Connaître les attaquants et leurs modes opératoires est indispensable si on veut accroître ses capacités de détection et surtout réagir avant que les attaquants n’aient commis des dégâts. La CTI apporte un élément de réponse. Par Alain Clapaud
Sun Tzu a consacré le dernier article de son célèbre ouvrage L’Art de la guerre au renseignement et conclut son ouvrage par la phrase « Une armée sans agents secrets est un homme sans yeux ni oreilles ». Le général chinois considérait le renseignement comme une condition indispensable à la victoire et il en est de même aujourd’hui en cybersécurité. Impossible de sécuriser efficacement un système d’information sans connaître précisément les menaces qui pèsent sur lui. Il faut connaître la nature des menaces auxquelles on fait face pour élaborer une solide analyse de risque, mais au niveau opérationnel il faut connaître les mécanismes d’attaque dans le détail pour espérer les contrer. C’est là qu’entre en jeu la Cyber Threat Intelligence (CTI).
Les cellules CTI ont pour rôle d’analyser des attaquants, leurs méthodes ouvertes afin de paramétrer les systèmes de sécurité en conséquence. Ce travail de détection et d’analyse s’appuie sur des sources ouvertes (OSINT), des données de télémétries issues des outils de sécurité, mais aussi et surtout sur la recherche d’informations dans le Dark Web. Les membres des équipes de CTI s’infiltrent dans l’écosystème cyber afin d’analyser le code des attaquants et les cibles privilégiées des groupes. En amassant des informations sur les groupes cybercriminels et leurs vecteurs d’attaque, on peut optimiser la configuration des moyens de défense, mais aussi mieux comprendre le modus operandi d’une attaque en phase Forensic. Les analyses vont alors définir l’IOC (Indicators of Compromise) de l’attaque, cette signature qui permettra de la détecter par la suite, et enfin attribuer l’attaque à un groupe lorsque celle-ci n’est pas revendiquée.
La Threat Intelligence n’est pas une pratique nouvelle. Elle est mise en œuvre par les services de renseignements étatiques et par les prestataires liés au secteur de la sécurité et de la défense et opérateurs de SOC depuis des années. Néanmoins, depuis quelques années la CTI connaît un vif intérêt et ce marché est en train d’exploser. Selon les chiffres glanés par Statista Research, le marché mondial de la Cyber Threat Intelligence représentera environ 11,6 milliards de dollars en 2023. En 2033, il sera de l’ordre de 44 milliards de dollars. Plusieurs raisons expliquent pourquoi le marché de l’information cyber est amené à être multiplié par 4 ces 10 prochaines années.
Des attaques de plus en plus complexes et des délais raccourcis
Dans un récent rapport[1] , les consultants de Frost & Sullivan pointent la complexité croissante des attaques et le besoin des entreprises d’aller vers une défense plus proactive. La CTI va donner les moyens aux défenseurs de réagir aux signaux faibles et contrer les attaques bien avant que celles-ci ne puissent se déclencher. En outre, les attaques sont plus ciblées. C’est la conséquence de la structuration de l’écosystème cybercriminel de ces dernières années. Certains groupes se sont spécialisés et leurs tactiques et techniques d’attaque sont plus évoluées. De même, le délai entre la découverte d’une vulnérabilité et les attaques effectives est plus court. La révélation de la faille Log4Shell a immédiatement vu les attaques se multiplier sur les logiciels embarquant Log4J dès les jours qui ont suivi. En outre, la géopolitique et l’actualité influent directement sur l’activité des groupes criminels. La guerre entre la Russie et l’Ukraine a déclenché des vagues d’attaques contre l’Ukraine, mais aussi contre ses alliés déclarés. De même, l’actualité est systématiquement mise à profit par les attaquants pour se concentrer sur certaines cibles. L’épidémie de Covid-19 a ainsi vu certains groupes focaliser leurs attaques sur les hôpitaux et le système de santé pour tirer profit de l’extrême tension que connaissait alors le système de santé. Les consultants de Frost & Sullivan concluent que toute stratégie de sécurité doit désormais s’appuyer sur la collecte d’informations sur les menaces afin d’avoir une vue de la situation. Un moyen d’aller vers une cybersécurité réellement proactive.
Les géants de la cybersécurité ne s’y sont pas trompés. Avec l’acquisition de Mandiant pour 5,4 milliards de dollars en mars 2022, Google s’est imposé comme le plus gros acteur du secteur, devant un pure player de la Cyber Threat Intelligence, Recorded Future, qui revendique 1 500 clients dans 66 pays. De nombreux éditeurs de logiciels de sécurité ont développé ce type d’activités. C’est le cas de CrowdStrike, Kaspersky, Trellix, Gatewatcher,
CybelAngel et de nombreux grands opérateurs de SOC dont les investigations peuvent mettre à profit l’ensemble des données glanées dans tous leurs centres.
On constate que de plus en plus de produits de sécurité sont désormais intimement couplés à la CTI afin de constituer un moyen de protection efficace. NDR, EDR, XDR, de plus en plus de ces solutions de sécurité s’adossent à une CTI. Une cellule de Threat Intelligence performante et intégrée est devenue un élément différenciant clé pour une solution XDR que les éditeurs mettent de plus en plus en avant en parallèle des qualités techniques de leur solution. De même, l’efficacité d’un SOC va être jugée sur sa réactivité et sur sa capacité à filtrer correctement les faux positifs, ce qui passe de plus en plus par une Threat Intelligence efficace.
Aller vers une Threat Intelligence « actionnable »
Disposer d’informations sur les attaquants, savoir quels groupes vont potentiellement essayer d’attaquer son entreprise et quelles méthodes ces derniers emploient généralement sont des données intéressantes. Pouvoir injecter rapidement ces données de menace dans les solutions de sécurité comme les XDR ou les SOAR permet d’évoluer vers l’approche proactive prônée par les experts. Certains flux de Threat Intelligence (Threat
Intelligence Feed) offrent des accès par API ou des données normalisées aux formats STIX (Structured Threat Information Expression) ou TAXII (Trusted Automated eXchange of
Indicator Information). Cela permet de récupérer automatiquement des adresses IP, des domaines suspicieux et les fameuses IOC, et de réduire le temps de réaction des équipes de sécurité face aux évolutions des menaces.
En parallèle, les solutions de DRP (Digital Risk Protection) viennent apporter un autre élément de réponse. Ces solutions assurent une veille sur le Web public, les médias sociaux et le Dark Web afin de repérer d’éventuelles fuites de données concernant l’entreprise ou même le nom des VIP de l’entreprise, signe d’un éventuel vol de credentials.
Il faut s’appuyer sur une Cyber Threat Intelligence performante, que ce soit en direct ou via des partenaires dont les solutions se basent aussi sur ce type d’informations.
[1] «Frost Radar : Global Cyber Threat Intelligence Market, 2022», Frost et Sullivan, novembre 2022