Samuel Hassine, Tanium : « le renseignement sur les menaces a beaucoup à apporter à l’EDR »

EclecticIQ a récemment absorbé PolyLogyx. Mais les intégrations entre plateformes de gestion du renseignement sur les menaces et systèmes de détection et remédiation sur les hôtes du système d’information (EDR) ne sont pas nouvelles. Et qui de mieux pour analyser ce mouvement que le nouveau directeur sécurité et EDR de Tanium, Samuel Hassine ? Jusqu’à la fin mai, il dirigeait l’activité de renseignement sur les menaces de l’Agence nationale pour la sécurité des systèmes d’information (Anssi). Ce n’est dès lors pas un hasard s’il est particulièrement impliqué dans le devéloppement de la plateforme de gestion du renseignement sur les menaces (TIP, Threat Intelligence Platform) de l’association Luatix, portée par l’Anssi et le Cert-EU, OpenCTI dévoilée il y a un an maintenant, et disponible en version 3.3.1 depuis début juin. Et il profite également d’une expérience terrain, pour avoir piloté les activités du centre opérationnel de sécurité de l’Anssi pendant près de 3 ans.

LeMagIT : Le framework Mitre Att&ck est désormais omniprésent. Contribue-t-il déjà à une certaine utilisation opérationnelle du renseignement sur les menaces ?

Samuel Hassine : De manière générale, ce framework a permis de structurer des informations de CTI [Cyber Threat Intelligence ou renseignement sur les menaces, NDLR]. Mais il a besoin d’être opérationnalisé de manière assez forte pour être efficace. Bien souvent, il n’est utilisé par exemple que pour labéliser des comportements observés.

L’outil Caldera développé par le Mitre pour conduire des exercices de simulation de brèches permet de bien réaliser que pour une technique donnée d’Att&ck, il peut y avoir beaucoup d’implémentations différentes, qui vont produire des alertes différentes, et devront être détectées de manière différente.

En lui-même, ce framework reste donc relativement de haut niveau. Et d’un point de vue purement CTI, l’utilisation des techniques, tactiques ou procédures (TTP) dans les sources de renseignement relève principalement du contexte en fonction de l’indicateur : on ne parle pas de la manière dont un TTP a effectivement été implémenté par les attaquants. Il serait d’ailleurs bon de disposer de paramètres permettant de préciser l’implémentation des TTP, afin de mieux cerner ce qui s’est passé.

Mais ce framework a clairement apporté beaucoup de choses. J’aime l’idée que l’on puisse estimer dans quelle mesure on couvre la matrice Att&ck en fonction des contrôles de sécurité mis en place dans son environnement. Et cela permet d’ailleurs de cibler ses défenses en fonction des attaquants les plus actifs sur son secteur d’activité.

LeMagIT : Ce genre d’approche relève tout de même d’un niveau de maturité particulièrement élevé, n’est-ce pas ?

Samuel Hassine : Oui, cela reste limité à des entreprises présentant un niveau de maturité très élevé. Certains, très avancés, ont commencé il y a quelques années, à la main, avec un tableau Excel pour déterminer leur taux de couverture de la matrice au niveau de leurs hôtes, à partir de la remonté d’événements Windows. C’était balbutiant. Ils obtenaient peut-être quelques pourcents de couverture effective.

Aujourd’hui, globalement avec les EDR proposés sur le marché, et avec de bonnes détections comportementales – sans apprentissage automatique, avec des expressions régulières, un suivi de processus spécifiques, etc. –on arrive à aboutir à bonne couverture de la matrice. Il y a toujours des possibilités d’évasion, bien sûr. Mais de base, la couverture ne cesse de s’améliorer.

LeMagIT : Mais qu’y a-t-il à gagner à jouer l’intégration entre CTI et EDR ?

Samuel Hassine : Les plateformes qui embarquent ou viennent du monde de la protection du poste de travail et des serveurs (EPP) ont déjà une approche intégrée. Pour les autres EDR, qui ne sont pas forcément là pour faire de la détection sur signatures, il y a de quoi renforcer les capacités de pure détection.

Par exemple, avec les méthodes de persistance des malwares, on peut avoir l’impression d’avoir tout vu, que l’horizon est atteint. Mais c’est faux : il y a des choses à découvrir. Ainsi, récemment Tanium a ajouté un signal sur la fonction de vérification du disque de Windows, car il est possible de faire exécuter une commande avant son exécution, ou après. C’est un moyen de persistance.

Et puis il faut compter avec les capacités d’investigation. Là, il est nécessaire de cibler, sinon, on pourrait remonter d’énormes volumes de données. Chez Tanium, le Recorder, qui s’en charge, peut être finement personnalisé. Il est intéressant de mettre en perspective ce que l’on veut remonter en fonction de la menace considérée. Parce que dans tous les cas, il n’est pas possible de tout remonter. Mais de base, sans accompagnement et sans connaissance de la menace, il est difficile de configurer correctement pour bien couvrir la menace.

LeMagIT : Tanium compte parmi les premiers soutiens du standard OpenC2. Dans quelle mesure peut-il aider à automatiser, notamment pour cette personnalisation ?

Samuel Hassine : Pour profiter pleinement d’une intégration et du travail des analystes, il faut considérer trois niveaux. Tout d’abord, il est impératif que les workflows d’investigation puissent être automatisés. Mais dès que l’on multiplie les workflows automatisés, il est nécessaire de pouvoir voir très vite les informations susceptibles de les bloquer afin de pouvoir reconfigurer les outils à la demande.

Ensuite, en termes de remédiation, il y a beaucoup de capacités disponibles par défaut, mais également des possibilités de personnalisation. A chaque que l’on construit une capacité de remédiation sur mesure, il faut pouvoir capitaliser dessus correctement – et ainsi l’intégrer dans les workflows, avec une plateforme de SOAR notamment. La remédiation doit pouvoir se faire automatiquement en cas de détection. Le Mitre propose des modèles, sous la forme de course of action, mais il est nécessaire de les opérationnaliser.

Historiquement, en France, le manque a toujours été très fort en matière de compétences et d’outillage, notamment afin de pouvoir faire passer à l’échelle des capacités de remédiation.

Et puis se pose la question de l’écosystème. Beaucoup d’outils sont uniquement en mode Cloud. Et cela peut limiter les possibilités et enfermer sur un éditeur en rendant plus difficile l’intégration avec les systèmes de sécurité existants. Dans l’absolu, placer l’EDR au centrer aide, mais pas s’il est limité au Cloud.

Au final, il y a beaucoup à faire dans ce domaine. Et le rapprochement entre EDR et CTI est une bonne chose. Je ne suis toutefois pas certain que le faire au sein d’une même entreprise soit une bonne idée. L’aventure de ceux qui s’y lancent le dira. Après, intégrer OpenCTI avec Tanium est clairement l’un de mes objectifs, de même que la création de scénarios basés sur des secteurs d’activité.