Sergey Nivens - Fotolia

Les principaux services de renseignement sur les menaces

Le renseignement sur les menaces s’appuie sur les données de multiples sources pour produire des informations pratiques contextualisées. Il s’impose de plus en plus comme un composant essentiel de la gestion de la sécurité.

Les services de renseignement sur les menaces aident les organisations à mieux comprendre les menaces à s’en protéger, notamment de celles exploitant des vulnérabilités inédites, les fameux 0-day, ou encore certaines attaques ciblées, en analysant et en filtrant les données pour produire des informations utilisables sous la forme de rapports d’administration et de flux de données pour les systèmes de sécurité automatisés.

Valider le fonctionnement des équipements de sécurité n’est pas suffisant : l’intégration de flux de renseignements aide à remettre l’entreprise sur un pied d’égalité – ou presque – avec les attaquants, en l’aidant à garder ses défenses toujours actualisées face aux menaces. De quoi également renforcer les chances des RSSI pour déjouer proactivement les tentatives des attaquants.

Les flux de renseignement sur les menaces ne s’adressent pas encore à toutes les entreprises, notamment parce que les abonnements peuvent être très onéreux. Et cela malgré une offre déjà bien étendue. La plateforme de partage de renseignements de sécurité récemment lancée par IBM pourraient changer la donne, mais il est encore trop tôt pour juger de ses effets sur le marché.

Cyveillance Inc.

Cyveillance propose une une plateforme Cloud d’analyse des menaces de sécurité, le Cybeillance Cyber Threat Center. Celle-ci collecte des informations sur les menaces physiques et numériques à partir de millions de sources en ligne. Elle fournit des flux de données au format XML, via des services FTP et http sécurisés, pour les URLs liées à des activités de hameçonnage et des URL malicieuses. Ce qui recouvre des hôtes à haut risque, des noms de domaine, des sites Web, et charges malicieuses, et des adresses IP. Cyveillance s’adresse aux organisations de taille moyenne à grande disposant de son propre centre de sécurité opérationnel ou de son centre de renseignement sur les menaces, avec au moins un analyste de sécurité permanent en interne.

Dell SecureWorks Inc.

Dell propose à la fois des renseignements sur les menaces globaux et ciblés, ainsi que des services complémentaires avancés pour ses clients de toutes tailles. Le service Dell Global Threat Intelligence offre trois types de flux de données à l’abonnement : vulnérabilités, menaces et alertes. Il s’agit d’un service généraliste et non ciblé de renseignement sur les menaces, basé sur les données collectées auprès des clients SecureWorks.

A l’inverse, le service Dell Targeted Threat Intelligence peut être taillé sur mesure pour l’environnement spécifique d’une organisation, de sa marque ou de sa direction, pour identifier précisément les menaces et acteurs malveillants représentant un risque probable.

Les services supplémentaires proposés par Dell SecureWorks recouvrent une base de données des attaquants, un support continu, l’analyse de logiciel malveillants, et la surveillance des menaces sans couture.

FireEye Threat Intelligence

Ce flux de renseignement est proposé à l’abonnement aux utilisateurs d’appliances de sécurité FireEye, de toutes tailles, pour automatiser la défense contre les menaces. Le service fournit aux organisation un accès contextualisé à d’importantes quantités de données relatives aux menaces globales. Il est conçu pour aider les clients de FireEye à identifier les acteurs et les indicateurs de compromission sur leur réseau et leurs systèmes. Il offre trois niveaux de données : dynamique, avancé et avancé plus, qui se complètent successivement.

Internet Identify (IID) ActiveTrust

En tant que service de renseignement sur les menaces, IID ActiveTrust s’appuie sur les données de nombreuses sources contrôlées et triées sur le volet qui incluent les forces de l’ordre, opérateurs structurels d’Internet, des fournisseurs Open Source, et des spécialistes de la sécurité. ActiveTrust valide, analyse, filtre et catégorise les informations pour fournir à ses clients – qui tendent à être des organisations de taille importante aux programmes de sécurité matures – des données structurées, standardisées et contextualisées. Les clients d’IID accèdent aux flux de données en les téléchargeant sous la forme de fichiers standard, de type CSV par exemple, ou en utilisant une API via un tunnel sécurisé dans un espace d’adressage IP non routable. Les données sont alors injectées dans un SIEM, un IPS/IDS ou une application.

LogRythm Security Intelligence

LogRythm Security Intelligence est un produit de gestion des logs et de SIEM matériel, intégrant un logiciel conçu pour être configuré et utilisé rapidement. Les organisations peuvent choisir parmi plusieurs appliances en fonction de leur taille et des volumes de logs à traiter. L’appliance collecte et analyse les logs, les données des applications, des vulnérabilités, les événements de sécurité, autres données générées automatiquement dans l’organisation pour les traiter via un moteur d’intelligence artificielle afin d’identifier des menaces précédemment non détectées et émergentes. La plateforme intègre directement le renseignement sur les menaces – il ne s’agit pas d’un flux de renseignements distinct – et fournit des outils d’enquête, de gestion de cas, et de gestion de listes blanches, et de surveillance de l’intégrité de fichiers.

RSA Live et RSA Security Analytics

RSA Security Analytics est une plateforme de supervision qui fournit des outils d’investigation réseau et d’analyse pour enquêter sur les incidents, analyser les paquets de données, et travailler avec les données et logs des hôtes de l’infrastructure. Elle permet aux utilisateurs de détecter rapidement des menaces émergentes et avancées, et d’agir, alors que d’autres systèmes de défense pourraient être leurrés. RSA Live est un système de fourniture de renseignement sur les menaces en mode Web, accessible aux clients de RSA Security Analytics.

Disponible en deux éditions, basique et avancée, RSA Live intègre rapports et alertes sur les menaces, renseignement communautaire en source ouverte, rapports sur les protocoles courants des acteurs malicieux et des centres de commande et de contrôle, identification des kits d’exploit, indicateurs de compromission, etc. L’édition avancée intègre en outre plusieurs contenus exclusifs à commencer par le fruit des travaux internes de RSA, FirstWatch.

Symantec DeepSight Security Intelligence

Symantec DeepSight Security Intelligence est un service de renseignement sur les menaces qui tire ses informations du Global Intelligence Network (GIN) de l’éditeur, à un vaste entrepôt de données sur les menaces alimenté par les remontées d’informations des produits de sécurité de Symantec et des centaines de milliers de capteurs répartis dans plus de 200 pays. Les bases de données du GIN sont, collectivement, l’une des plus importantes sources de renseignement sur les menaces au monde.

Symantec fournit à ses clients des flux de données de renseignement DeepSight sur la réputation, les risques de sécurité et les vulnérabilités. Les données de réputation sont fournies via un service Web SOAP, en XML, CSV et CEF ; les flux sur les risques et les vulnérabilités sont exclusivement proposés en XML. Symantec tend à fournir ces informations sur les menaces en entreprises de taille moyenne et plus, avec une équipe de sécurité interne.

VeriSign iDefense

Les services iDefense Security Intelligence de VeriSign complètent les défenses existantes et d’une organisation en fournissant des renseignements immédiatement exploitables sur les menaces inédites, les logiciels malveillants et les vulnérabilités, ainsi que les menaces visant les infrastructures critiques, en s’appuyant de nombreux acteurs sociaux et politiques. En plus de fournir des flux de données en temps réel sur les menaces, les services détaillent des événements émergents nationaux et régionaux et produit des rapports personnalisés en fonction de l’entreprise et du secteur d’activité.

Les clients créent un profil sur le portail du service, d’où ils peuvent chercher des informations sur les menaces et s’enregistrer pour recevoir automatique des alertes quotidiennes et des synthèses périodiques sur les menaces connues et émergentes. Les clients du service peuvent également dialoguer avec des experts. Les flux d’iDefense sont alimentés par des données collectées sur plus de 30 000 systèmes et applications supervisés de plus de 400 fournisseurs différents.

Conclusion

Il existe de nombreux services de renseignement sur les menaces, qui collectent et fournissent des données de différentes manières sur les menaces émergentes. Certains sont plus efficaces sur les menaces globales quand d’autres sont capables de produire des rapports plus ciblés sur le contexte de leur client.

C’est un élément de choix. Mais certains services sont plus efficaces que d’autres pour alimenter certains équipements et donc mieux s’intégrer avec les défenses existantes de l’entreprise. C’est un autre élément de choix. Le budget en constituera un troisième.

Adapté de l’anglais.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close