La Threat Intelligence comme vecteur d’automatisation de la Cyberdéfense
Les réseaux informatiques évoluent et poussent leurs attaquants à élaborer de nouvelles stratégies. Cet effort se retrouve également du côté des équipes de cyberdéfense qui doivent assurer la prévention, la détection, et la réponse aux menaces.
Si les outils de sécurité pour répondre à ces enjeux existent et sont performants (SIEM, EDR, RASP…), une interrogation demeure prégnante : comment mutualiser les informations et traitements permis par ces différentes solutions pour permettre à l’acteur humain de prendre ses décisions au cours de son processus de traitement des incidents ?
La multiplication des solutions de détection et de réponse aux incidents a amené une complexification des alertes toujours plus nombreuses et difficiles à traiter pour des équipes manquant de capacité. L’automatisation permet d’appuyer ces équipes de cyberdéfense pour des actions qui seraient trop chronophages si effectuées manuellement. Par exemple, la récolte en temps réel de logs provenant de sources variées, la mise à jour régulière des connaissances sur les menaces, ou la détection d’un comportement malveillant. Il est important d’utiliser l’intégralité du potentiel offert par l’éventail d’outils en les faisant communiquer entre eux pour combler les lacunes de chaque système pris individuellement. Différents outils émergent, tel que les SOAR ou les solutions xDR, pour orchestrer et industrialiser les processus d’investigation et de réponse à incidents.
La Cyber Threat Intelligence (CTI) permet notamment de pallier certaines faiblesses des solutions SIEM, très répandues auprès des MSSPs classiques. Cette approche complémentaire permet une meilleure exploitation des données recueillies, en améliorant la quantité et la qualité des alertes reçues, plus particulièrement grâce à la diminution des faux positifs. De plus, ces différents outils peuvent s’alimenter mutuellement et dynamiquement pour s’adapter en temps réel à l’évolution de la menace.
La Threat Intelligence permet d’envisager la cyberdéfense comme une double action humain-automate dont les activités sont distinctes et complémentaires face aux menaces. Cette étude présente comment l’acteur humain, décideur final, peut déléguer les traitements lourds et sujets à erreur à l’automate, en s’appuyant sur la Threat Intelligence comme facilitateur de cette automatisation.
Postprint (CESAR_2021_paper_3-1_24.pdf) | 1010KiB |
Tue 16 NovDisplayed time zone: Brussels, Copenhagen, Madrid, Paris change
13:30 - 15:00 | Cyber Threat IntelligenceCall for Papers at Grand Auditorium Chair(s): Gurvan LE GUERNIC DGA MI & Université de Rennes 1 | ||
13:30 30mTalk | La Threat Intelligence comme vecteur d’automatisation de la Cyberdéfense Call for Papers Media Attached File Attached | ||
14:00 20mTalk | Automatisation de l'analyse de binaires : de la collecte source ouverte à la Threat Intel Call for Papers Media Attached | ||
14:20 20mTalk | Automated Risk Analysis of a Vulnerability Disclosure Using Active Learning Call for Papers Media Attached | ||
14:40 20mTalk | Attack Forecast and Prediction Call for Papers Florian Kaiser Karlsruhe Institute of Technology, Tobias Budig Karlsruhe Institute of Technology, Elisabeth Goebel Karlsruhe Institute of Technology, Tessa Fischer Karlsruhe Institute of Technology, Jurek Muff Karlsruhe Institute of Technology, Marcus Wiens Karlsruhe Institute of Technology, Frank Schultmann Karlsruhe Institute of Technology Media Attached |