Sergej Khackimullin - Fotolia
Cyber-Threat Intelligence : De la veille au renseignement numérique
Les entreprises font face à des menaces externes omniprésentes et insaisissables. Et comme entre gendarmes et voleurs, la connaissance de l’adversaire et la capacité à anticiper ses mouvements sont des facteurs-clés de succès de la cybersécurité.
A l’heure du tout « cyber », entreprises et organisations font face à des menaces externes aussi omniprésentes qu’elles peuvent être insaisissables. Comme souvent entre gendarmes et voleurs, la connaissance de l’adversaire et la capacité à anticiper ses mouvements sont des facteurs-clés de succès.
Dans le pire des cas, l’attaqué ne découvre l’attaque que plusieurs mois voire années après son démarrage et se retrouve donc dans une posture au mieux réactive, au pire de victime passive.
Prenons pour exemple la découverte d’un document confidentiel sur Internet. L’attaqué devra successivement identifier la source de la fuite, faire le post-mortem (plus il est tardif, moins il y a d’éléments), vérifier que la menace n’est plus active et y répondre le cas échéant, vérifier que la menace ne s’est pas propagée et y répondre le cas échéant.
Le même attaqué qui saurait, avant l’attaque, qu’il est visé, par qui et comment, pourrait ajuster ses dispositifs de protection pour la prévenir.
Ce scénario idéal n’étant pas toujours accessible, un objectif plus réaliste est de remonter le plus loin possible dans la chaîne d’attaque afin d’en limiter l’impact. Et cela commence par assurer l’analyse dynamique des flux mail ou/et web bloquant la livraison des charges. Vient ensuite le blocage des callbacks à partir de référentiels de serveurs de commande. Puis la détection en aval, mais avec une investigation rapide permettant de limiter les actions réalisées par l’attaquant et d’empêcher une éventuelle propagation (déjà un bel objectif).
Pour ce faire, disposer d’un processus de veille sur les menaces est un véritable accélérateur. Savoir que l'entreprise est ciblée permet de mieux se préparer aux attaques. Connaître et comprendre ces attaques permet de compléter et d’ajuster les moyens de protection, ou d’affiner ceux de détection et de réponse.
Ce processus devra a minima prévoir des activités de cadrage, de collecte de données (en s’appuyant sur de multiples sources), de traitement (évaluation de la fiabilité, corrélation), d’analyse (évaluation de l’impact, recommandations associées) et de diffusion vers différents « consommateurs » allant du management, consommateur de panoramas sur l’évolution de la menace, au SOC consommateur de données techniques exploitables plus ou moins automatiquement (flux d’adresses IP malveillantes par exemple).
Ces activités restent centrées sur les données collectées. De leur qualité et de leur consolidation dépendra en grande partie l’efficacité du processus global, l’objectif devant être de privilégier le renseignement (le terme anglo-saxon d’intelligence est de ce point de vue bien plus parlant) à la donnée technique brute.
Cette échelle de valeur peut être illustrée par le cas d’un scan de ports où l’entreprise pourra disposer de différents niveaux d’information : la simple journalisation d’une requête unitaire par un pare-feu ; l’agrégation d’évènements depuis et vers un même IP déclenchant une alerte sur un SIEM ; la localisation de cette IP source dans un pays « à risque » et sa présence dans des listes d’IP malveillantes ; le croisement avec un bulletin d’alerte indiquant que cette IP de scan est associée à la préparation d’une campagne APT visant le secteur de l’entreprise et financée par un réseau criminel connu.
Comment souvent, tout revient à une question de moyens. Le coût de l’expertise et de la logistique permettant d’aboutir aux informations les plus avancées poussent naturellement les entreprises à s’appuyer sur des services externes ; un marché lui-même structuré par les ressources financières et la taille des fournisseurs.
Le marché de la « Cyber-Threat Intelligence » se caractérise ainsi aujourd’hui par une démarcation très nette entre des services gratuits ou peu coûteux, souvent communautaires, mettant à disposition des indicateurs d’attaque issus d’une analyse de surface d’événements déjà survenus (flux fournissant des listes de domaines malveillants, par exemple) ; et des services beaucoup plus onéreux reposant sur des sources non techniques (intelligence économique, infiltration, collaboration avec les autorités) et des analyses techniques poussées pour disposer d’éléments sur le contexte et la motivation des attaques.
Le marché français est malheureusement très pauvre à date. Cela s’explique avant tout par un problème de taille critique, majoré par le caractère global de la menace.
A titre d’illustration, le premier CERT privé français s’appuie sur quelques dizaines d’analystes pour porter une offre incluant la veille sur les menaces mais également la surveillance des noms de domaine, le contrôle d’intégrité des sites Web, la détection des fuites d’informations, la détection du phishing, la surveillance des applications mobiles…
Isight Partners, le principal pure player sur le plan mondial affiche aujourd’hui un réseau de plus de 200 personnes chargées de la collecte et de l’analyse de données, réparties dans le monde entier, et ne faisant que de la veille avancée sur les menaces.
Ce constat peut d’ailleurs être illustré par l’absence d’acteur français identifié par Gartner, là où il trouve par contre des Italiens, Espagnols, Danois ou Néerlandais.
Face à cette situation, plusieurs recommandations s’imposent au final. De manière générale, il est important de diversifier les sources, mais aussi d’aller vers des services payants de veille avancée, de s’ouvrir à des fournisseurs internationaux avec les précautions d’usage en termes d’analyse de risque (degré de confiance de fournisseurs principalement américains en fonction du secteur d’activité et du cœur de métier de l’entreprise).
Et puis, il convient de rester cohérent avec la maturité de ses processus de détection et de réponse sur incident. Un flux technique accessible via une API aura, par exemple, peu de valeur ajoutée s’il n’est pas exploité dans le cadre d’un SOC pour détecter en temps réel le trafic malveillant…