Cisco Talos : « le renseignement sur les menaces facilite la défense »

Prôné avec plus ou moins de succès depuis plusieurs années, le renseignement sur les menaces semble gagner en maturité. Et l’on en veut notamment pour preuve le lancement de la plateforme d’échange de renseignements sur les menaces d’IBM, il y a un an.

A l’époque, Agnieska Bruyere, directrice de la division sécurité de Big Blue en France, soulignait que ce lancement s’inscrivait dans le cadre d’une tendance à la coopération qui se généralise dans l’industrie. De fait, Facebook a présenté une plateforme d’échange comparable un peu plus tôt. Au mois de septembre précédent, McAfee et Symantec avaient rejoint Fortinet et Palo Alto Networks au de la Cyber Threat Alliance, lancée en mai 2014, pour « coordonner les informations et les effort des acteurs du secteur pour lutter plus efficacement contre les menaces informatiques ». Et puis il y a eu Microsoft, avec sa plateforme Interflow qui soulignait, lors de son lancement, l’importance de l’approche collective de la sécurité. L’éditeur semblait alors répondre à Check Point et à son ThreatCloud IntelliStore, lancé fin mai 2014. Et que dire d’un McAfee qui présentait son Threat Intelligence Exchange à l’automne dernier, en s’associant à CyberArk, Titus et ForeScout.

Tout récemment, ThreatQuotient s’est installé en France, proposant une plateforme de gestion et de corrélation de sources externes de renseignements sur les menaces, en lien avec les sources internes de l’entreprise. La plateforme a bientôt trois ans et, pour son arrivée en France, est allé chasser dans les rangs d’anciens de Sourcefire passés chez Cisco à l’occasion du rachat du premier par le second.

Pour Craig Williams, responsable de l’équipe Talos Outreach de Cisco, cela ne fait de doute, une étape a été franchie : « on en parle depuis plusieurs années, mais cela n’avait rien à voir avec ce que l’on observe aujourd’hui », relève-t-il lors d’un entretien avec la rédaction. « Aujourd’hui, lorsque l’on parle renseignement sur les menaces, on parle de quelque chose qui permet de faire le lien entre menaces et acteurs malveillants. Et lorsque l’on sait qui est susceptible d’être à l’origine d’une menace, on est plus à même de savoir ce qu’il cherche et il devient plus facile de bloquer la menace ».

C’est donc la défense contre les attaques qui progresse au passage. Mais pour en tirer pleinement profit, Craig Williams recommande une approche « orientée sur la menace, en étant capable de faire passer les informations techniques sur la menace d’un équipement à l’autre en quasi-temps réel ». Et là, selon lui, Cisco bénéficie avant tout d’une base installée « qui n’a tout simplement pas d’équivalent dans l’industrie. Chaque jour, nous bloquons 19,7 milliards de menaces – sur les appliances de sécurité réseau ou encore de protection de la messagerie, notamment ».

L’équipementier mise alors sur un partage ciblé de ses renseignements, « avec tous ceux qui peuvent nous aider à faire la différence », qu’il s’agisse d’éditeurs, d’opérateurs ou des autorités locales, jusqu’à des concurrents : « n’importe qui pouvant nous aider à stopper les attaquants ». Et de prendre l’exemple d’une récente coopération avec l’opérateur Level3 Communications pour mettre un terme à des attaques en force brute visant les serveurs SSH publiquement accessibles en ligne : « ils étaient responsables d’un tiers du trafic SSH sur Internet ».

Et là, Craig Williams souligne une évolution de la politique de l’équipementier : « historiquement, ce n’est pas forcément une chose qu’aurait fait Cisco. Mais nous avons adopté une approche beaucoup plus agressive de la recherche sur les menaces. Et aussi de travail avec d’autres entreprises, concurrentes ou non. Nous sommes là pour retirer d’Internet les attaquants et protéger les utilisateurs ».

Et cela passe parfois par le partage public de renseignements sur certaines attaques ou sur des groupes d’attaquants, via des livres blancs ou des billets de blog : « nous y précisons tout ce qui est nécessaire pour bloquer les menaces ». Avec le risque de laisser les attaquants passer à d’autres méthodes, au point de faire perdre toute valeur à ces renseignements ? « Non. Lorsque nous rendons publics des renseignements, c’est que nous avons trouvé d’autres moyens de suivre les acteurs concernés, pour protéger nos clients ». Et cela peut passer par des choses en apparence anodines, comme des erreurs dans les adresses postales utilisées pour déposer des noms de domaines : cela aussi peut constituer une signature.