Que sont les threat intelligence feeds ?
Les threat intelligence feeds sont des flux de données automatisés qui délivrent en temps réel :
des informations sur les cybermenaces ;
des indicateurs de compromission (IoC) ;
des modes opératoires d'attaque aux équipes de sécurité.
Ainsi, ces feeds permettent aux organisations d'identifier de manière proactive les menaces émergentes avant qu'elles n'affectent leur infrastructure. En intégrant des threat intelligence feeds de haute qualité dans leurs opérations de sécurité, les équipes renforcent leurs capacités de défense et réduisent les temps de réponse aux incidents critiques. Il s’agit d’un facteur essentiel, puisqu’une identification et un confinement plus rapides contribuent à abaisser le coût moyen d'une violation de données.
Les threat feeds contiennent des données de sécurité brutes, non traitées, sans contexte ni analyse. À l'inverse, les threat intelligence feeds fournissent des données enrichies incluant des IoC, de l'attribution d'attaque et un contexte exploitable.
En effet, ces informations contextualisées aident les équipes sécurité à prioriser les menaces selon leur pertinence pour l'environnement et leur impact potentiel.
25 AI Agents. 257 Real Attacks. Who Wins?
From zero-day discovery to cloud privilege escalation, we tested 25 agent-model combinations on 257 real-world offensive security challenges. The results might surprise you 👀
Feeds open source vs. feeds commerciaux
Les feeds open source sont maintenus par la communauté. Généralement gratuits, ils fournissent des indicateurs de menaces et des schémas d'attaque de base. Ils conviennent bien aux organisations disposant de budgets limités ou souhaitant compléter leur renseignement existant.
Les feeds commerciaux proposent des données propriétaires, des analyses avancées et un support dédié fourni par des éditeurs de cybersécurité. Ils incluent souvent des renseignements exclusifs issus de la recherche privée et des fréquences de mise à jour plus élevées.
Ainsi, le choix entre open source et commercial dépend de vos exigences de sécurité, de vos contraintes budgétaires et de votre niveau d'expertise interne.
Detect active cloud threats
Learn how Wiz Defend detects active threats using runtime signals and cloud context—so you can respond faster and with precision.
Qu'est-ce qui caractérise un threat intelligence feed de haute qualité ?
Tous les threat intelligence feeds ne se valent pas. Lors de votre évaluation, privilégiez ceux qui fournissent des données exploitables et pertinentes. Voici les caractéristiques à rechercher :
Actualité : Les données doivent être livrées quasi en temps réel pour contrer des menaces très rapides. Un feed mis à jour quotidiennement peut être trop lent face à des exploits zero-day.
Précision : Le taux de faux positifs doit être faible. Des données imprécises génèrent de la lassitude face aux alertes et minent la confiance dans le système, poussant les équipes à ignorer de vraies menaces.
Contexte : Une donnée brute, comme une adresse IP, a une utilité limitée. Afin de prioriser et de répondre efficacement, un feed de qualité apporte le contexte, acteur de la menace associé, famille de malware, vecteur d'attaque.
Pertinence : Le renseignement doit être adapté à votre secteur, à votre zone géographique et à votre pile technologique. Par exemple, un feed axé sur les malwares financiers sera peu utile à un acteur de la santé.
Intégration : Le feed doit être disponible dans des formats standards comme STIX/TAXII pour une intégration aisée avec vos SIEM, vos plateformes SOAR et vos autres outils de sécurité.
What is enrichment in threat intelligence?
Enrichment in threat intelligence is the process of adding context, metadata, and relationships to raw security data to make it actionable.
En savoir plus
13 threat intelligence feeds essentiels à suivre
Ces 13 threat intelligence feeds figurent parmi les sources les plus fiables et complètes, sélectionnées selon la qualité des données, la fréquence des mises à jour, l'étendue de la couverture et les capacités d'intégration :
1. Wiz Cloud Threat Landscape
Le Cloud Threat Landscape propose de la threat intelligence sélectionnée et centrée sur les environnements cloud publics, les systèmes CI/CD et les systèmes de gestion du code source. Ainsi, il est conçu pour aider les équipes sécurité à identifier et contextualiser les menaces propres au cloud en complément d'autres threat intelligence feeds.
Wiz Vulnerability Database
A resource that provides information on vulnerabilities in cloud environments, intended to support security teams in monitoring and prioritizing risk.
See Database
2. SANS Internet Storm Center (ISC)
Issu du SANS Technology Institute, l'ISC est depuis longtemps une ressource de confiance pour les entreprises souhaitant comprendre le panorama des menaces. En effet, les sources de threat intelligence de l'ISC sont vastes et variées : l'équipe s'appuie sur des capteurs couvrant un demi-million d'adresses IP et environ 50 pays. Le threat intelligence feed de l'ISC est gratuit et inclut des données techniques ainsi que des instructions pas à pas pour mitiger les menaces potentielles.
CROC Talks - Threat Models, Cloud Tools, and Security Tales - Special Guest: Kat Traxler
Écoutez maintenant
3. LevelBlue Labs Open Threat Exchange (OTX)
LevelBlue Labs Open Threat Exchange (anciennement AlienVault OTX) met en relation les organisations avec un vaste réseau communautaire d'analystes et d'experts en cybersécurité. Ainsi, en intégrant ce threat intelligence feed collaboratif, vos équipes accèdent à un large ensemble d'IoC, d’insights sur les malwares et de renseignements organisés par la communauté pour renforcer les défenses. Les données OTX sont disponibles dans des formats largement pris en charge tels que CSV, OpenIoC et STIX.
4. Spamhaus
Les threat feeds de Spamhaus peuvent aider les entreprises à sécuriser leurs boîtes de réception et leurs applications en ligne, en mettant l’accent sur la sécurité email, les malwares et la lutte contre le spam. Ainsi, la Spamhaus Block List (SBL) et la Domain Block List (DBL) sont précieuses pour les organisations. En effet, elles incluent des dizaines de milliers d'adresses IP et de noms de domaine utilisés par des attaquants pour pénétrer des réseaux d'entreprise. En outre, l'utilisation conjointe des threat intelligence feeds et des blocklists de Spamhaus avec d'autres feeds et plateformes de threat intelligence permet de renforcer la sécurité tout en réduisant les faux positifs et la surcharge d’alertes.
5. OpenPhish
L'OpenPhish threat intelligence feed fournit des mises à jour sur l'activité de phishing, un vecteur d'attaque majeur ces dernières années. En effet, des versions gratuites et premium existent, avec des fréquences de mise à jour et des niveaux de détail différents. Selon IBM, le phishing était le deuxième vecteur de violation de données le plus fréquent en 2024. Ainsi, OpenPhish propose à la fois des feeds gratuits et premium : la version gratuite met à jour le feed toutes les 12 heures et ne fournit que des fichiers texte, tandis que la version premium offre des mises à jour (aux formats CSV et JSON) toutes les 5 minutes. Celles-ci incluent un éventail plus large d'informations, comme l'adresse IP, le GeoIP, les métadonnées SSL et des journaux de phishing.
6. CrowdSec
Les options gratuites et commerciales du threat intelligence feed CrowdSec aident les entreprises à signaler les activités malveillantes et à générer des insights actionnables. (La version gratuite limite les utilisateurs à 50 requêtes par jour.) Ainsi, les threat intelligence feeds CrowdSec rassemblent plus de 25 millions d'adresses IP malveillantes, et sa base couvre des données en provenance de 190 pays et 80 000 machines. En outre, CrowdSec fournit de la threat intelligence sur des adresses IP malveillantes et d'autres vecteurs d'attaque courants. Le feed existe en versions gratuite et commerciale, avec des limites de requêtes et une couverture variables.
7. Shadowserver
Shadowserver fournit gratuitement des rapports quotidiens de remédiation réseau à grande échelle utilisés par des entreprises et des CSIRT pour réduire le risque à grande échelle. Ainsi, les rapports (livrés par email/API) couvrent un large éventail de problématiques telles que des infections de botnets. On peut également citer des services exposés ou des résolveurs ouverts, aidant les équipes à prioriser rapidement la réponse. En effet, l'ampleur et la portée opérationnelle de Shadowserver en font un choix solide et largement adopté pour des données de menace lisibles par machine et directement exploitables.
8. HoneyDB
Le threat intelligence feed HoneyDB se compose de renseignements issus de honeypots. Il s’agit d'informations collectées en attirant délibérément des acteurs malveillants dans un environnement surveillé afin d'analyser leurs outils et tactiques. Ainsi, l'API de threat intelligence de HoneyDB propose des catégories d'informations telles que :
bad hosts ;
bad hosts par service ;
historique IP ;
données des capteurs ;
services ;
nœuds ;
systèmes autonomes (AS) ;
historique des charges utiles.
En outre, la version gratuite de HoneyDB autorise 1 500 requêtes par mois, et l'offre entreprise la plus élevée ne fixe aucune limite mensuelle.
9. Automated Indicator Sharing (AIS)
AIS est un service proposé par la Cybersecurity and Infrastructure Security Agency (CISA). Il s'appuie sur les standards ouverts Structured Threat Information Expression (STIX™) et Trusted Automated Exchange of Indicator Information (TAXII™). Par conséquent, AIS fournit gratuitement, dans un format lisible par machine, les vulnérabilités cyber les plus critiques, des IoC ainsi que des tactiques, techniques et procédures (TTP). Ainsi, l'écosystème AIS regroupe des organisations publiques et privées : entreprises, gouvernements, agences fédérales, centres de partage et d'analyse d'informations (ISAC) et organisations de partage et d'analyse d'informations (ISAO).
10. Blocklist.de
Le threat intelligence feed Blocklist.de est une solution gratuite animée par des bénévoles. Les entreprises peuvent l’adopter pour se protéger contre des attaques visant des serveurs SSH, des accès mail, des serveurs FTP ou web. En effet, avec environ 6 644 utilisateurs actifs, chaque mise à jour du threat intelligence feed Blocklist.de comporte plus de 70 000 attaques. Ces mises à jour ont lieu toutes les 12 heures afin de garantir la fraîcheur des données de menace. Enfin, les utilisateurs peuvent télécharger les listes d'adresses IP bloquées sous forme de fichiers gzip compressés.
11. CISA Known Exploited Vulnerabilities (KEV)
Le catalogue Known Exploited Vulnerabilities (KEV) de la CISA est une liste de référence, lisible par machine (CSV/JSON), des vulnérabilités dont l'exploitation a été confirmée en conditions réelles. Ainsi, fréquemment mis à jour, KEV est hautement actionnable pour la priorisation des correctifs et s'aligne avec les programmes de réduction des risques en entreprise. En effet, l'intégration de KEV aux côtés d'autres feeds aide les équipes à concentrer la remédiation sur les expositions les plus susceptibles d'être ciblées.
12. abuse.ch URLhaus
Idéal pour identifier des domaines et des URL suspects, URLhaus propose trois types distincts de threat intelligence feeds :
un feed par ASN (AS number) ;
un feed par pays ;
un feed par domaine de premier niveau (TLD).
Ainsi, les principales audiences d'URLhaus incluent des CERT, des FAI et des opérateurs réseau. En outre, selon URLhaus, leurs feeds ne sont pas prioritairement conçus pour la mise en liste noire/liste de blocage ni pour les IoC. Si les organisations souhaitent les utiliser à ces fins, elles doivent recourir à l'API URLhaus.
13. GreyNoise
GreyNoise fournit une threat intelligence sélectionnée sur les scanners à l’échelle d’Internet et les attaquants opportunistes. Cela fournit des feeds en temps quasi réel pour filtrer le bruit et se concentrer sur les menaces pertinentes. Ainsi, en distinguant le trafic de scan de fond de l'activité réellement exploitable, GreyNoise aide à réduire la surcharge d’alertes et à améliorer le triage au sein du SOC. En effet, ses feeds sont conçus pour une intégration simple dans les workflows et les outils existants du SOC.
Comment Wiz peut renforcer votre écosystème de threat intelligence
L'ensemble des capacités de Wiz repose sur une connaissance approfondie du cloud. Ainsi, porté par une threat intelligence cloud inégalée, Wiz est un outil unique et essentiel pour naviguer dans le paysage actuel des menaces.
Wiz est la plateforme de sécurité cloud ultime, alimentée par la threat intelligence, incluant :
des investigations sans équivalent ;
un Threat Center de rang mondial ;
l'intégration de threat intelligence cloud publique et interne ;
des analyses de TTP ;
des évaluations de réputation d'adresses IP et de domaines.
Pour approfondir les enseignements de Wiz TI, découvrez notre podcast sur la sécurité cloud (vous n'avez encore rien vu de tel), notre vaste bibliothèque de recherches en sécurité cloud, et l'Open Cloud Vulnerabilities and Security Issues Database que nous avons fondée et que nous maintenons.
À venir également : de nouvelles capacités, via le Cloud Threat Landscape dans le portail Wiz, vous permettront d'en apprendre davantage sur les groupes d'attaquants et de corréler les constats dans vos environnements cloud avec des adversaires précis.
Demandez une démo pour voir comment Wiz (et notre Cloud Threat Landscape) peut renforcer votre sécurité cloud et votre threat intelligence.