La Central Intelligence Agency (CIA), le Secret Intelligence Service (M16), le Bureau du renseignement (IB) et d’autres agences de renseignement de différents pays du monde ne seraient pas considérés comme des institutions prestigieuses si la collecte d’informations était un travail simple et direct. Le travail de renseignement n’est pas aussi simple que de suivre et de signaler les rumeurs.

Le travail des agences de renseignement implique des stratégies, des techniques et des protocoles sophistiqués. Ils ne se contentent pas de présenter des collecteurs de nouvelles et des espions pour accumuler tout type d’informations qu’ils peuvent prendre. Les agences de renseignement n’attendent pas des détails spécifiques sur des menaces spécifiques avant de décider qu’une attaque est imminente. Ils effectuent des analyses, des triangulations, des inférences, des extrapolations et des déductions pour décider si une menace arrive et faciliter les préparatifs défensifs.

Tous ces éléments sont comparables au rôle de l’intelligence cybernétique. Pour que les organisations déterminent quelles sont les menaces et s’y préparent, il est important de collecter des renseignements. Pour limiter les menaces et les attaques probables susceptibles de compromettre les défenses établies, il est conseillé d’entreprendre des tests de pénétration basés sur le renseignement sur les menaces.

Table des matières hide
1 Qu’est-ce que les tests basés sur les renseignements sur les menaces?
2 Pourquoi le renseignement sur les menaces est-il nécessaire?
3 Comment fonctionnent les tests basés sur les renseignements sur les menaces?
3.1 En résumé
4 Défis des tests
5 Relever les défis

Qu’est-ce que les tests basés sur les renseignements sur les menaces?

L’organisation internationale à but non lucratif CRÊTE définit les tests de pénétration basés sur le renseignement comme le processus d’évaluation de la fiabilité des fonctions critiques qui peuvent faire l’objet d’attaques sophistiquées et persistantes. Il s’agit essentiellement d’utiliser la cyber-intelligence pour proposer une simulation de test de pénétration qui prend en compte un large éventail d’informations mises à jour.

Le test est effectué par des fournisseurs de tests d’intrusion qui ont de l’expérience dans la gestion de divers types d’organisations et d’un large éventail de menaces. En fin de compte, le test vise à fournir la forme la plus réaliste d’assurance que le système de sécurité d’une organisation est adéquat pour prévenir les menaces ou atténuer leur impact négatif.

Publicité

Pourquoi le renseignement sur les menaces est-il nécessaire?

«Le but des tests d’intrusion basés sur le renseignement est d’évaluer et de fournir un aperçu des capacités de résilience des entités par rapport à une simulation de cyberincident du monde réel», écrit un Article de blog du Conseil CE aux fins des tests de pénétration basés sur le renseignement. C’est la fusion de l’intelligence des cybermenaces (CTI) et des tests d’intrusion.

Il y a des moments où les tests de pénétration standard ne suffisent pas. Ces instances se produisent en raison de la succession rapide de nouvelles attaques et de leur évolution ou de leur sophistication améliorée. Les systèmes de sécurité des organisations peuvent ne pas être mis à jour aussi rapidement que les menaces surviennent. En tant que telles, les attaques parviennent à exploiter les vulnérabilités existantes ou à échapper à la détection et à pénétrer avec succès.

Comment fonctionnent les tests basés sur les renseignements sur les menaces?

Cymulate est une solution de sécurité qui peut illustrer les mécanismes, les opérations et les processus sous-jacents aux tests de pénétration basés sur le renseignement. Cette plateforme de sécurité basée sur SaaS Vecteur de renseignement sur les menaces immédiates, en particulier, démontre à quel point les renseignements sur les cybermenaces jouent un rôle essentiel pour permettre une cyberprotection efficace.

Le système Immediate Threat Intelligence de Cymulate assure une protection contre les menaces émergentes et réémergentes qui sont réputées se propager activement sur Internet. Il recueille des informations auprès de diverses sources faisant autorité, notamment la Cybersecurity and Infrastructure Security Agency (CISA) et des sources de renseignement sur les cybermenaces open source et commerciales.

Chaque fois qu’une menace est détectée comme étant en propagation active, Cymulate crée une simulation immédiate de renseignements sur les menaces, qui est ensuite publiée sur la plate-forme cloud Cymulate. Cela se produit généralement dans les 24 heures environ pour s’assurer que les renseignements utilisés et les réponses correspondantes aux menaces sont à jour.

632647

Une fois qu’une simulation de menace est publiée, les utilisateurs de Cymulate peuvent la consulter en accédant au tableau de bord Immediate Threats Intelligence. Ici, toutes les menaces nouvellement détectées sont répertoriées avec leurs informations respectives.

Le tableau de bord fournit également les outils nécessaires pour effectuer des simulations qui détermineront si le système de sécurité existant est capable de tenir la menace à distance ou s’il sera nécessaire de mettre en œuvre des changements de sécurité pour faire face à la menace.

Les simulations sont effectuées sur le cloud, mais elles reflètent les scénarios qui se produiront probablement à un système s’il rencontrait les menaces nouvellement détectées. Aucune attaque réelle ne se produit sur le système d’un utilisateur, même si le tableau de bord de renseignement sur les menaces de Cymulate indique les effets possibles d’une menace.

41257

Le système Immediate Threats Intelligence de Cymulate vérifie si le système de filtrage des e-mails, le pare-feu, les services proxy, les filtres DNS et les autres outils de sécurité fonctionnent comme prévu. Si la menace parvient à les traverser, elle est ensuite testée si les solutions anti-malware de point final ou EDR (Endpoint Detection and Response) sont capables d’empêcher le logiciel malveillant d’écrire sur le disque. Toutes les défenses installées détectées par Cymulate sont testées pour savoir comment elles répondent aux nouvelles cyberattaques possibles.

Une fois les simulations terminées, Cymulate génère des rapports pour les menaces spécifiques détectées. Des scores numériques codés par couleur sur une échelle de 1 à 100 sont fournis. Les nombres inférieurs sont meilleurs.

Les notes vertes indiquent que la menace est traitée de manière adéquate. Les scores orange impliquent que des améliorations ou des ajustements sont nécessaires. Les scores rouges, en revanche, nécessitent une action urgente car ils montrent que les menaces peuvent être extrêmement nuisibles.

Les rapports incluent des recommandations sur ce qui doit être fait pour s’assurer que les menaces sont bloquées. Ces recommandations incluent des modifications des paramètres de sécurité, des ajustements ou des modifications majeures telles que le remplacement de l’application anti-malware.

232145

En résumé

Les tests de pénétration basés sur le renseignement consistent à utiliser les renseignements sur les cybermenaces pour effectuer des simulations conformes aux derniers logiciels malveillants, attaques et autres menaces qui sont immédiatement préoccupantes, car elles se propagent activement.

Dans le cas de Cymulate, c’est la plate-forme elle-même qui effectue le travail CTI en parcourant les données provenant de diverses sources d’informations fiables sur les cybermenaces. Cymulate utilise ensuite ces données pour exécuter des simulations qui déterminent l’impact des menaces de propagation active nouvellement découvertes. Après cela, le système fournit des informations sur ce qui doit être fait pour empêcher la pénétration des menaces.

L’ensemble du processus suit la séquence illustrée ci-dessous. Tout d’abord, l’épidémie d’attaque (menace de propagation active) est identifiée grâce aux cyber-menaces. Ces menaces sont ensuite évaluées si elles ont le potentiel de percer le système de sécurité d’une organisation. Si les menaces sont jugées capables de violer les défenses, la phase d’atténuation suit, dans laquelle des recommandations de sécurité sont fournies. Une fois que les changements ou les recommandations d’amélioration de la sécurité sont suivis, un système est considéré comme sécurisé. En fin de compte, un rapport de simulation et d’état d’un appareil ou d’un système est généré.

Défis des tests

21247

Les tests de pénétration basés sur le renseignement sur les cybermenaces ne sont pas une solution de sécurité absolument parfaite et totalement infaillible. Il existe des défis potentiels qui peuvent fausser les résultats des simulations.

À l’heure actuelle, il est sûr de dire que la plupart des sources CTI sont fiables et mises à jour avec les cyberattaques et les menaces les plus récentes. Le problème réside dans le système qui utilise les renseignements sur les cybermenaces. Il se peut qu’il ne dispose pas d’un composant d’IA ou d’apprentissage automatique suffisamment mature, ce qui peut entraîner des inefficacités dans l’utilisation de l’intelligence sur les menaces et l’exécution des simulations les plus réalistes de la façon dont les menaces affectent les appareils ou les systèmes.

De plus, il y a le problème des organisations qui ne peuvent pas tirer pleinement parti des tests de pénétration basés sur les renseignements sur les menaces. Ils peuvent avoir des difficultés d’intégration. Il peut y avoir des incompatibilités dans les règles et les protocoles.

Comme un document de recherche sur les défis liés à l’exploitation des renseignements sur les menaces conclut: «L’adoption de l’IA / ML pour prédire et arrêter les violations de données nécessite une stratégie holistique de renseignement sur les menaces à l’échelle de l’organisation, entièrement intégrée dans le cadre de gestion de la sécurité de l’organisation.» Les organisations qui manquent de compétences et d’expérience en cybersécurité peuvent ne pas obtenir les meilleurs résultats des tests basés sur le renseignement.

Relever les défis

Partir de zéro avec des tests basés sur l’intelligence des cybermenaces n’est pas impossible, mais cela peut être coûteux et prendre du temps. Logiquement, il serait avantageux d’utiliser une plate-forme ou de s’appuyer sur une solution existante qui couvre déjà les aspects les plus importants des tests d’intrusion pilotés par CTI.

Il est logique d’utiliser un système comme Immediate Threat Intelligence de Cymulate pour accélérer le processus de test de pénétration tout en tirant parti d’une solution existante de cyber-renseignement sur les menaces avec une plate-forme éprouvée d’apprentissage automatique ou de simulation basée sur l’IA. Ce n’est pas seulement pratique; il est également efficace en termes de coût, d’effort et d’exigences matérielles et logicielles.

Rate this post
Publicité
Article précédentLes meilleurs accessoires pour votre nouvel iPhone: 7 façons d’améliorer encore votre téléphone
Article suivantSurfaces progressives avec mise à jour importante
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici