Sergey Nivens - Fotolia

Renseignement sur les menaces : les pièges à éviter

S’il n’est pas rendu exploitable, le renseignement sur les menaces n’est que données. Voici quelques conseils pour aider ses équipes à se concentrer leurs indicateurs de compromission les plus pertinents pour détecter et répondre aux menaces.

Larry Larsen a longtemps travaillé comme analyste de sécurité pour un fournisseur de l’administration américaine. Dans ses fonctions, il a été largement amené à mettre à profit le renseignement sur les menaces dans le cadre de stratégies de cyberdéfense. « Nous observions tant d’attaques provenant de tant de sources que savoir de qui venait quoi et pourquoi était un impératif opérationnel », se souvient-il.

Désormais, en tant que RSSI de l’Apple Federal Credit Union à Fairfax, il constate une grande valeur ajoutée à l’application de méthodes similaires dans le cadre d’un programme de renseignement sur les menaces conçu pour traiter les menaces visant son employeur : « la cybersécurité n’est pas un sujet technique. C’est un sujet comportemental dans un environnement technique. Et c’est là qu’intervient l’approche du contre-renseignement ».

De nombreuses entreprises ont des pare-feu, des anti-virus, et autres outils de sécurité qu’elles peuvent installer sur leur infrastructure réseau. Mais cela n’apporte souvent que bien peu aux analystes de sécurité sur la source des attaques ou sur qui s’immisce via la porte du jardin : « je veux savoir qui est derrière son clavier en train de lancer des attaques et ce qu’il cherche à obtenir. S’agit-il simplement de données financières ? Cela s’inscrit-il dans le cadre d’une campagne de collecte d’informations plus vaste ? Ou s’agit-il d’une reconnaissance en vue d’une attaque de grande ampleur ? »

Larsen compte parmi ces RSSI de plus en plus nombreux qui ont mis en œuvre des capacités de renseignement sur les menaces pour aider à piloter les aspects techniques de leur programme de sécurité. En 2015, le marché du renseignement sur les menaces n’était estimé qu’à 190 M$, selon IT-Harvest. Mais il devrait atteindre 640 M$ cette année, et dépasser 1,5 Md$ en 2018.

En fait, les entreprises cherchent surtout à aligner leurs efforts de sécurité sur leurs véritables besoins et à disposer d’une meilleure conscience de leur contexte en fonction des menaces qui les concernent spécifiquement. Pour Rick Holland, ancien analyste chez Forrester et désormais vice-président stratégie de Digital Shadows, il s’agit de « savoir ce qui se passe autour de vous afin de pouvoir savoir quoi faire. La connaissance de la situation nécessite des outils fournissant visibilité à la fois au sein et au-delà du périmètre de l’organisation ».

Commencer par son infrastructure interne

Une importante quantité de données nécessaires à la construction d’une connaissance robuste de sa situation se trouve au sein même de l’organisation. Les données des journaux applicatifs, des systèmes de détection et de prévention d’intrusion (IDS/IPS), des pare-feu, ou encore des systèmes de protection des terminaux peuvent dire beaucoup sur ce qui se passe au sein du réseau et sur les vulnérabilités, relève Bill Podborny, RSSI de l’Alliant Credit Union, à Chicago.

Ces données peuvent déjà renseigner sur qui essaie d’entrer sur le réseau, qui s’y trouve déjà, et ce à quoi ressemble le comportement normal d’un utilisateur. Pour lui, les données collectées à partir de ses systèmes internes – via un système de gestion des informations et des événements de sécurité (SIEM) – peuvent aider à identifier les manques et les vulnérabilités exploitable au sein de son infrastructure de sécurité, afin de hiérarchiser ses réponses.

Trop souvent, les organisations se concentrent sur les flux et données de renseignement sur les menaces externes. Et elles échouent à relier ces informations avec ce qui se passe au sein de leur infrastructure, par manque de visibilité. Dès lors, pour James Carder, RSSI de LogRythm, « la meilleure source de renseignement sur les menaces, ce sont vos propres données ». Surtout, en l’absence de l’infrastructure de surveillance appropriée en place, « vous ne pouvez pas vous approprier les données de renseignement sur les menaces. Et vous ne pouvez pas les rendre opérationnelles si vous ne regardez pas vos propres données ».

Utiliser les données sur les intrusions

Toute approche de construction d’un programme de renseignement sur les menaces devrait inclure des processus de collecte et d’analyse de comportements malicieux au sein du réseau, des données de renseignement spécifiques à son secteur d’activité, et enfin seulement des données sur les menaces allant au-delà de l’entreprise et de son environnement immédiat. Pour Holland, « les organisations doivent collecter du renseignement à partir des intrusions survenant au sein de leur environnement ». Par exemple, une organisation devrait surveiller et collecter des données sur les exploitations de vulnérabilités, les activités de type botnet, le trafic de commande et de contrôle, les mécanismes de délivrance de logiciels malveillants et encore ceux d’exfiltration de fichiers.

Cela implique d’être capable de collecter des adresses IP, des noms de domaines malicieux, des empreintes de fichiers et autres indicateurs de compromission liés aux attaques au sein de son organisation. Et d’utiliser ces informations pour rapidement identifier des attaques comparables par la suite. L’objectif est là d’avoir les contrôles nécessaires pour identifier menaces attendues et inattendues et corréler ces comportements avec les menaces déjà connues.

Bref, pour Holland, « il n’y a pas de renseignement sur les menaces plus pertinent que celui qui est produit en interne ».

Une question de qualité, pas de quantité

Une idée répandue veut qu’il faut disposer de beaucoup de données sur les menaces pour être efficace. Mais la réalité est que, à moins de disposer d’effectifs suffisants pour fouiller au sein de vastes volumes de données, il faut se concentrer sur la qualité des données : « ça ne m’intéresse pas de recevoir 500 To de données chaque jour », explique Larsen. « Je préfère avoir 1024 Ko d’informations que je peux effectivement utiliser ». Pour lui, la clé en souscrivant à des flux de renseignement sur les menaces est de sélectionner ceux qui vous aident à répondre des questions comme « et donc ? » face aux événements que l’on observe.

De nombreux flux et services proposent des informations sur les menaces émergentes et sur les acteurs malveillants, mais échouent à préciser en quoi cela concerne spécifiquement son organisation. Et c’est sans compter avec les redondances potentielles.

Au final, pour Holland, « les organisations doivent éviter de souscrire à tous les flux. Les renseignements qui ne concernent pas votre entreprise, votre modèle de menace, vont noyer vos équipes et vos contrôles de sécurité ». A l’inverse, des renseignements bien ciblés aident à réduire le niveau de bruit avec lequel les équipes doivent composer.

Penser comme l’ennemi

Adopter une approche centrée sur le risque. Cela veut dire comprendre les cibles potentielles – là où se trouvent les ressources les plus précieuses – et comment elles sont protégées. Et parfois, la meilleure approche pour cela est d’adopter la perspective de l’attaquant : « si je suis un méchant, qu’est-ce que je cherche à voler, et comment ? », illustre Larsen.

Il est donc important de connaître les principaux acteurs malveillants ainsi que les différents processus, technologies et techniques qu’ils utilisent pour cibler des organisations similaires. Quels vecteurs d’attaque exploitent-ils généralement ? Quelles données cherchent-ils et pourquoi ? Et la menace vient-elle principalement de l’intérieur ou de l’extérieur ? D’entités soutenues par des états, ou de gangs de criminels ?

Larsen explique indiquer à ses équipes « de maintenir un sens sain de paranoïa. Il est vraiment nécessaire de bombarder les collaborateurs d’un entraînement régulier aux menaces ».

Une approche centrée sur les risques

Pour que le renseignement sur les menaces porte véritablement ses fruits, il est nécessaire d’avoir une fine compréhension des risques qui concernent l’entreprise, souligne Ryan Stolte, co-fondateur et directeur technique de Bay Dynamics, un éditeur qui propose une plateforme de sécurité automatisée intégrant analyse comportementale des utilisateurs et des hôtes du réseau : « certaines menaces sont sans intérêt parce que ni vos données, ni d’autres actifs ne sont concernés ».

Pour lui, un programme de renseignement sur les menaces doit aider à protéger la confidentialité, l’intégrité et la disponibilité de ses actifs critiques, qu’il s’agisse d’un site Web, d’un système de paiement, d’une base de données, ou de propriété intellectuelle. Dès lors, il est nécessaire de comprendre où se trouvent les actifs critiques et ce qui se passerait s’ils devenaient indisponibles : « en fait, ce que j’essaie de comprendre, c’est si je peux corriger une chose aujourd’hui, qu’est-ce que je choisis pour réduire le plus le risque ? Et je peux en corriger cent, lesquelles seront-elles et pourquoi ? »

Démarrer modestement

Podborny souligne qu’il est facile de se laisser déborder lorsque l’on démarre un programme de renseignement sur les menaces. Et de recommander d’essayer d’abord « de retirer quelques succès. Cela peut être en mesurer d’anticiper un événement qui aurait pu survenir. Ou de prouver que cela aurait pu survenir ».

Et la clé, pour Stolte, est de ne pas laisser le mieux empêcher d’obtenir le bien : « n’allez pas trop vite. Planifiez ce que vous allez faire. Commencez avec quelques bribes de données. Assurez-vous que vous obtenez des résultats et que vous êtes capable de déclencher des actions à partir de ces résultats ». Et cela, avant d’étendre le programme.

Soyez prudent vis-à-vis des technologies et standards émergents. Le succès de votre programme de renseignement sur les menaces dépend de votre capacité à ingérer les données et à agir grâce à elles, de manière automatisée comme manuelle.

Les flux et services qui supportent des spécifications standard de partage d’information, comme Stix et Taxii, permettent une intégration plus facile qu’avec des données non standardisées. L’automatisation en est également simplifiée.

Adapté de l’anglais.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close