Noyé dans les informations sur les menaces? Arrêtez de partager autant de choses, disent les pros de l’infosec

Image de DKosig | Images de Getty

Les experts en cybersécurité ne manquent pas pour inciter les professionnels de l’infosec à partager plus d’informations sur les menaces avec leurs collègues, concurrents et gouvernements.

Mais le responsable d’une plate-forme de partage de menaces a déclaré à la conférence annuelle du RSA cette semaine que les bonnes informations doivent être collectées, partagées et appliquées, sinon l’effort sera gaspillé.

«Nous avons fait de fausses hypothèses sur le partage d’informations», a déclaré Michael Daniel, PDG de Cyber ​​Threat Alliance.

Par conséquent, la base de la plupart de nos efforts de partage d’informations est défectueuse. Parce que la fondation est imparfaite, l’activité qui en résulte souffre de certaines faiblesses fondamentales », a-t-il déclaré.

Sans aucun doute, la plus grande hypothèse est que les informations à partager sont techniques, telles que les indicateurs de compromission et les hachages de logiciels malveillants. Ces informations sont généralement partagées via le langage STIX (Structured Threat Information Expression). Mais, a déclaré Daniel, la cybersécurité ne repose pas uniquement sur des données techniques. Par exemple, le fait qu’une application doive être corrigée n’est pas technique.

Une deuxième hypothèse est que toutes les organisations doivent partager les données techniques qu’elles collectent. Mais, a déclaré Daniel, la plupart des services informatiques ne peuvent ni produire ni consommer de données techniques. En fait, de nombreuses organisations – telles que les organisations à but non lucratif – sont mauvaises dans ce domaine.

Et troisièmement, partager des informations n’est pas facile. Le fait que la Cyber ​​Threat Alliance ait dû être formée en est la preuve, a-t-il soutenu. “Si vous souhaitez partager rapidement, à grande échelle et avec une qualité élevée sur une certaine période de temps, il ne suffit pas de connecter les tuyaux.”

Au Canada, l’une des plateformes de partage de menaces les plus connues est le Canadian Cyber ​​Threat Exchange. D’autres incluent des centres nationaux de réponse aux incidents informatiques et des centres de menaces à but lucratif. Certaines industries les offrent, comme le Centre nord-américain de partage et d’analyse de l’information sur l’électricité, l’un des nombreux ISAC aux États-Unis.

Daniel, qui était le coordinateur de la cybersécurité de la Maison Blanche au Conseil de sécurité nationale des États-Unis sous l’administration Obama, a fait valoir qu’il existe quatre types de renseignements sur les menaces:

  • Technique (hachages de malwares, adresses IP, etc.).
  • Tactique (informations sur des instances spécifiques d’activité malveillante, telles qu’un acteur de la menace ciblant une organisation ou un secteur spécifique. Ces informations sont utilisées pour apporter des ajustements à une configuration de réseau ou à des appareils sur le réseau).
  • Opérationnel (aide les cadres supérieurs à prendre des décisions à l’échelle du système, telles que la fréquence des correctifs. Comprend des rapports sur les vulnérabilités et les failles de sécurité dans les logiciels, l’attribution d’un attaquant, les défenses à prendre pour atténuer les exploits).
  • Stratégique (la montée en puissance des ransomwares, ou des données recherchées par un État-nation. Elles contiendraient également les meilleures pratiques. Ce type d’informations est destiné au personnel le plus élevé).

Dans ces catégories, Daniel a identifié 11 types d’informations sur les menaces. Mais, a-t-il souligné, toutes les organisations ne peuvent pas toutes les gérer.

En fait, a-t-il soutenu, la plupart des organisations n’ont besoin que de quelques décisions en matière de cybersécurité. Par conséquent, ils devraient poser deux questions sur les renseignements sur les menaces qu’ils collectent et utilisent: est-ce pertinent pour leur modèle d’entreprise? Et peut-il être utilisé pour créer un avantage comparatif avec les concurrents?

«Si vous ne pouvez pas aligner la valeur du partage directement sur les besoins commerciaux de l’organisation, cela ne fonctionnera pas», a-t-il déclaré.

Les responsables du renseignement sur les menaces devraient également réfléchir à ce pour quoi ils sont bons et laisser le reste aux autres fournisseurs. Par exemple, les gouvernements sont bons pour exploiter leurs informations de collecte de renseignements. Ils ne doivent pas diffuser d’informations techniques, telles que des indicateurs de compromission, ce qui est mieux fait par les fournisseurs de sécurité.

Si les informations sur les menaces que vous obtenez actuellement ne vous aident pas à défendre votre organisation, elles ne correspondent probablement pas à vos besoins, a déclaré Daniel. Trouvez de nouvelles sources.

“De nouvelles sources peuvent vous rendre plus conscient des menaces ou vous aider à découvrir plus facilement qu’il existe une menace qui pourrait vous affecter”, a-t-il expliqué.

Et plus n’est pas mieux, a-t-il ajouté. La meilleure solution consiste peut-être à réduire le nombre de sources d’informations sur les menaces. Cela peut libérer des ressources, faciliter la liaison des informations sur les menaces aux opérations commerciales de manière plus efficace.

Les dirigeants d’Infosec devraient créer un plan qui obtienne les informations sur les menaces les plus exploitables pour le moins de fardeau possible, a-t-il déclaré.

Les fournisseurs de renseignements sur les cybermenaces (CTI) doivent trouver des moyens d’inclure des informations non techniques, telles que les meilleures pratiques.

«Le partage d’informations est un élément important et même critique d’une cybersécurité efficace», a déclaré Daniel, qui a été compromis par de mauvaises hypothèses.

«Cependant, si nous changeons nos hypothèses et supposons que la CTI est composée de nombreux types différents d’informations complexes, que la pertinence et l’avantage comparatif devraient favoriser le partage, et que le partage nécessite un investissement à long terme, alors nous pouvons partager en respectant sa promesse. .

«Bien sûr, nous n’allons pas résoudre la cybersécurité en partageant des informations. Mais une CTI améliorée qui tient ses promesses rendra certainement la vie des méchants beaucoup plus difficile. “

Leave a Reply

Your email address will not be published. Required fields are marked *