Au cœur du SOC : valoriser le renseignement sur les cybermenaces

Comment le SOC permet de valoriser le renseignement sur les Cybermenaces ?

Les pirates informatiques étaient déjà présents au début du siècle, mais ont évolué pour devenir ce que nous appelons aujourd’hui des « cybercriminels ». Les activités des groupes organisés qui opéraient à cette époque étaient très peu connues, si ce n’est des agences gouvernementales de renseignement. Certains groupes néanmoins, tels que le Honeynet Project, rendaient publiques leurs actions, préfigurant ainsi le renseignement moderne sur les cybermenaces. L’attention croissante portée aux indicateurs de menaces et aux activités des hackers a contribué à ouvrir une fenêtre sur les motivations, les tactiques et les outils des cybercriminels.

Depuis ses modestes débuts, le renseignement sur les Cybermenaces s’est perfectionné.

Il existe aujourd’hui des normes, de nombreuses entreprises fournissant des flux d’informations, ainsi que des plates-formes de renseignement sur les menaces pour gérer toutes ces sources de données.  Malgré une maturité grandissante, le renseignement sur les cybermenaces n’est pas toujours très bien défini ni compris dans la mesure où il recouvre de nombreuses disciplines de la sécurité. La question qui retient le plus l’attention est l’identification de l’auteur, c’est-à-dire mettre un nom sur la personne ou l’entité à l’origine de l’attaque.

Or, l’identification représente la cerise sur le gâteau, pas le facteur le plus important. L’intérêt du renseignement sur les menaces est qu’il permet de savoir qui vous cible, mais aussi comment le pirate s’y prendra avant même que l’attaque n’ait lieu.  Une fois l’attaque perpétrée, mettre un nom sur le hacker sera une bien maigre consolation, sauf si vous avez l’intention de lui intenter un procès, ce qui est extrêmement rare.  La prévention des attaques à l’encontre des entreprises a toujours été, le premier objectif du renseignement sur les cybermenaces.

Il est bien évidemment impossible de contrecarrer toutes les attaques. En revanche, il est tout à fait possible d’étudier les infections déjouées afin de mieux se prémunir contre les attaques futures.

L’intérêt du renseignement sur les menaces est qu’il permet de savoir qui vous cible, mais aussi comment le pirate s’y prendra avant même que l’attaque n’ait lieu.

Il existe différentes façons d’y parvenir, mais la plus traditionnelle repose sur l’utilisation d’indicateurs de compromission. Pourquoi des indicateurs ? Parce qu’il s’agit d’une méthode simple, très peu exigeante en personnel et en outils.  Si les outils de sécurité détectent des événements connus, ils peuvent les éviter. Le problème, pour les acteurs de la protection, est que ces indicateurs sont très facilement modifiables. Créer un nouveau compte e-mail pour la toute dernière campagne d’hameçonnage ciblé (spear phishing) ou modifier le hachage MD5 d’un programme malveillant en changeant un simple octet permet de tenir en échec les signatures de détection. Même s’il continue à s’apparenter à un jeu du chat et de la souris, le recours aux indicateurs est et restera un combat nécessaire.

La plupart des cybercriminels étant spécialisés dans des types d’attaques spécifiques, l’ambition ultime des acteurs de la protection est d’identifier leurs tactiques, leurs techniques et procédures (TTP).

Même si les indicateurs de menaces d’un adversaire donné varient énormément, les TTP des hackers restent en général constantes. Elles offrent en outre une plus grande visibilité sur les caractéristiques d’une attaque. Par exemple, un pirate peut cibler un secteur d’activité en lançant une campagne de spear phishing à l’aide de documents Word qui téléchargent une famille spécifique de programmes malveillants. Il suffit alors d’exploiter ces informations pour préparer la défense de son entreprise. Combinées aux indicateurs, les TTP commencent à témoigner de la réelle capacité du renseignement sur les cybermenaces à renforcer son infrastructure de sécurité.

Trouver un juste équilibre

Les techniques traditionnelles de collecte de renseignements jouent également un rôle dans le cadre des cybermenaces.  Au lieu d’adopter une approche de réponse aux incidents, les agents de la sécurité infiltrent les groupes de cybercriminels et leurs canaux de communication à la source. Ces opérations fournissent une véritable mine d’informations, notamment sur les prochaines cibles visées, les nouveaux outils utilisés et les intrusions existantes. Le problème est qu’elles ne sont, le plus souvent, ni structurées ni lisibles par une machine. Le but du renseignement sur les cybermenaces est de recueillir des informations non structurées et de les rendre exploitables dans un délai acceptable. Le bruit généré par les différents canaux rend l’exercice difficile et contraint les analystes à filtrer les données non pertinentes pour l’entreprise. À cet égard, une plate-forme de renseignement sur les menaces se révèle d’une grande aide : elle permet de s’assurer que les informations sont collectées, agrégées, structurées, exploitées et converties en plan d’action. En cas de réussite, une stratégie de sécurité basée sur le renseignement peut fournir des informations proactives inestimables pour prévenir les risques d’intrusions. C’est l’objectif premier de tout professionnel de la cybersécurité.