Cyber Threat Intelligence : mieux connaître son adversaire pour anticiper

Articles de blog

Pour Jacques de La Rivière, CEO de Gatewatcher, la Threat Intelligence est une réelle plus-value au sein des systèmes de détection. Les solutions de détection de l’entreprise, qualifiées par l’ANSSI, s’interfacent facilement avec des flux de connaissance de la menace. Couplés à des moteurs de détection dernière génération, les produits Gatewatcher sont en mesure de détecter les attaques les plus élaborées.

Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Depuis quelques années, la Cyber Threat Intelligence s’est donc imposée comme un outil essentiel pour les entreprises désireuses de mettre en place une réelle stratégie autour du risque cyber. Nous revenons dans cet article sur la définition de la Threat Intelligence, et sur les axes clés pour mettre en place un programme de renseignement sur les cybermenaces au sein de son entreprise.

1. Qu’est-ce que la Cyber Threat Intelligence (CTI) ?



La Cyber Threat Intelligence a pour but la collecte et l’organisation de toutes les informations liées aux cybermenaces afin de dresser un portrait des attaquants et d’en dégager des tendances (secteurs touchés, méthodes et techniques d’exploitation…). La CTI permet de connaître, de mieux se défendre et d’anticiper pour détecter les prémices d’une attaque.



Le terme Threat Intelligence est apparu début 2011, lorsque les premières APT (Advanced Persistent Threats) ont été largement médiatisées. Certaines organisations et entités étatiques utilisent ce concept depuis plus longtemps.

Les informations collectées peuvent être de différentes natures : marqueurs, IOC (indicateurs de compromissions tels que des hash, des noms de domaines ou des adresses IP), historiques d’attaques, réutilisation d’architecture ou de plateforme ayant servies antérieurement, utilisation de services, techniques et méthodes spécifiques (signatures communes, registrant identique).

De nombreux moyens de collecte existent, notamment le renseignement Open Source (OSINT), les flux de données commerciaux et communautaires, la Social Media Intelligence (SMI ou SOCMINT), le renseignement d’origine humaine et la capacité d’analyse et de corrélation (HUMINT) ou encore les informations provenant du Deep et du Dark Web.

Dans une volonté globale de développer des standards réutilisables par le plus grand nombre, les moyens de partage d’information ont tendance à s’harmoniser. Les informations CTI sont communiquées grâce à des initiatives Open Source comme STIX (Structured Threat Information Expression) ou TAXII (Trusted Automated eXchange of Indicator Information) développées dès 2012. La plateforme MISP (Malware Information Sharing Platform) ou encore OpenCTI, projet lancé par l’ANSSI en partenariat avec le CERT-EU, sont également d’autres outils de gestion et de partage de la connaissance en matière d’analyse de la cybermenace. Cet échange d’informations permet également de générer des règles de détection pour des outils de supervision tels que les IPS.

2. Comment mettre en place un programme de Cyber Threat Intelligence au sein de son organisation ?



Implémenter un nouvel outil et de nouvelles méthodes de travail nécessite tout d’abord de se poser les bonnes questions. En effet, toutes les données ne sont pas significatives, il faut donc cadrer le programme de renseignements sur les cybermenaces en amont du projet.

Il faut dans un premier temps définir les enjeux et les conséquences d’une atteinte à la sécurité de l’entreprise : qu’est-ce qui doit être protégé ? De quelles informations un attaquant voudrait-il s’emparer ou détruire ?

Lorsque les réponses à ces questions ont été formalisées, il faut déterminer les objectifs liés à la mise en place d’un programme de CTI au sein de son organisation. Ils doivent être clairs et réalisables, mais doivent être également facilement mesurables grâce à des indicateurs et des critères fixés au préalable.

Une fois les besoins exprimés et les objectifs fixés, vient le temps de la collecte des données avec la mise en place de différents « capteurs », en exploitant par exemple des sources ouvertes accessibles sur Internet (OSINT).

Il faut ensuite passer sur la phase de traitement des données pour simplifier leur exploitation par les analystes. Toutes les informations collectées (IOC, malwares, contexte géopolitique, méthodes de groupes d’attaquants) doivent être contextualisées et enrichies pour se transformer en véritable renseignement. C’est à ce moment-là que nous entrons dans la phase d’analyse, qui repose encore aujourd’hui en grande partie sur l’expertise de l’analyste. A l’issue de son travail, il produira un rapport, qu’il conviendra de diffuser aux bonnes personnes, au bon moment et dans le bon format.

Comment détecter les attaques persistantes les plus élaborées ?

Téléchargez notre livre blanc sur la détection des menaces avancées.



TÉLÉCHARGEZ VOTRE EXEMPLAIRE


Pour aller plus loin

Ce site utilise des cookies pour vous garantir la meilleure expérience sur notre site. En savoir plus.