Se renseigner sur les menaces avec la Threat Intel

Le renseignement sur les menaces, ou Cyber Threat Intel, est un domaine où il est facile de se perdre tant les sources, méthodes et outils sont nombreux. Dans ce dossier, nous nous efforçons de vous donner les clés pour démarrer avec des outils libres sans perdre pied.

L'usage d'une intelligence de la menace destinée à la cybersécurité se développe au sein des blueteams. Il est nécessaire de définir les bonnes pratiques liées à son utilisation. Qu'est-ce que la Cyber Threat Intelligence(CTI) ? Comment gérer ses données et enfin comment les exploiter ? Cet article se concentre sur les besoins des équipes de cybersécurité en matière de CTI.

« Flux à la pomme, à la fraise, au chocolat, chouchous », les offres sont nombreuses et variées. C’est quoi ? À quoi ça sert ? On clique et on y est ?

Cet article revient sur l’importance des sources d’information telles que les plateformes d’échange utilisées par des cybercriminels pour la production du renseignement sur la menace.

Aujourd’hui, que vous travailliez dans une équipe de Cyber Threat Intelligence (CTI), un Security Operations Center (SOC), un Computer Security Incident Response Team (CSIRT), ou même comme pentester, il y a fort à parier que nous ne pouviez faire l’économie d’utiliser, peut-être même au quotidien, la matrice MITRE ATT&CK. Un tel succès appelle une analyse critique de ses causes, l’examen de ses éventuelles limites, ainsi que la définition de quelques bonnes pratiques d’utilisation.

Pour réaliser au mieux ses missions, la Cyber Threat Intelligence (CTI) doit se nourrir d’investigations en source ouverte réalisées par des analystes stratégiques. Explorer le segment russophone d’Internet aide à mieux comprendre l’écosystème dans lequel les attaquants opèrent, mais peut aussi participer directement à la détection de leurs activités.