Qu’est-ce que la CTI ?
La CTI, pour Cyber-Threat-Intelligence ou renseignement sur les menaces numériques, est une discipline consistant à améliorer l’anticipation des menaces. En ce sens, la CTI permet de:
- Hiérarchiser les plans de sécurisation d’une infrastructure
- Enquêter sur des événements (internes ou externes)
- Maintenir une surveillance des tendances des attaques, des campagnes de désinformation et de groupes d’opposition
Une équipe de CTI devra produire des rapports de renseignement actionnables. Ces rapports proposeront des solutions pour contrer des menaces plus ou moins imminentes et permettent d’éviter en amont tout ou partie des attaques informatiques à l’encontre d’une entreprise.
Pour être considéré comme « actionnable », le renseignement doit être livré en temps voulu et de manière à ce qu’il puisse être facilement compris et utilisé par les analystes et les équipes de défense opérationnelles. Cela peut inclure la mise en place de correctifs de sécurité, la modification des politiques de sécurité, la configuration des règles de pare-feu, etc.
Il est à noter qu’une cellule CTI sera différente d’une clientèle à une autre. Dans un contexte CTI, nous parlons bien de clientèle dans le sens où, avec le besoin d’en connaître, nos interlocuteurs doivent être identifiés.
Toutes les sociétés sont singulières, les méthodologies et pratiques sont donc adaptées à chaque entité selon ses besoins. Deux entreprises dans le même secteur d’activité et avec un chiffre d’affaires similaire auront des processus de CTI différents. Nous pourrons notamment expliquer cela par leurs implémentations sur différents territoires dans divers pays, mais aussi le passif de certains employés et VIP, l’exposition à la communication, la surface d’attaque disponible, et encore bien d’autres facteurs.
La sécurité aujourd’hui est essentiellement basée sur des blocages d’artefacts à l’aveugle et des règles de détection (adresses IP, noms de domaines, hash de fichier…). Nous parlons ici de sécurité réactive. Il est souvent fastidieux de faire face à toutes les alertes de sécurité, provoquant de la fatigue due au nombre conséquent de faux positifs qui doivent être traités par les équipes de défense.
Il est intéressant d’avoir des tableaux de bord indiquant le nombre d’incidents de sécurité évités afin de pouvoir évaluer la pertinence des règles mises en place. Pour autant, un assaillant qui n’aura pas réussi à exécuter une de ses techniques, n’hésitera pas à en utiliser une autre afin d’atteindre son but. Par exemple en changeant son adresse IP, son nom de domaine ou le code d’un logiciel malveillant dans le but de modifier son hash.
Qui sont les attaquants ?
Quelles sont les autres techniques qu’ils utilisent ?
Pourquoi sommes-nous ciblés ?
Sommes-nous l’unique cible ou s’agit-il d’une campagne plus large ?
Comment un attaquant pourrait-il avoir accès à ces données ?
Voici les questions auxquelles la CTI tente de répondre.
Cette série d’articles permettra de découvrir ce qu’est la CTI. Nous expliquerons comment, d’une manière générale, une équipe de CTI peut mener à bien l’anticipation des menaces.
Dans un premier temps, nous aborderons le thème des “feeds” de CTI. Ces “feed” sont des flux d’informations plus ou moins réguliers qui viennent alimenter les équipes de CTI et de SOC (Security Operation Center). Ces flux (souvent payants) fournissent des données telles que des IPs, des noms de domaines ou encore des hashs de fichiers et plus rarement, des fichiers de règles (YARA, SIGMA, SNORT, …) directement actionnables. Ces données sont issues de sondes, d’analyses de malwares, de campagnes malveillantes et peuvent représenter des milliers d’IoCs (Indicator of Compromise) par jour.
Ce flux d’informations est une aide précieuse pour stopper les assauts. En revanche, en vue du volume important d’informations, tout bloquer semble impossible et irréalisable. Si, par exemple, un serveur mutualisé (un serveur hébergeant plusieurs sites internet de plusieurs clients) est utilisé durant une attaque, bannir l’IP de ce serveur reviendrait à ostraciser toute la clientèle étant hébergée sur celui-ci. Vous pouvez bien entrevoir le problème si cette IP appartient à un organisme de type AWS, Google ou OVH.
En l’état, ces informations n’ont pas de grande valeur ajoutée. Les analystes CTI doivent les transformer en renseignement. Pour ce faire, ces informations doivent être contextualisées et intentionnalisées.
Prenons l’exemple du célèbre logiciel malveillant Stuxnet. Ce logiciel malveillant avait pour objectif de viser les systèmes d’exploitation Windows, en particulier les systèmes SCADA industriels utilisés pour le contrôle et la commande des procédés industriels. Il était capable de reprogrammer les automates programmables industriels (API) produits par Siemens, tout en cachant les modifications apportées.
Les informations recueillies, dont les IoCs, que nous pouvons recevoir concernant ce logiciel malveillant n’ont de pertinence que pour les entités ayant en leur sein des assets de ce type. Dans un contexte sans systèmes industriels, ces informations sont donc inutiles.
C’est pourquoi il est important de comprendre que du renseignement pour une entreprise peut être considéré comme de l’information pour une autre.
Nous pourrons distinguer 4 catégories de renseignement :
- Le renseignement technique
- Le renseignement tactique
- Le renseignement opérationnel
- Le renseignement stratégique
Le renseignement technique regroupe tout type de renseignement comportant des indicateurs de compromission (IoC). Il sera essentiellement à destination des équipes de SOC. Ces rapports de renseignements seront donc les plus courants, devant comporter des indicateurs permettant le blocage et la supervision.
Le renseignement tactique consiste en la création de cartes de renseignement sur les attaquants contenant diverses informations telles que:
- Les méthodes qu’ils emploient
- Leurs habitudes
- Leurs outils
- Leurs tactiques, techniques et procédures
Ces rapports sont à l’intention des équipes IRT (Incident Response Team), de gestion des vulnérabilités et d’analyse de risque. Ils permettent de connaître les attaquants potentiels et d’assurer une protection préventive vis-à-vis de leurs techniques. Ils servent également lors d’un incident de sécurité, pour pouvoir effectuer une attribution de l’attaque afin de mettre en évidence les procédés qui auraient pu être utilisés et accélérer le processus de réponse à incident.
Le renseignement opérationnel consiste en l’étude des attaques ayant été réalisées à l’encontre du secteur industriel. Les analystes CTI pourront déterminer les statistiques d’attaques subies par des sociétés du même secteur d’activité. Il est possible de surveiller les attaques sur tout un pays si cela est nécessaire. Dès lors, les analystes pourront évaluer le degré de risque pour une société ainsi que la probabilité qu’elle devienne une cible. La récupération de renseignements concernant ces agressions est également essentielle. En cas d’attaque, il est important de partager les connaissances sur les agresseurs afin de pouvoir protéger l’entièreté du secteur industriel. Ces échanges se font au travers de groupes que nous nommons ISAC (Information Sharing & Analysis Center). Ces rapports sont à l’intention des équipes d’analyses de risques, mais également au management de la sécurité.
Enfin, le renseignement stratégique permet d’établir des tendances dans les attaques et ainsi prédire les techniques qui seront les plus employées dans un futur proche. Par exemple, les outils utilisés pour les audits de sécurité de type Red Team, tels que « cobalt-strike » ou « brute-ratel », sont de plus en plus partagés et vendus dans les sphères du cybercrime. Ou encore, les compromissions de compte de messagerie, aussi appelé Business Email Compromise (BEC), sont de plus en plus courantes dans le domaine de la fraude. Ces rapports seront à l’intention des équipes de management de la sécurité.
En conclusion, la CTI est une méthode permettant l’anticipation des menaces. Grâce à l’étude des attaques passées et présentes sur l’entreprise et sur le secteur industriel, octroyant une meilleure connaissance des attaquants et de leur modus operandi. La CTI est une discipline transverse entre les équipes de sécurité opérationnelle (SOC, IRT), de gestion des vulnérabilités, d’analyse de risque, et de management de la sécurité. Les rapports rédigés par les analystes doivent être actionnables, autrement dit ils doivent mener à des actions concrètes justifiant la sécurisation de l’entreprise. Les informations obtenues à travers les flux d’informations (feed) doivent être enrichies afin de les transformer en renseignement.
Dans le prochain article, nous parlerons de la méthodologie d’analyse en renseignement sur les menaces numériques, ainsi que les outils permettant de normaliser le renseignement.