Le renseignement sur les menaces doit sortir de son silo

Le monde de la threat intelligence gagne en maturité. Les grandes entreprises se sont dotées de cellules spécialisées ou s’appuient sur des MSSP. Il reste désormais à franchir une nouvelle étape : le partage de ces informations entre les équipes.

La croissance du marché de la Threat Intelligence (ou renseignement sur les menaces) témoigne du besoin des entreprises à s’informer sur les menaces auxquelles elles sont exposées, pour anticiper les attaques en alimentant leurs outils de protection, mais également aider les analystes et l’équipe de réponse à incident à réagir lorsqu’une attaque survient.

Les entreprises mettent en place des équipes de renseignement sur les menaces ou se tournent vers des prestataires spécialisés qui consolident les données glanées sur les forums, blogs spécialisés et le Deep Web afin d’informer les équipes de sécurité des menaces émergentes. Une récente enquête du SANS Institute consacrée à la « Cyber Threat Intelligence (CTI) » montre que la part d’entreprises ayant mis en place des processus de collecte de ces données est passée de 13 % en 2019 à 44 % cette année. Les services gouvernementaux, suivis du secteur banque et finances, et les prestataires en cybersécurité sont bien évidemment les plus avancés sur la question. Mais le besoin est tout autant important dans des entreprises d’autres secteurs d’activité ou même dans les entreprises de taille plus modeste.

La Threat Intelligence, une discipline de plus en plus mature

Lors d’une table ronde organisée cet été par ThreatQuotient, Jonathan Couch, Senior Vice President Strategy de l’éditeur, soulignait que de plus en plus d’organisations ont désormais des équipes dédiées au domaine. Auparavant il s’agissait souvent d’analystes du centre opérationnel de sécurité (SOC) qui étaient chargés de cette veille. Les spécialisations sont de plus en plus précises au sein des SOC et dans les services cybersécurité, et l’approche « One Man Army » – cet analyste maîtrisant tout de bout en bout dans le SOC – fait place à des rôles mieux définis.

Pour Jonathan Couch, si toutes les entreprises ne peuvent se doter d’une telle cellule, elles doivent au moins nommer un référent sur cette question : « les petites équipes de sécurité qui ne peuvent dédier une personne à la Threat Intelligence peuvent s’appuyer sur un partenaire MSSP. Elles doivent néanmoins s’assurer qu’elles obtiennent la bonne information afin de pouvoir alerter la direction ou les autres équipes en cas de menace avérée. Il faut qu’elles aient au moins une personne dont c’est la tâche principale. Et si ce n’est vraiment pas possible, une personne qui ait un minimum de contexte pour aider les analystes du SOC à parcourir les alertes ».

Même analyse de la part de Zeina Zakhour, Global CTO for Cybersecurity chez Atos : « si une entreprise ne peut dédier une ressource exclusivement à la Threat Intelligence, une personne doit être assignée à la collecte d’informations et regrouper les données pertinentes. Sans cela, une initiative Threat Intelligence ne peut perdurer dans une entreprise ».

Une possibilité évoquée par Mo Cashman, directeur en charge des architectures entreprise chez McAfee, consiste à nommer, au sein du SOC, une personne qui joue le rôle d’interface avec le fournisseur de services CTI. Pour l’expert, les entreprises doivent se doter de processus de bout en bout qui vont de la collecte de l’information et son traitement jusqu’à son exploitation.

« De par mon expérience avec les clients, il faut raisonner par verticaux : quelles sont les menaces qui vont m’affecter en tant qu’organisation, quelles sont les techniques que les attaquants vont mettre en œuvre et quels sont les capteurs à déployer pour contrer chacune de ces techniques », affirme-t-il.

« Il faut comprendre l’objectif, mais aussi les usages réels de cette Threat Intelligence. »
Zeina ZakhourGlobal CTO for Cybersecurity, Atos

Outre le volet outillage, Zeina Zakhour détaille l’importance de définir clairement les objectifs poursuivis par l’entreprise dans son approche de la Threat Intelligence : « la première chose que nous faisons avec nos clients est de définir les objectifs de cette Threat Intelligence. Il faut comprendre l’objectif, mais aussi les usages réels de cette Threat Intelligence. Les modes de collecte seront différents selon qu’il s’agit d’un projet opérationnel et que les données doivent être directement exploitées par des processus automatisés. C’est très différent d’une Threat Intelligence stratégique, plutôt destinée aux CxO, où il s’agit d’identifier les attaquants, définir un profil ».

Les sources d’information mais aussi le type de données collectées seront différentes en fonction de ceux qui seront les consommateurs de ces informations. « Un architecte sécurité voudra s’assurer que les technologies qui ont été déployées par son entreprise pourront s’adapter aux menaces. Il aura donc besoin d’informations très techniques », souligne Mo Cashman.

« Un analyste en charge de la réponse à incident a besoin de prioriser ses investigations. Est-ce un incident classique ? Est-il potentiellement lié à un APT ? Est-ce une technique d’attaque liée à un groupe connu ? Ces réponses vont influer directement sur la priorité qu’il va accorder à sa réponse. Les gouvernements vont pour leur part souhaiter avoir une vue plus stratégique ».

À lire aussi

Information sécurité #15 : Comment le renseignement sur les menaces profite à la cybersécurité
Mieux anticiper les dangers grâce au renseignement sur les menaces.

La Threat Intelligence doit casser les silos

Ryan Trost, CTO et co-fondateur de ThreatQuotient, et qui fut SOC Manager pour le groupe militaro-industriel américain General Dynamics, souligne : « dans les SOC, l’attribution d’une attaque au bon adversaire signifie qu’il faut être capable de recueillir des renseignements de type “Executive”, mais il faut aussi des échanges de données techniques entre les équipes de Threat Intel et les analystes du SOC, notamment ceux qui doivent assurer la réponse à incident. Chez General Dynamics, nous avions des analystes, mais aussi des ingénieurs spécialisés dans la signature des attaques travaillant avec l’équipe de Threat Intelligence. Les analystes privilégient naturellement la protection des ressources, alors que les spécialistes en Threat Intel sont plus dans une approche prédictive. Il est intéressant de voir ces deux profils travailler ensemble ».

« Il faut aussi des échanges de données techniques entre les équipes de Threat Intel et les analystes du SOC, notamment ceux qui doivent assurer la réponse à incident. »
Ryan TrostCTO cofondateur, ThreatQuotient

Alors que 90 % des attaques qui visaient le fabricant d’armes étaient issues de campagnes de Spear Phishing, des personnels ont été dédiés à la victimologie afin d’identifier quelles étaient les cibles des attaquants à l’intérieur de l’entreprise. Une bonne connaissance des méthodes de l’adversaire a permis de former le personnel, pour que ces cibles potentielles soient plus vigilantes vis-à-vis des emails qu’elles recevaient.

Mais cela va plus loin, et l’information glanée par une cellule CTI doit mieux circuler dans l’entreprise, c’est aujourd’hui clairement la position défendue par Zeina Zakhour : « il faut casser les silos ! Une équipe Threat Intelligence doit pouvoir communiquer avec les équipes de développement, avec l’IT management, l’équipe de réponse à incident, etc. Tous ces échanges doivent désormais être réalisés plus rapidement et plus effacement pour faciliter la consommation des CTI ».

Illustration de ce besoin d’élargissement de l’audience de la Threat Intelligence, le mouvement vers DevSecOps et le besoin des équipes DevOps à s’appuyer sur ces données de menace, afin de blinder son code. Jonathan Couch enfonce le clou : « la collaboration est la clé. La Threat Intelligence est capable de générer de la collaboration entre les équipes, entre le SOC et l’équipe de réponse à incident, la Red Team et les équipes DevOps. La Threat Intelligence est un sujet de collaboration pour toutes ces équipes sur leurs attentes vis-à-vis de la cybersécurité, ce dont ils ont besoin ou ce qu’ils cherchent à réparer ».

« Si on veut réaliser une meilleure détection et réponse, il faut casser les silos. »
Mo CashmanDirecteur en charge des architectures entreprise, McAfee

Et Mo Cashman d’ajouter : « si on veut réaliser une meilleure détection et réponse, il faut casser les silos. Si l’équipe de réponse à incident ne communique pas bien avec l’équipe réseau ou les équipes applications, le délai minimum de réponse va être élevé. La Threat Intelligence touche à de nombreux aspects de la cybersécurité et peut accomplir de grandes choses pour améliorer cette collaboration ».

Qui dit Threat Intelligence partagée, dit confiance

Partager plus rapidement et plus largement cette information de sécurité au sein de l’organisation pose directement la question de la confiance et l’importance que l’on doit lui accorder. « Chaque donnée, qu’il s’agisse d’informations collectées en interne ou de données spécifiques à une industrie, se voit assigner un score de confiance », relève Zeina Zakhour.
« On peut le faire manuellement, mais on dispose aujourd’hui des outils pour automatiser en partie cette tâche. Si on trouve de l’information sur Twitter ou dans le Deep Web, il faut analyser la donnée et lui attribuer un score afin que l’expert CTI l’injecte dans le système. C’est cette valeur qui va permettre de définir ce que l’on pourra faire de cette information ».

« Cette notion de score de confiance est capitale, car rien n’est absolu, rien en cybersécurité n’est 100 % bon ou 100 % mauvais. »
Mo CashmanMcAfee

Mo Cashman ajoute que « cette notion de score de confiance est capitale, car rien n’est absolu, rien en cybersécurité n’est 100 % bon ou 100 % mauvais. Pour l’entreprise qui consomme cette donnée de Threat Intelligence, celle-ci doit avoir confiance en son fournisseur. Les entreprises peuvent être amenées à prendre des décisions stratégiques à partir de ces informations. Ce facteur confiance est très important et c’est l’analyse humaine des éléments qui va permettre de construire cette confiance ».

Afin de faciliter la circulation des données de Threat Intelligence entre les équipes, les professionnels vont devoir encore travailler sur le volet taxonomie afin que tous ceux qui vont être amenés à consommer ces informations de sécurité parlent le même langage.

Autre évolution à venir dans la discipline, l’émergence d’une « Actionable Threat Intelligence », un concept défendu par Zeina Zakhour : « chaque élément du cycle Predict/Prevent/Detect/Response doit devenir actionnable. On doit aller vers une Threat Intelligence actionnable, car l’automatisation est essentielle pour nous en tant que MSSP. Et c’est un élément-clé dans nos opérations afin de les faciliter, de prioriser le travail, permettre aux Threat Hunter, aux Incident Responders et aux analystes des SOC d’agir vite. Car en définitive, la Threat Intelligence doit permettre d’améliorer les temps de réponse à incident », conclut la CTO Cybersécurité d’Atos.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close