à des investigations plus poussées sur les attaquants et leur mode opératoire. Cette dernière phase n’est pas systématiquement mise en œuvre lors d’une réponse à incident, soit par manque de maturité ou méconnaissance des responsables de la sécurité de l’entreprise, soit par manque de budget, tout simplement. Pourtant, cette connaissance approfondie de l’attaque et de ses auteurs permet de remédier à l’incident beaucoup plus efficacement et souvent d’anticiper de prochaines attaques.

Doper votre SIEM pour la réponse sur incident

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Quand on doit s'occuper de protéger un réseau, on se voit proposer une pléthore de stratégies, allant de l'analyse locale (par machine) à l'analyse globale (orientée sur la donnée). La première est largement couverte par des outils comme les antivirus et les EDR, la seconde va nous permettre de mettre en évidence des menaces plus avancées.

L’analyse de disques durs

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

L’analyse forensique de disques durs a toujours présenté des défis quotidiens, mais le problème actuel est la taille grandissante des supports de stockage. Quelles conséquences pour les experts et comment s’adapter ?

Introduction au dossier : Les fondamentaux de l'analyse forensique

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

La sécurité informatique est morte : vive la cybersécurité !

Les pirates des années 90 ont laissé place aux cybercriminels et aux APT, les attaques contre la chaîne logistique numérique (Supply Chain Attack) font la Une des journaux grand public. Des rançongiciels paralysent des hôpitaux en pleine pandémie de la Covid-19, des cyberespions chinois, russes, iraniens ou nord-coréens – bizarrement rarement indiens, et pourtant… – pillent les laboratoires pharmaceutiques de leurs recettes de vaccin.