Photographee.eu - Fotolia

Introduction aux plateformes de gestion du renseignement sur les menaces

Les plateformes de gestion du renseignement sur les menaces aident à améliorer proactivement les défenses des entreprises. Voici comment.

Les services de renseignement sur les menaces peuvent être internes aux fournisseurs de solutions de sécurité, ou indépendants, comme ceux de Group IB, de Flashpoint, ou encore de Lexsi (racheté début 2016 par Orange). Dans les deux cas, ils collectent d’importantes quantités de données sur les menaces, établies et émergentes, ainsi que sur leurs acteurs. Ils le font à partir de sources multiples. Dans un deuxième temps, ces services analysent et filtrent les données pour produire des informations exploitables.

Les informations ainsi « raffinées » peuvent prendre la forme de rapports ou de flux de données qui alimentent des systèmes de contrôle de sécurité automatisés. L’objectif principal est d’aider les entreprises à comprendre les risques auxquels elles sont confrontées, pour mieux se protéger contre les menaces inédites, les menaces avancées persistantes ou encore l’exploitation de vulnérabilités. En particulier contre ce qui est le plus susceptible d’affecter leur environnement spécifique.

Apprendre des menaces pertinentes le plus tôt possible donne en effet les moyens aux entreprises de combler leurs lacunes par anticipation, et de prendre des mesures complémentaires pour prévenir les pertes de données, les brèches, et les autres indisponibilités.

Les modèles de renseignements sur les menaces

Les entreprises qui fournissent des services de renseignement sur les menaces sont relatives jeunes. Il y a encore d’importantes différences entre les types de services fournis par chacun.

Certains se contentent de produire des flux de données qui ont été nettoyés de la plupart des faux positifs. Dans ce cas, les services les plus courants agrègent et corrèlent des flux et fournissent des alertes personnalisées suivant l’environnement de risque du client.

D’autres vont plus loin. Ils injectent automatiquement les informations dans les équipements de sécurité : pare-feu, IPS, système de gestion des informations et des événements de sécurité (SIEM), etc. Ils ajoutent à cela des évaluations et des services de conseil sectoriels.

Chaque type de plateforme est vendu à l’abonnement, avec généralement deux ou trois niveaux de service, le tout en mode Cloud. Plusieurs entreprises proposent des services managés pour la fourniture de leur solution sur des systèmes déployés en interne.

Le tarif d’entrée des abonnements est modérément élevé mais les prix montent vite.

Surtout si on y ajoute les besoins en équipements associés qui peuvent être importants pour les déploiements en local.

Les plateformes de gestion du renseignement sur les menaces se destinent donc encore principalement aux entreprises moyennes à grandes. Toutefois, avec des projets

 open source comme Yeti et avec le Cloud qui tirent les prix vers le bas, ces outils sont appelés à devenir plus économiques.

Une brève histoire des plateformes de gestion du renseignement

Les plateformes de gestion du renseignement sur les menaces sont aujourd’hui relativement nombreuses : Anomali, ThreatQuotient, ThreatConnect, RiskIQ, EclecticIQ, mais aussi ScoutIQ d’Untangle, AbuseSA de Synopsys, Blueliv, Argos de CyberInt, Soltra ou encore Raytheon Cyber avec ATIP (via l’acquisition de Foreground Security en 2015).

Elles doivent leur apparition à la pléthore de données disponibles - générées en interne ou collectées à partir de flux externes, gratuits ou payants. Le traitement de ces données et leur transformation en informations utiles demande des efforts et une expertise considérables.

En profitant des données remontées par des millions d’agents déployés chez leurs clients, les spécialistes de la sécurité informatique maintiennent depuis des années des bases de menaces. Une « matière première » indispensable pour mettre régulièrement à jour leurs produits et leurs équipements.

De telles données - complétées par des flux de sources différentes – constituent aujourd’hui la base des informations fournies par un outil de gestion du renseignement sur les menaces.

Un coup d’œil dans les données des services de renseignement

Néanmoins, les données des sources de renseignement sur les menaces varient en qualité et en structure. Elles doivent impérativement être validées. Ce processus implique une intervention humaine ainsi qu’une analyse automatisée, pour le tri, le traitement et l’interprétation.

Les menaces apparentes sont aussi corrélées avec un ensemble complet de données sur les menaces en général. Le but est d’identifier des profils susceptibles d’indiquer des activités suspectes ou malveillantes. Ces menaces sont également étudiées via des indicateurs techniques à des fins de classification.

Enfin, les données sont transformées en informations contextuelles. A cette étape elles peuvent mettre en lumière des modèles comportementaux et des tactiques liés à des menaces avancées ou émergentes, ainsi qu’à des groupes d’attaquants.

Pour être exploitable, l’information sur les menaces doit être précise, opportune, et pertinente pour son utilisateur. Pour cela, elle doit s’aligner sur les stratégies de sécurité de l’entreprise et pouvoir être aisément intégrée aux systèmes de sécurité existants.

Les fonctions caractéristiques des plateformes de gestion du renseignement

De nombreux flux de données sont disponibles via les plateformes de gestion du renseignement sur les menaces.

Ces flux peuvent concerner des adresses IP, des URL et des domaines malicieux, des URL de hameçonnage, des signatures de logiciels malveillants, etc.

Les flux fournis par les services de renseignement sur les menaces doivent combiner des données issues de leurs propres bases, et des données ouvertes, ainsi que des informations émises par des groupes sectoriels. Le tout afin de fournir un éventail de données large, mais surtout riche.

Aux côtés de rapports - quotidiens, hebdomadaires, mensuels, voire trimestriels - la plupart des services produisent également des alertes en temps réel qui peuvent inclure des informations au sujet de logiciels malveillants spécifiques, de menaces émergentes, ou encore d’acteurs de menace et de leurs motivations.

Des analystes, ou au moins des spécialistes de la sécurité informatique, sont nécessaires pour gérer les données issues de ces flux.

Les données sont soit intégrées aux produits de sécurité – en particulier pour celles produits par leurs constructeurs/éditeurs – soit poussées dans différents formats de fichiers tels que XML, CSV, STIX ou JSON. Une formation des équipes, par le fournisseur des flux de données, peut être nécessaire.

Certaines entreprises proposent des services de sécurité managés pour décharger leurs clients de l’essentiel de la charge administrative liée à une approche proactive de la sécurité. L’offre managée recouvre la mise à disposition d’experts chargés de produire des rapports de renseignement sur les menaces, de surveiller les actifs de l’organisation cliente 24h/24, voire d’aider au confinement des menaces et à la réponse aux incidents.

Comme toujours, les services les moins onéreux sont ceux qui nécessitent le plus de temps et d’efforts côté client.

Au final, comme les services de renseignement sur les menaces varient largement d’une offre à l’autre, le défi majeur des entreprise au moment de choisir reste de connaître leurs besoins – savoir comment l’information sera utilisés. L’autre défi est de disposer – ou de recruter - les bonnes équipes pour exploiter pleinement les informations de ces outils.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)