• Perspective
Publié le 26 septembre 2017

Zoom sur la 4e édition de Cyber@hack - La Threat Intelligence

"Cyber@hack s’inscrit dans une démarche de réflexions et d’échanges visant à réunir professionnels et étudiants autour d’un sujet commun, la Cybersécurité."

Ainsi se décrit cet événement qui a proposé sur une journée plusieurs conférences reprenant les actualités de la planète Cyber. Nous avons ainsi assisté à des conférences autour de la sécurité de l'IoT, la Threat Intelligence ou ecnore le darkweb.

Un espace "Job dating" ainsi qu’un CTF (Capture The Flag) ont également permis de mêler passionnés et professionnels.

Dans cet article, nous vous proposons de revenir en détail sur l’un des sujets présenté : la Threat Intelligence.

L'objectif est donc de résumer les différents conseils, critiques et visions des experts conviés à cette « Table ronde ».

La "Threat Intelligence"

Intervenants :

  • Frédéric Lenfant (Analyste en cybermenaces et protection des données - Continental)
  • David Soria (Red Team leader - iTrust)
  • Thierry Berthier (Chercheur en cybersécurité - Université de Limoges)
  • Laurent Navarro (Machine Learning leader - Cisco)
  • Bassem Hamdi (Responsable Threat Intelligence - CEIS)
  • Daniel Guyonnet ("Animateur Table Ronde" Vice-Président NXU)

Qu'est-ce que la Threat Intelligence ?

Depuis toujours, un gouffre existe entre les pirates informatiques et les techniques de défense mise en place pour les contrer. La diversité des cyberattaques dépasse bien souvent l'état de l'art qui a pu être fait par la défense.

Pour combler cet écart, l'étude des attaques et de ceux qui les perpétuent est mise en avant. En analysant leur comportement, il peut être possible de prévenir ces attaques.

Concept apparu début 2011, la Threat Intelligence s'appuie sur l’ensemble des techniques, personnes et outils qui permettent de détecter des intrusions ou des anomalies.

Elle s'articule autour de 3 axes :

  • Tactique : Collecter des données (flux réseau) pour alimenter les outils de supervision et les SOC (Security Operations Center). L’analyse de ces données va permettre d’identifier des vecteurs d’attaques et d’ajouter les filtres adéquats aux outils de détections.
  • Opérationnel : Fournir des données en temps réel, propager les alertes et livrer des rapports d'incidents. (Utilisé aussi comme "Preuves juridiques")
  • Stratégique : Identifier les attaquants, d'où ils viennent, leurs motivations, les outils qu’ils utilisent, les méthodologies suivies, leurs cibles, etc.

 

Cycle Threat intelligence

Source : https://semiengineering.com/threat-intelligence/

Qui fait de la Threat Intelligence ?

La Threat Intelligence se basant sur la collecte d'informations, plus cette collecte sera importante, meilleure sera l’analyse. Installer un honeyPot chez vous ne vous donnera pas un état de l'art des cyberattaques. Au mieux, vous aurez une vision des attaques opportunistes qu'il est possible de trouver sur Internet.

Il est donc préférable de se tourner vers les mastodontes de la sécurité, comme les antivirus (Norton, Kaspersky, Fortinet) qui voient une grande partie des flux Internet passer à travers leurs équipements. Ces derniers donnent chaque année une tendance des attaques rencontrées sur leurs produits (pays cibles, provenance des attaques, etc.).

Les entreprises ou les CERT (Computer Emergency Response Team) possédant un SOC et un effectif important d'analystes sont aussi capables d’analyser de réelles tendances en matière d'attaques et de proposer des solutions performantes pour détecter les nouvelles intrusions.

Enfin, certaines sociétés disposent d'outils recherchant dans le deep et le darkweb pour trouver les traces d'une possible compromission (ex. black market). En alertant le client très tôt, il est possible de limiter les impacts d'une intrusion si la faille de sécurité est corrigée avant que l’information n’arrive dans le Web surfacique et ne cause plus de préjudices (ex. réputation).

En définitive, il faut une certaine maturité, en termes d'outils et d'effectifs, pour réussir à tirer de réelles informations et identifier des comportements qui pourront être intégrés dans les procédures de détection.

Ainsi, les gros acteurs de la sécurité utilisent la Threat Intelligence dans un but de développement interne. Certaines entreprises la proposent comme solution ou service payant alors que d’autres s’en servent pour avertir et sensibiliser (ex. : CERT-FR).

Pourquoi la Threat Intelligence ?

Outre la lutte contre les cyberattaques avec la détection des intrusions en temps réel et l'optimisation des procédés et des outils grâce à l'analyse des flux, la Threat Intelligence donne la possibilité de contextualiser les menaces auxquelles les entreprises sont exposées et peut apporter une vision plus réaliste de celles-ci.

Que ce soit pour une analyse de risques ou des tests d'intrusion, tous les métiers de la sécurité de l'information peuvent tirer profit de cette source d'information. On peut ainsi identifier et expliquer plus précisément aux clients quelles sont les menaces :

  • Quel est l'intérêt d'attaquer votre site vitrine ne contenant aucune donnée sensible ?
    En cas d'intrusion, il pourrait utiliser le site pour héberger et propager des malwares.
  • Pourquoi l’ordinateur de monsieur tout le monde constitue-t-il une cible privilégiée pour un attaquant ?
    En cas de compromission, celui-ci peut alimenter les réseaux de botnet ou miner de la cryptomonnaie.

Ces recherches traduisent aussi le fait que personne n'est à l'abri des cyberattaques. Si les attaquants cherchent dans un premier temps à compromettre des grands groupes ou des OIV, (Opérateur d'Importance Vitale) ce sont d'abord des opportunistes qui, en cas d'échecs, se rabattront sur les plus petites structures.

Ainsi, la Threat Intelligence a pour objectif de faire progresser la « défense » contre les cyberattaques en sensibilisant le monde de la sécurité informatique grâce à une meilleure compréhension et contextualisation des menaces.

Quel rôle peut jouer l’IA dans la Threat Intelligence ?

Les outils de détection filtrent les flux suivant un nombre de règles éditées. Ces règles proviennent de l'analyse des précédentes attaques permettant d'avoir très peu de faux positifs. En cas d’apparition d’une nouvelle faille de sécurité (0-day), l'outil ne sera pas capable de la détecter.

D'autres équipements, appelés ADS (Anomaly Detection System), utilisent l'IA pour aller plus loin dans la détection et permettre d'identifier les 0-days à travers des changements de comportements.

L'outil est placé sur un réseau et va collecter des informations pour répertorier les comportements "normaux" du système informatique. Une intrusion ou une anomalie pourra être ainsi identifiée si l’un de ces comportements change, comme un trafic devenant trop dense entre deux machines ou une requête trop exotique envoyée vers l'un des autres sous-réseaux.

Cependant, ce type d'outil remonte un nombre important de faux positifs, le rendant peu autonome. Cela n'empêche malheureusement pas des sociétés de proposer ce type de service entièrement automatisé en assurant une protection totale.

Les intervenants de cette table ronde étaient eux unanimes sur la nécessité d'une analyse humaine. Certains allant même plus loin, et expliquant le besoin de trouver des profils d'analystes "métiers", "géopolitiques" et "linguistiques" pour comprendre et identifier encore mieux ces "hacktivistes" et ainsi prédire leurs actions.

Une solution hybride, impliquant à la fois l'homme et la machine, pourrait être une alternative possible. Un outil qui interprète les changements de comportements, mais dont la performance est "boostée" par l'ajout de paramètres et de règles établies par des analystes grâce à leurs recherches effectuées en amont sur les données collectées.

Pour conclure...

La quantité de flux réseau générée à travers le monde est considérable. Il est possible de se demander si une entité pourra un jour traiter assez d'information pour présenter une solution efficace contre toutes ces attaques.

La réponse viendra peut-être d'une coopération entre les grands acteurs de la sécurité pour arriver à une base d'information suffisante, qui donnera la possibilité d’effectuer un état de l'art complet des cyberattaques, et des cyberattaquants.

Des échanges inter-CERT ou au sein d'organisation militaire (OTAN) existent déjà et un standard pour les échanges de données est également en place avec MISP, pouvant ainsi poser les prémisses d'une collaboration à grande échelle.

Malheureusement, ces données sont souvent étiquetées "privées" ou "secrètes" et peu sont ceux disposés à les partager.

De plus, qui dit "données" dit forcément "business" autour de celles-ci. Ainsi, la majorité des acteurs de la sécurité risque d'être réticents à l’idée de partager gratuitement ces informations.

Nous souhaitons féliciter et remercier les organisateurs de Cyber@hack pour leur accueil et la qualité des intervenants.

Un grand merci aussi à Lucas Santoni et Aymeric Beudaert, pour la très bonne organisation du CTF de Paris. Ce dernier s'est déroulé dans une ambiance très conviviale et dans un super esprit de partage.

Article rédigé par
EvaBssi Team