stock.adobe.com

Le renseignement sur les menaces promet beaucoup, mais des limitations demeurent

Savez-vous comment utiliser au mieux des flux de renseignement sur les menaces dans votre entreprise ? Découvrez ce que cette ressource précieuse, mais parfois déroutante peut apporter, mais aussi quelles en sont les limites.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : Information Sécurité: Information sécurité 15 : Comment le renseignement sur les menaces profite à la cybersécurité

En août 2019, des attaques de ransomware coordonnées ont frappé durement des municipalités et administrations locales au Texas. Par exemple, la ville de Borger a perdu l’accès à des systèmes vitaux de paiement des services publics et statistique. Une autre ville, Kaufman, ne pouvait plus utiliser de téléphone, accéder à ses systèmes ou accepter les paiements de ses habitants.

Une meilleure sécurité aurait pu aider chaque ville à détecter une attaque et, peut-être, à éviter une infection. Mais la protection des plus de 1 200 villes du Texas, nécessite la capacité de transformer les attaques vues par une municipalité, en renseignement sur la menace susceptible de protéger également les autres villes.

Daniel Basile, executive director, security operations center, Texas A&M Daniel Basile, Texas A&M
University System

L’infiltration des systèmes par les assaillants dans administrations des villes, les services de police et d’autres organisations, aurait pu être détectée estime ainsi Daniel Basile, RSSI du campus Rellis du Texas A&M University System, si des informations sur les techniques d’intrusion et des indicateurs de compromission (IOC) avaient été recueillies auprès des premières victimes et partagées.

Et justement, selon lui, « le grand avantage est ici que les organisations sont prêtes à partager les informations ». Et ce type de partage « permet de se concentrer sur les menaces réelles. Plutôt que d’avoir 10 à 20 sources d’information différentes, vous avez une source d’information très ciblée ».

Pour se prémunir contre de futures attaques, Daniel Basile et le Texas A&M University System (TAMUS) travaillent avec d’autres agences et organisations de l’État comme fédérales, pour mettre en place, puis gérer, une organisation de partage et d’analyse des informations (ISAO) pour l’État du Texas. Celle-ci aura notamment pour rôle de fournir une ressource permettant de partager des indicateurs de compromission, des informations qui auraient pu aider à détecter les assaillants du mois d’août 2019 alors qu’ils établissaient des têtes de pont dans tout l’État.

Pour autant, la transformation des innombrables données sur les menaces disponibles en renseignements exploitables est un problème important : « plus vous suivez de flux, plus le bruit est important », relève Daniel Basile.

Les données sur les menaces : trop, c’est trop ?

Cette situation souligne pourquoi le renseignement sur les menaces n’a pas réussi à tenir toutes ses promesses. Des dizaines d’entreprises proposent des services de renseignement sur les menaces, selon le cabinet d’analystes Forrester Research. La variété des informations produites par ces entreprises ainsi que la qualité variable des informations font de l’utilisation du renseignement sur les menaces un défi pour la plupart des entreprises, estime Andrew Morrison, responsable de la cyberstratégie, de la défense et de la réponse aux incidents au sein du cabinet de conseil Deloitte.

« Il y a quelques années, nous ne disposions pas d’autant de données, nous avons donc exhorté les entreprises à tout collecter », rappelle-t-il. Las, selon Andrew Morrison, « maintenant, il y a trop de données disponibles, et le volume a des effets négatifs, car les entreprises ont du mal à tout traiter ».

La diversité du renseignement sur les menaces est à la fois une bénédiction et un problème. Les entreprises peuvent s’abonner à presque n’importe quel type de flux, et elles s’abonnent en moyenne à cinq flux différents, selon Forrester Research. Le choix est large : listes noires de domaines et d’adresses IP qui ont attaqué des entreprises, informations glanées sur les forums du darknet, associations entre les techniques d’attaque courantes et les groupes d’adversaires, listes d’indicateurs de compromission liés à des attaques spécifiques, etc.

Pourtant, les flux de renseignements sur les menaces, et les entreprises qui les fournissent se contentent souvent de publier tout ce qu’elles peuvent, souvent sans vérification rigoureuse.

 directeur de la stratégie de renseignement sur les risques, FlashpointMike Smola, Flashpoint

Il en résulte une qualité très inégale des informations diffusées, estime Mike Smola, directeur de la stratégie de renseignement sur les risques chez Flashpoint et ancien analyste principal pour un grand distributeur qu’il a refusé de nommer. « Plus n’est pas toujours mieux », résume-t-il. « Tout tient à la qualité du flux et à la fidélité de l’information. Celle-ci permet-elle de prendre des décisions ? Moins il y a de bruit, mieux c’est. Mais il faut pouvoir faire confiance à l’information ».

Qui plus est, les entreprises perçoivent souvent le renseignement sur les menaces comme une distraction plutôt qu’une source d’information qui les aide à réduire leur risque. En 2018, selon l’institut Ponemon, 85 % des entreprises voyaient le renseignement sur les menaces comme une part importante de leur effort en faveur de la sécurité. Mais seulement 41 % indiquaient l’utiliser effectivement pour réduire le risque. Un décalage considérable.

Enfin, les entreprises ont du mal à tirer parti du renseignement sur les menaces. Le résultat est que l’utilisation de l’information se divise en trois catégories : la prévention, la réponse et la détection.

Deux domaines éprouvés : prévention et réponse

Au niveau le plus stratégique, les profils de menace des acteurs communs, visant un secteur d’activité précis, peuvent informer les entreprises qui y évoluent sur leurs priorités. Si les criminels utilisent des attaques de phishing pour voler des identifiants, l’entreprise doit mettre l’accent sur la formation et des défenses telles que le filtrage du courriel entrant ou l’authentification à facteurs multiples (MFA). Si les acteurs des États-nations exploitent la vulnérabilité EternalBlue contre des systèmes Windows mal entretenus, vérifier qu’aucun système vulnérable ne se trouve dans le SI devrait être une priorité, illustre Josh Zelonis, analyste principal au service des professionnels de la sécurité et des risques chez Forrester Research. « En déterminant quels sont les vulnérabilités et les vecteurs couramment attaqués, vous pouvez hiérarchiser le travail que vous faites afin de réduire les risques », explique l’analyste.

Outre-Atlantique, deux tiers des organisations sont membres d’un ISAO, selon l’étude Ponemon. La majorité des entreprises considèrent que le partage de renseignements sur les menaces relatifs à des groupes affectant leurs pairs, est le principal avantage de l’appartenance à un ISAO.

« Les renseignements les plus précieux que l’on puisse obtenir sont les informations sur les menaces internes, parce que c’est ce qui vous concerne le plus », explique ainsi Josh Zelonis.
Et « les renseignements les plus importants proviennent ensuite de l’ISAC ou de l’ISAO de votre secteur, car ils vous indiquent qui cible des entreprises comme la vôtre ».

Un graphique présente les bases des outils de renseignement sur les menaces
Les bases des outils de renseignement sur les menaces

Une deuxième façon d’utiliser le renseignement sur les menaces consiste à orienter les enquêtes et la réponse aux attaques. Si l’équipe de sécurité trouve une machine compromise, et parvient à identifier l’adversaire, elle peut alors avancer plus vite en recherchant des signes d’autres tactiques que l’adversaire est connu pour utiliser. Si l’assaillant, par exemple, est supposé être Gothic Panda, aussi connu sous le nom d’APT3, l’équipe de sécurité doit chercher les machines sur lesquelles est activé RDP, car c’est une tactique de persistance de ce groupe.

« Ce sont des indicateurs de compromission spécifiques qui sont liés à ces acteurs précis qui attaquent votre industrie », résume Josh Zelonis. « Vous pouvez donc utiliser les informations qui arrivent sur ce flux et faire une chasse aux menaces dans votre infrastructure pour chercher s’il y a une compromission qui serait passée inaperçue ».

Là où le renseignement sur les menaces montre ses limites : la détection

Enfin, les renseignements sur les menaces peuvent être utilisés au niveau le plus tactique pour décider si une partie du trafic réseau est le signe d’une attaque. Comme le secteur tend à être noyé sous les alertes et à souffrir d’une pénurie de personnes bien informées, il est naturel d’essayer d’intégrer le renseignement sur les menaces dans le processus de détection des menaces.

C’est pourtant là que le renseignement sur les menaces se révèle le plus souvent insuffisant. Avec la prolifération des données, la seule façon de distiller ces informations en renseignements exploitables est l’automatisation et les techniques d’apprentissage automatique, mais ces approches n’ont pas réussi à réduire le nombre de faux positifs dans un scénario de détection, estime Andrew Morrison : « comme vous pouvez l’imaginer, en fonction de la qualité de l’alimentation, vous allez voir plus ou moins de faux positifs. L’utilisation des flux de renseignements de cette manière fait plus de mal que de bien, parce que vous obtenez plus d’alertes, et cela vous empêche de faire quoi que ce soit d’autre ».

La plupart des services de renseignements sur les menaces se concentrent sur des indicateurs techniques. Les logiciels et les services surveillent les condensats de charges utiles spécifiques, les adresses IP sur liste noire et les changements de clés de registre non autorisés. Ces éléments de renseignement sur les menaces sont intégrés dans les produits et communiqués aux machines.

Pour autant, l’intelligence la plus efficace est l’intelligence douce, estime Richard Rushing, RSSI chez Motorola Mobility. Savoir qu’une activité provenant d’une bonne adresse IP peut être liée à une activité malveillante provenant d’une autre adresse IP en est un exemple. Ou bien, alors qu’un exécutable n’a pas été classé comme malveillant et que son comportement a été lié à un acteur malveillant.

Pour Richard Rushing, la question consiste à savoir comment les entreprises peuvent extraire ces indicateurs doux de leurs flux et les intégrer dans leurs produits, là où ils peuvent être utiles. La plupart des renseignements sur les menaces ne sont pas fournis dans un format lisible par les machines. La plupart des entreprises – 62 % – traitent les renseignements sur les menaces dans des documents non structurés, sous forme de fichier PDF ou CSV. Une minorité d’entre elles ont adopté des formats plus faciles à lire par les machines, notamment Structured Threat Information Expression (STIX) et Trusted Automated Exchange of Indicator Information (TAXII), pour automatiser leur utilisation des renseignements sur les menaces.

« La force du renseignement sur les menaces réside dans les questions suivantes : “Comment puis-je exploiter mes indicateurs logiciels ?” et “Est-il facile de prendre ces indicateurs logiciels et d’enrichir mes autres outils ?” », explique Richard Rushing. « Le problème actuel est que vous avez peut-être d’excellents indicateurs, mais vous ne pouvez pas intégrer ces informations dans vos autres outils ».

Toujours une forte composante humaine

Parce que le côté le plus subtil du renseignement sur les menaces, les indicateurs doux, ne sont pas facilement intégrés dans d’autres produits de sécurité, la capacité à utiliser de nombreux renseignements sur les menaces se résume à savoir si une entreprise dispose de solides compétences, estime Richard Rushing : « sans un professionnel expérimenté et concentré sur l’information sur les menaces, il est difficile de déterminer quels indicateurs doivent être suivis, pour trouver ce qui est malicieux ».

Certaines entreprises ou organisations ont les ressources nécessaires pour résoudre le problème. Le Texas A&M University System, par exemple, a doté son centre opérationnel sécurité (SOC) de quelques employés à plein temps et d’une vingtaine d’étudiants. Il en résulte une grande capacité de recherche, assure Daniel Basile.

« Je n’aurai jamais trop de sources d’information pour valider tout ce qui arrive. Mais j’ai 20 étudiants en ce moment qui peuvent faire ce travail. J’ai un analyste du renseignement sur les menaces à plein temps. Est-ce que je recommanderais cela pour un commerçant qui n’a qu’une poignée de magasins ? Probablement pas ».

Pourtant, la plupart des entreprises n’ont pas le luxe d’avoir des étudiants stagiaires à lancer sur un problème. Ce qui signifie que de nombreux responsables de la sécurité sont coincés entre échouer à stopper une attaque et l’automatisation d’un processus qui pourrait bloquer par erreur un trafic important pour le métier.

« L’idée que vous allez bloquer n’importe quel site web malveillant est effrayante d’un point de vue opérationnel », relève Mike Smola. « Il y a beaucoup d’appréhension à faire confiance à l’apprentissage automatique et à l’intelligence artificielle lorsque la vie de l’entreprise dépend de la livraison de biens et de services ».

En fin de compte, les entreprises qui veulent utiliser le renseignement sur les menaces pour la détection feraient bien de laisser le fournisseur intégrer des éléments spécifiques dans leur propre produit. Plutôt que de tenter d’utiliser des renseignements sur les menaces provenant de tiers pour la détection, les entreprises devraient concentrer la plupart de leurs efforts sur l’utilisation de renseignements sur les menaces pour la sécurité stratégique et pour enrichir les enquêtes.

Même les fournisseurs de renseignements sur les menaces affirment que les entreprises devraient trouver la solution la mieux adaptée à leurs besoins.

« Trouvez un fournisseur pour votre surface d’attaque ; il se sera spécialisé dans cet aspect et disposera de données de haute qualité pour vous défendre », conseille ainsi Yonathan Klijnsma, chercheur chez RiskIQ, un fournisseur de renseignements sur les menaces. « Vous ne pouvez pas vous attendre à la même qualité sur tous les aspects d’un flux de renseignements si un fournisseur collecte et indexe très largement. Vous ne pouvez pas être bon dans tous les domaines ».

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close