Chez Starbucks, on entend souvent des commandes comme celle-ci : "Donnez-moi un grand cappuccino au lait de soja et à la vanille, à moitié*, super piquant." Nous le commandons probablement nous-mêmes. Le fait est que nous nous sommes habitués à ce que les choses soient faites à notre manière, et cela se reflète dans quelque chose d'aussi petit que le café, où le barista est chargé de s'assurer que nos attentes sont satisfaites.
Le monde de la technologie est similaire, mais au lieu de satisfaire les goûts personnels avec du caramel ou du sirop de vanille, la technologie et les produits sont choisis en fonction de l'expérience, de la familiarité et des préférences personnelles. Dans le monde commercial, la personnalisation est plus complexe car nous devons l'adapter à des paramètres tels que la préférence de marque, l'expérience et l'expertise spécifiques de l'équipe, l'environnement d'exploitation, les processus et les flux de travail, ainsi que l'infrastructure d'entreprise existante spécifique qui doit être prise en charge. Cette demande de personnalisation peut être appelée « l'effet Starbucks », qui oscille dans tout le secteur informatique, affectant le matériel, les logiciels, les services, etc.
Un exemple typique est qu’il n’existe pas de sécurité universelle. Cela ressort de l’histoire du développement des couches d’infrastructure et de défense. Depuis des années, les entreprises choisissent parmi une gamme toujours croissante de produits finaux pour faire face aux dernières menaces ou répondre aux besoins de leur entreprise. Les besoins de chaque entreprise sont différents, et l'infrastructure de sécurité qui en résulte sera également différente.
La même situation se reflète dans le renseignement sur les menaces. Toutes les données sur les menaces n’ont pas la même importance, et certaines données sont pertinentes pour votre propre entreprise mais ne sont pas importantes pour d’autres entreprises. De plus, la manière dont les renseignements sur les menaces sont exploités varie en fonction de l’infrastructure et du personnel. Par exemple, les grandes entreprises disposant de suffisamment de personnel disposent des ressources nécessaires pour suivre les données sur les menaces (par exemple, les adresses IP en aval, les titulaires de noms de domaine, etc.) à deux, voire trois degrés de séparation. Les entreprises ne disposant pas de telles ressources doivent être sélectives et enquêter uniquement sur les données sur les menaces actuellement actives qui ciblent leur secteur ou sont liées à des adversaires connus.
La création d'un projet complet de renseignements sur les menaces commence généralement par la sélection de diverses sources de flux de données sur les menaces auxquelles s'abonner. Il peut s'agir de sources commerciales, open source, de sources industrielles, ou vous pouvez incorporer des sources de données sur les menaces provenant de fournisseurs de sécurité existants et les combiner. les données intégrées dans le référentiel central. Vous devez ensuite équiper chaque produit final au sein de votre couche de défense et de votre SIEM d'un canal pour communiquer avec ce référentiel central afin de pouvoir combiner les données mondiales sur les menaces avec les grandes quantités de données de journalisation et de temps générées par ces solutions.
Des données abondantes sont bien sûr une bonne chose, mais elles contiennent aussi beaucoup de bruit. Certains flux de données sur les menaces et certains fournisseurs de sécurité tentent de contribuer à réduire le bruit en publiant des scores de menace. Cependant, ces évaluations sont universelles. Ce que vous voulez vraiment, c'est une note adaptée à votre environnement. Tout comme pour une commande de café, vous seul savez ce que vous aimez et ce dont vous avez besoin. Vous devez être en mesure de personnaliser les scores de menace et de trier les renseignements sur les menaces en fonction des sources, des types, des attributs et du contexte des indicateurs de menace, ainsi que des attributs de l'adversaire, afin de pouvoir filtrer le bruit réel.
Les renseignements personnalisés sur les menaces ne suffisent pas, vous devez également avoir la capacité d'utiliser les renseignements sur les menaces de manière personnalisée. Cela nécessite des solutions capables de communiquer dans les deux sens : non seulement en recevant des données des systèmes internes, mais également en envoyant des informations sur les menaces organisées depuis un référentiel central vers tous les outils nécessaires de l'environnement. Par exemple, l’envoi de renseignements sur les menaces aux solutions de gestion des incidents ou SIEM existantes permet à ces technologies de remplir leurs fonctions plus efficacement et de réduire les faux positifs. Ces informations sur les menaces peuvent également être utilisées pour prédire et prévenir de futures attaques - en envoyant automatiquement des informations sur les menaces aux couches de défense (pare-feu, antivirus, IPS/IDS, sécurité du Web et de la messagerie électronique, détection et réponse des points finaux, analyse du trafic réseau, etc.) pour générer et appliquer des politiques et des règles mises à jour pour atténuer les risques.
Avec une solution capable de personnaliser les informations sur les menaces elles-mêmes et la manière dont elles sont intégrées, vous pouvez « commander » les informations sur les menaces. Cependant, toutes les entreprises ne peuvent pas réaliser seules ce processus de personnalisation.
La pénurie mondiale de talents en cybersécurité continue de s'aggraver et on s'attend à ce qu'il y ait 2 millions de postes vacants dans le domaine de la sécurité d'ici 2019. Que se passe-t-il si vous ne disposez pas d’un expert en sécurité pour développer ou mettre en œuvre un programme de renseignement sur les menaces ? Un fournisseur de services de sécurité gérés (MSSP) peut vous aider. MSSP vous proposera une série d'options pour vous aider à obtenir facilement les services dont vous avez besoin. Ils peuvent réaliser le processus personnalisé pour vous, transformer les données en informations exploitables sur les menaces et les intégrer à votre infrastructure et à vos opérations. Ils peuvent également améliorer vos opérations de sécurité globales grâce à des renseignements sur les menaces pertinents pour votre entreprise, ciblant directement les menaces qui vous importent le plus.
L'effet Starbucks est très courant dans l'industrie informatique, et la veille sur les menaces est également affectée par ce mouvement. Avec la technologie et les services appropriés, chaque entreprise peut obtenir et trier des renseignements pertinents sur les menaces au bon moment, au bon endroit et de la bonne manière