Petit déjeuner de l'Observatoire du FIC : Threat Intelligence : quel apport opérationnel ?

Filtrer par catégorie :

12 Juillet 2016 by Nha-Khanh Nguyen
Nha-Khanh Nguyen

Cette matinée du 05/07/2016 a réuni, au Cercle mixte du Quartier des Célestins, de nombreux acteurs de la sécurité informatique autour du thème de la Threat Intelligence, thème très en vogue actuellement et que les entreprises et médias utilisent parfois à toutes les sauces. Nous connaissons tous le modèle de SOC actuel, composé d'un SIEM à partir duquel des alertes remontent les attaques dès lors qu'elles sont détectées, et d'une équipe d'analystes traitant les incidents à différents niveaux. La Threat Intelligence est une évolution de ce modèle, ajoutant une nouvelle perspective : la proactivité.

 

Le SOC Next Gen, tout le monde en parle, mais qu'est ce que c'est ?

C'est Cyrille Badeau, Directeur Europe du Sud de ThreatQuotient, qui ouvre la conférence en présentant le concept de SOC "Next Gen", appelé aussi SIC (Security Intelligence Center) ou SOC 2.0. L'objectif est d'apporter une nouvelle approche du processus de traitement des incidents afin de prévoir les attaques avant même qu'elles ne surviennent. Un SOC classique fonctionne de manière fréquentielle, c'est-à-dire que les événements sont traités un par un. Le SOC "Next Gen" va quant à lui apporter de la linéarité dans la défense et l'on pourra alors, grâce aux événements d'hier, organiser une réponse pour ceux de demain. Cyrille Badeau fait une analogie avec l'attaque d'un château fort : si celui-ci se fait attaquer plusieurs fois, les ouvriers vont réparer les parties endommagées jusqu’aux prochaines attaques et ainsi de suite. Or, une autre stratégie serait de comprendre ces attaques et de tenter de les corréler afin d'anticiper les prochains coups des assaillants. Si l'on connaît leurs armes, les stratégies qu'ils sont en train d'élaborer ou encore leurs positions, il est possible d'anticiper et de préparer une défense proactive. Les éléments caractérisant une attaque, tel que les IOC, sont quant à eux comparés à des atomes constituant une molécule qui n'est autre que le groupe d'attaquants, la campagne ou tout autre terme les unifiant. On étudie alors non pas un IOC mais un ensemble d'IOC (la molécule). Ainsi, il est possible à la réception d'un atome par le SIEM, d'identifier à quelle molécule elle appartient et donc d'identifier la campagne ou le groupe d'attaquants lié à cet IOC. Le problème actuel avec ces données est qu'elles ne sont disponibles qu'en vrac et via de nombreuses sources différentes : OSINT1, ISACs2, MISP3, SIEM4 ou encore CERTFR5. Il n'est donc pas évident de les utiliser efficacement, voire de savoir si elles sont pertinentes. Il est donc nécessaire d'avoir une intelligence capable de les centraliser et de les corréler. Pour conclure, le Directeur de ThreatQuotient établit une pyramide de maturité d'un SOC : il est tout d'abord question de constituer une base de connaissance Threat Intelligence, de pouvoir l'envoyer vers un SIEM, de détecter les IOC et enfin, d'arriver à faire du « strategic planning ».
 

Connais ton ennemi et connais toi toi-même

La deuxième présentation, par Adrien Petit, Consultant en Cybercriminalité et Threat Intelligence chez CEIS, traite des cybermenaces, des communautés cybercriminelles et du deep et darkweb. Une cybermenace est qualifiée par trois choses : l'intention d'attaque, la capacité technique et humaine et l'opportunité, à savoir, une cible. L'hacktivisme, la cybercriminalité et les menaces étatiques sont les trois grands types de cybermenaces que l'on retrouve aujourd'hui. Le CEIS a fait le choix d'implémenter sa propre "Cyber Kill Chain" afin de se concentrer directement sur l'attaquant et non sur l'attaque elle-même car si celle-ci est détectée, cela veut dire qu'elle est actuellement en cours : il est donc déjà trop tard. Toujours dans une vision du SOC 2.0, le focus est fait sur la proactivité et donc la connaissance de l'attaquant. Connaître l'attaquant c'est également connaître ses techniques d'attaques et sa façon de procéder (techniques, tactiques et procédures). Les outils utilisés par les attaquants sont disponibles sur le web traditionnel mais surtout sur le deep et le darkweb. Adrien Petit explique alors que ce dernier recense ce qui n'est pas référencé par les moteurs de recherche mais également des forums de hackers restreints, accessible uniquement sur invitation. Sur ce type d'investigation, une approche humaine, que ne pourrait remplacer un outil de crawling, est indispensable. Il faut savoir qu'il existe de nombreuses communautés, toutes différentes les unes des autres, et chacune à sa préférence en matière de cyberattaque. Organisée souvent par culture, on trouvera par exemple la communauté chinoise, spécialisée dans le malware hardware et software, la communauté russe, particulièrement restreinte et élitiste, qui fait notamment dans le ransomware, la communauté francophone qui préfère la fraude métier ou encore la communauté brésilienne, oeuvrant dans le malware bancaire. Ces communautés utilisent différents types de plate-formes pour acheter ou vendre leurs produits. On recense des blackmarkets généralistes et spécialisés mais aussi des forums de partage. Le plus populaire des blackmarkets, connu sous le nom de SilkRoad, tombe en novembre 2014 sous les coups du FBI. D'autres ont préféré laisser les utilisateurs à l'abandon, partant avec les commissions (arnaque qui s'appelle l'"exit scam"). Parmi les produits les plus repandus, on y trouve 59% de vente de drogue. Les produits digitaux quand à eux, dont les données volées, les codes d'exploits ou encore les malwares, représentent 16% de l'activité des blackmarkets. Cependant, le marché s'oriente de plus en plus vers une approche Malware as a Service (MaaS) : plutôt que d'acheter directement le code du malware, l'acheteur va chercher à savoir combien de botnets le vendeur propose afin de déployer le malware. Il peut s'agir d'un réseau de botnets classique ou d'un réseau de botnets localisé au sein d'une entreprise qui serait alors la cible de l'attaque.
 

Conclusion

Le SOC Next Gen n'est pas un argument purement marketing. Comme nous l'ont présenté Cyrille Badeau et Adrien Petit, ce nouveau modèle de SOC apporte une vision plus stratégique de la défense d'un SI. Plutôt que de réagir suite à l'attaque, il est judicieux de s'intéresser aux attaquants, d'analyser et de comprendre leurs comportements afin d'anticiper les attaques à venir et mieux s'en protéger.

1 Open Source INTelligence, désigne la recherche d'information en source ouverte
2 Information Sharing and Analysis Centers, désigne les entités ISAC de différents domaines d'activité (défense, aviation, informatique...) collaborant ensemble afin d'oeuvrer dans la protection des systèmes d'informations face aux cyber menaces.
3 Malware Information Sharing Platform, désigne la plateforme collaborative de partage d'IoC
4 Security Information and Event Management, désigne un produit destiné à détecter les attaques informatiques sur un SI
5 Le CERT-FR est le CERT de l'ANSSI