Apparu dans la presse au cours de l’année 2011, la “Threat Intelligence“ (littéralement renseignement sur la menace) est un concept issu des techniques utilisées par les agences de renseignement, adapté à la cybersécurité, collecte, organise et partage des informations concernant les cybermenaces afin d’élaborer une base de données fiable pour mieux lutter contre les hackers.
Le concept de la Cyber Threat Intelligence
Parmi les différents modèles de protection des systèmes d’information, une très immense majorité œuvre en réaction à un problème rencontré. L’objet de la CTI est, inversement, de collecter le maximum d’information possible sur les différents type de menace afin de pouvoir prédire l’attaque au moindre signe précurseur. Grâce à la CTI, les équipes IT peuvent dresser un portrait des hackers, mais pas seulement. Les méthodes utilisées par un groupe, les secteurs d’activité les plus ciblés, les pièges semés par les pirates… Tout est analysé de manière prédictive.
Il ne s’agit pas de la confection d’un catalogue de type d’attaque trié par catégorie de menace ou profil de hacker, mais bien de l’exploration systématique des menaces potentielles en conditions réelles dans le but d’élaborer des solutions par anticipation. L’objectif est donc d’identifier les réels problèmes et non de simplement répertorier les problèmes éventuels. Pour mener cette mission à bien, il est indispensable de posséder des outils puissants et complexes. Voilà pourquoi il est assez rare de trouver des spécialistes en CTI directement intégrées au sein d’équipes IT en interne.
Fort heureusement, de nombreuses entreprises de services numériques spécialisées en cybersécurité peuvent intervenir en adaptant la réponse et les outils aux besoins de chaque organisation demandeuse. C’est le cas de Sekoia.io par exemple, capable de développer la CTI aussi bien pour les RSSI que pour le SOC.
La détection CTI le cas de SEKOIA
Les groupes d’attaquants font face à la recrudescence des coûts nécessaires à la mise en œuvre de leurs campagnes d’attaques. Ils ré-utilisent donc très souvent leurs infrastructures, leurs modes opératoires, leurs malwares ou leurs exploits.
Le moteur de détection CTI permet de casser l’agilité des hackers en recherchant la présence d’activités malveillantes consolidées dans une base de connaissances des menaces. Cette base de connaissance est alimentée en temps réel par les équipes CTI de SEKOIA.IO qui fournissent en temps réel plus de 100k indicateurs techniques contextualisés et actionnables quotidiennement.
Le moteur de détection CTI développé par SEKOIA.IO inclut également un mécanisme de retro-hunting qui recherche dans le passé les nouveaux indicateurs CTI. Ce faisant, le retro-hunting permet de faire face à un éventuel décalage temporel entre le moment où nous disposons d’un renseignement sur une menace et la présence de cette même menace sur le périmètre client.
Par défaut, le moteur de détection CTI s’appuie sur le flux d’information de SEKOIA.IO pour faire sa détection. Il est également possible d’ajouter d’autres flux CTI au format TAXII 2.1/STIX 2.1
Les 3 axes pour un développement optimal
Afin de déjouer les potentielles attaques, la CTI se développe selon trois grands axes :
- Un axe stratégique, dont le but est de définir le contour des investissements à venir en fonction des menaces identifiées grâce au profilage des attaquants et aux différents rapports obtenus. Ces investissements peuvent aussi bien concerner les processus logiciels de sécurisation des systèmes d’informations que l’achat de matériels visant à consolider l’infrastructure cyberdéfense ;
- Un axe opérationnel, dont l’objectif est la compréhension et la modélisation des logiques et des modes opératoires des hackers. Dans ce cadre, des reconstitutions d’attaque sont envisageables ;
- Un axe technique, qui a pour finalité la découverte des nouvelles modes ou tendances en matière d’attaques.
Cela dit, l’adjonction de chacun de ces axes à la Threat Intelligence globale permet la construction d’un récit permettant le recul sur une situation donnée. C’est entre autres cet aller-retour permanent entre la vision globale et l’intervention précise, quel que soit l’axe de développement, qui fait de la CTI une arme redoutable en matière de cyberdéfense.
Créer une base de données collective
Devant la montée toujours croissante des menaces numériques et l’imagination débordante des pirates de tous poils, il est pressant pour les entreprises de pouvoir réagir au plus vite afin d’éviter la divulgation de données privées ou la perte sèche de données.
La CTI permettant d’anticiper les attaques grâce au repérage de comportements et à la modélisation des modes opératoires, il restait à partager ces connaissances entre informaticiens. La Cyber Threat Intelligence favorise précisément cet échange stratégique au sein de équipes IT ou entre spécialistes de la cybercriminalité, assurant ainsi une neutralisation des menaces avant même qu’elles aient le temps d’impacter vos systèmes.
