Les acteurs de la menace diversifient leurs techniques, tactiques et procédures de monétisation (TTP) avec de nouvelles méthodes d’attaque car les progrès technologiques ont abaissé la barrière d’entrée, et l’émergence du ransomware en tant que service (RaaS) a exacerbé le problème.
Pour qu’une organisation puisse atteindre ce niveau de sophistication, la veille sur les menaces doit devenir un élément essentiel de son dispositif de sécurité, car elle fournit des informations exploitables sur les menaces actuelles et aide à protéger les entreprises contre les attaques malveillantes.
AutoFocus
AutoFocus de Palo Alto Networks est une plateforme de veille sur les menaces basée sur le cloud qui vous permet d’identifier les attaques critiques, d’effectuer des évaluations préliminaires et de prendre des mesures pour remédier à la situation sans avoir besoin de ressources informatiques supplémentaires. Le service recueille des données sur les menaces à partir du réseau de votre entreprise, de votre secteur d’activité et de sources de renseignements mondiales.
AutoFocus fournit des renseignements de l’unité 42 – l’équipe de recherche sur les menaces de Palo Alto Network – sur les dernières campagnes de logiciels malveillants. Le rapport sur les menaces est consultable sur votre tableau de bord, ce qui vous donne une visibilité supplémentaire sur les techniques, tactiques et procédures (TTP) des acteurs malveillants.
Caractéristiques principales
- Le flux de recherche de l’unité 42 fournit une visibilité sur les derniers logiciels malveillants avec des informations sur leurs tactiques, techniques et procédures
- Traite quotidiennement 46 millions de requêtes DNS réelles
- Rassemble des informations provenant de sources tierces telles que Cisco, Fortinet et CheckPoint
- L’outil fournit des renseignements sur les menaces aux outils de gestion des informations et des événements de sécurité (SIEM), aux systèmes internes et à d’autres outils tiers grâce à une API RESTful ouverte et agile
- Il comprend des groupes de balises prédéfinis pour les ransomwares, les chevaux de Troie bancaires et les outils de piratage
- Les utilisateurs peuvent également créer des balises personnalisées en fonction de leurs critères de recherche
- Compatible avec divers formats de données standard tels que STIX, JSON, TXT et CSV
Le prix de l’outil n’est pas annoncé sur le site web de Palo Alto Network. Les acheteurs doivent contacter l’équipe commerciale de l’entreprise pour obtenir un devis. Vous pouvez également demander une démonstration du produit pour en savoir plus sur les capacités de la solution et sur la manière dont vous pouvez l’exploiter pour votre entreprise.
Criminal IP
Criminal IP est un moteur de recherche CTI qui fournit des informations complètes sur les menaces pesant sur tous les actifs cybernétiques. Grâce à la technologie d’apprentissage automatique de l’IA, il surveille les ports ouverts des adresses IP dans le monde entier par le biais d’un processus de balayage 24 heures sur 24 et 7 jours sur 7, et fournit des rapports avec un score de risque à 5 niveaux.
En plus d’être un puissant moteur de recherche, Criminal IP offre également diverses applications telles que la gestion de la surface d’attaque, les tests de pénétration et l’analyse des vulnérabilités et des logiciels malveillants.
Caractéristiques principales
- Analyse des vulnérabilités et fourniture d’informations CVE
- Collecte et analyse en temps réel des données relatives aux adresses IP dans le monde entier
- Intégration avec divers flux de travail et produits existants
ManageEngine Log360
ManageEngine Log360 est un outil de gestion des journaux et de SIEM qui offre aux entreprises une visibilité sur la sécurité de leur réseau, vérifie les modifications apportées à l’Active Directory, surveille leurs serveurs Exchange et leur installation dans le nuage public, et automatise la gestion des journaux.
Log360 combine les capacités de cinq outils ManageEngine, notamment ADAudit Plus, Event Log Analyzer, M365 Manager Plus, Exchange Reporter Plus et Cloud Security Plus.
Les modules de renseignements sur les menaces de Log360 comprennent une base de données qui contient les IP malveillantes mondiales et un processeur de flux de menaces STIX/TAXII qui récupère fréquemment les données des flux de menaces mondiales et vous met à jour.
Caractéristiques principales
- Comprend des capacités intégrées de courtier en sécurité d’accès au nuage (CASB) pour aider à surveiller les données dans le nuage, à détecter les applications informatiques fantômes et à suivre les applications sanctionnées et non sanctionnées
- Détection des menaces sur les réseaux d’entreprise, les terminaux, les pare-feu, les serveurs web, les bases de données, les commutateurs, les routeurs et d’autres sources en nuage
- Détection des incidents en temps réel et surveillance de l’intégrité des fichiers
- Utilise le cadre ATT&CK de MITRE pour hiérarchiser les menaces qui se produisent dans la chaîne d’attaque
- La détection des attaques comprend la corrélation en temps réel basée sur des règles, l’analyse du comportement des utilisateurs et des entités (UEBA) basée sur le ML et l’analyse MITRE ATT&CK basée sur des signatures
- Prévention intégrée des pertes de données (DLP) pour l’eDiscovery, l’évaluation des risques liés aux données, la protection du contenu et la surveillance de l’intégrité des fichiers
- Analyse de la sécurité en temps réel
- Gestion intégrée de la conformité
Log360 peut être téléchargé en un seul fichier et se décline en deux éditions : gratuite et professionnelle. Les utilisateurs peuvent découvrir les fonctionnalités avancées de l’édition professionnelle pendant une période d’essai de 30 jours, après quoi ces fonctionnalités seront converties dans l’édition gratuite.
LevelBlue
La plateforme LevelBlue a été développée par AT&T. Cette solution permet de détecter et d’évaluer les menaces, de réagir aux incidents et de gérer la conformité au sein d’une plateforme unifiée.
LevelBlue reçoit toutes les 30 minutes des mises à jour d’LevelBlue sur les différents types d’attaques, les menaces émergentes, les comportements suspects, les vulnérabilités et les exploits qu’ils découvrent dans l’ensemble du paysage des menaces.
LevelBlue offre une vue unifiée de l’architecture de sécurité de votre entreprise, ce qui vous permet de surveiller vos réseaux et vos appareils sur site ou à distance. Il comprend également des fonctionnalités SIEM, la détection des intrusions dans le cloud pour AWS, Azure et GCP, la détection des intrusions dans le réseau (NIDS), la détection des intrusions dans l’hôte (HIDS) et la détection et la réponse aux points d’extrémité (EDR).
Caractéristiques principales
- Détection des réseaux de zombies en temps réel
- Identification du trafic de commande et de contrôle (C&C)
- Détection des menaces persistantes avancées (APT)
- Conformité à diverses normes industrielles telles que GDPR, PCI DSS, HIPAA, SOC 2 et ISO 27001
- Signatures IDS du réseau et de l’hôte
- Collecte centralisée des événements et des journaux
- Détection des exfiltrations de données
- AlientVault surveille les environnements en nuage et sur site à partir d’une seule fenêtre, y compris AWS, Microsoft Azure, Microsoft Hyper-V et VMWare
Le prix de cette solution commence à 1 075 $ par mois pour le plan essentiel. Les acheteurs potentiels peuvent s’inscrire à un essai gratuit de 14 jours pour en savoir plus sur les capacités de l’outil.
Qualys Threat Protection
Qualys Threat Protection est un service en nuage qui offre une protection avancée contre les menaces et des capacités de réponse. Il inclut des indicateurs de vulnérabilité en temps réel, met en correspondance les résultats de Qualys et de sources externes, et met continuellement en corrélation les informations sur les menaces externes avec vos vulnérabilités et l’inventaire de vos actifs informatiques.
Avec Qualys threat protection, vous pouvez créer manuellement un tableau de bord personnalisé à partir de widgets et de requêtes de recherche, et trier, filtrer et affiner les résultats de la recherche.
Caractéristiques principales
- Panneau de contrôle et de visualisation centralisé
- Fournit un flux en direct des divulgations de vulnérabilités
- RTI pour les attaques du jour zéro, les exploits publics, les attaques actives, les mouvements latéraux importants, les pertes de données importantes, les dénis de service, les logiciels malveillants, l’absence de correctif, les kits d’exploitation et les exploits faciles
- Inclut un moteur de recherche qui vous permet de rechercher des actifs et des vulnérabilités spécifiques en créant des requêtes ad hoc
- Qualys threat protection met continuellement en corrélation les informations sur les menaces externes avec vos vulnérabilités et l’inventaire de vos actifs informatiques
Qualys offre un essai gratuit de 30 jours pour permettre aux acheteurs d’explorer les capacités de l’outil avant de prendre une décision d’achat.
SOCRadar
SOCRadar se décrit comme une plateforme SaaS d’Extended Threat Intelligence (XTI) qui combine la gestion de la surface d’attaque externe (EASM), les services de protection contre les risques numériques (DRPS) et le renseignement sur les cybermenaces (CTI).
La plateforme améliore la posture de sécurité de votre entreprise en fournissant une visibilité sur son infrastructure, son réseau et ses données. Les capacités de SOCRadar comprennent la veille sur les menaces en temps réel, les analyses automatisées du deep et du dark web, et la réponse intégrée aux incidents.
Caractéristiques principales
- S’intègre aux piles de sécurité existantes telles que SOAR, EDR, MDR et XDR, ainsi qu’aux solutions SIEM
- Elle dispose de plus de 150 sources d’alimentation
- La solution fournit des informations sur divers risques de sécurité, tels que les logiciels malveillants, les botnets, les ransomwares, le phishing, la mauvaise réputation, les sites web piratés, les attaques par déni de service distribué (DDOS), les pots de miel et les attaquants
- Surveillance basée sur l’industrie et la région
- Cartographie MITRE ATT & CK
- Plus de 6 000 listes d’accès combinées (informations d’identification et cartes de crédit)
- Surveillance du web profond et du dark web
- Détection des informations d’identification compromises
SOCRadar a deux éditions : cyber threat intelligence for SOC teams (CTI4SOC) et extended threat intelligence (XTI). Les deux plans sont disponibles en deux versions – gratuite et payante – le plan CTI4SOC commence à 9 999 $ par an.
Solarwinds Security Event Manager
SolarWinds Security Event Manager est une plateforme SIEM qui collecte, normalise et met en corrélation les données des journaux d’événements provenant de plus de 100 connecteurs prédéfinis, y compris les appareils et les applications du réseau.
Avec SEM, vous pouvez administrer, gérer et surveiller efficacement les politiques de sécurité et protéger votre réseau. Il analyse les journaux collectés en temps réel et utilise les informations recueillies pour vous avertir d’un problème avant qu’il ne cause de graves dommages aux infrastructures de votre entreprise.
Caractéristiques principales
- Surveille votre infrastructure 24 heures sur 24, 7 jours sur 7
- SEM dispose de 100 connecteurs prédéfinis, notamment Atlassian JIRA, Cisco, Microsoft, IBM, Juniper Sophos, Linux, etc
- Automatise la gestion des risques de conformité
- SEM inclut la surveillance de l’intégrité des fichiers
- SEM rassemble les journaux, met en corrélation les événements et surveille les listes de données sur les menaces, le tout dans un seul et même espace
- La plateforme dispose de plus de 700 règles de corrélation intégrées
- Les utilisateurs peuvent exporter des rapports au format PDF ou CSV
Solarwinds Security Event Manager propose un essai gratuit de 30 jours et deux options de licence : l’abonnement, à partir de 2 877 $, et la licence perpétuelle, à partir de 5 607 $. La licence de l’outil est basée sur le nombre de nœuds envoyant des informations sur les journaux et les événements.
Tenable Security Center
Basé sur la technologie Nessus, Tenable Security Center est une plateforme de gestion des vulnérabilités qui fournit des informations sur la posture de sécurité et l’infrastructure informatique de votre organisation. Elle recueille et évalue les données relatives aux vulnérabilités dans l’ensemble de votre environnement informatique, analyse les tendances des vulnérabilités au fil du temps et vous permet d’établir des priorités et de prendre des mesures correctives.
La famille de produits Tenable.sc (Tenanble.sc et Tenable.sc ) vous permet d’identifier, d’étudier, de hiérarchiser et de corriger les vulnérabilités afin de protéger vos systèmes et vos données.
Caractéristiques principales
- Il rationalise la conformité aux normes industrielles, telles que CERT, NIST, DISA STIG, DHS CDM, FISMA, PCI DSS et HIPAA/HITECH
- Ses fonctions de découverte passive des actifs vous permettent de découvrir et d’identifier les actifs informatiques sur votre réseau, tels que les serveurs, les ordinateurs de bureau, les ordinateurs portables, les périphériques réseau, les applications Web, les machines virtuelles, les mobiles et le cloud
- L’équipe de recherche de Tenable fournit des mises à jour fréquentes sur les dernières vérifications de vulnérabilité, la recherche de jour zéro et les repères de configuration pour vous aider à protéger votre organisation
- Tenable gère une bibliothèque de plus de 67 000 vulnérabilités et expositions communes (CVE)
- Détection en temps réel des réseaux de zombies et du trafic de commande et de contrôle
- Tenable.sc director comprend un panneau de verre unique qui vous permet de visualiser et de gérer votre réseau sur toutes les consoles Tenable.sc
Tenable.sc est concédé sous licence par année et par actif, sa licence d’un an commence à 5 364,25 $. Vous pouvez économiser de l’argent en achetant une licence pluriannuelle.
Ensuite, nous allons comprendre les bases de l’intelligence des menaces.
Qu’est-ce qu’une plateforme de renseignement sur les menaces ?
Une plateforme de renseignement sur les menaces (TIP) est une technologie qui permet aux organisations de collecter, d’analyser et d’agréger des données de renseignement sur les menaces provenant de sources multiples. Ces informations permettent aux entreprises d’identifier et d’atténuer de manière proactive les risques de sécurité potentiels et de se défendre contre les attaques futures.
Lerenseignement sur les cybermenaces est un élément important de la sécurité de l’entreprise. En surveillant les dernières cybermenaces et vulnérabilités, votre entreprise peut détecter les failles de sécurité potentielles et y répondre avant qu’elles n’endommagent vos actifs informatiques.
Comment fonctionne la plateforme de renseignement sur les menaces ?
Les plateformes de renseignement sur les menaces aident les entreprises à réduire les risques de violation de données en collectant des données de renseignement sur les menaces à partir de sources multiples, y compris le renseignement de source ouverte (OSINT), le web profond et sombre, et les flux de renseignement sur les menaces propriétaires.
Les TIP analysent les données, identifient les modèles, les tendances et les menaces potentielles, puis partagent ces informations avec votre équipe SOC et d’autres systèmes de sécurité, tels que les pare-feu, les systèmes de détection d’intrusion et les systèmes de gestion des informations et des événements de sécurité (SIEM), afin d’atténuer les dommages causés à votre infrastructure informatique.
Avantages des plateformes de renseignement sur les menaces
Les plateformes de renseignement sur les menaces offrent aux organisations divers avantages, notamment
- Détection proactive des menaces
- Amélioration de la posture de sécurité
- Meilleure allocation des ressources
- Rationalisation des opérations de sécurité
Parmi les autres avantages des PIT, citons l’automatisation de la réponse aux menaces, la réduction des coûts et l’amélioration de la visibilité.
Conclusion
Ce guide a analysé différentes plateformes de veille sur les menaces et leurs principales caractéristiques. La meilleure option pour vous dépend de vos besoins et de vos préférences en matière de veille sur les menaces. Vous pouvez demander une démonstration du produit ou vous inscrire à un essai gratuit avant d’opter pour un outil spécifique.
Vous pourrez ainsi le tester pour déterminer s’il répond aux besoins de votre entreprise. Enfin, assurez-vous que l’outil offre une assistance de qualité et vérifiez la fréquence de mise à jour de ses flux de menaces.