samedi 25 avril 2015

Boucle OODA, Cyber threat Intelligence et APT

Le dernier numéro de l'excellent magazine MISC (n°79 mai- juin 2015) nous propose un dossier spécial APT dont la lecture s'avère plus que stimulante ! Beaucoup de buzzword peut-être, mais des idées c'est sûr (Voir le sommaire du numéro en fin de post).
On y retrouve notamment un article de synthèse de Cedric Pernet (qui reprend les grandes lignes de son livre Sécurité et espionnage informatique: connaissance de la menace APT, Eyrolles 2014) mais également une contribution de William Dupuy et Nicolas Guillermin "APT au combat: stratégie numérique en réseau d'entreprise" et enfin "Threat Intelligence et APT" par David Bizeul et Xavier Creff. Ces trois contributions alimentent la réflexion sur une approche de la défense des systèmes d’information orientée "combat" en puisant des références dans la Stratégie.



Nous ne reviendrons pas ici sur l'article introductif de Cedric Pernet, le lecteur pourra utilement se reporter à l'ouvrage de référence ou aux diverses fiches de lectures (ici, et encore ici). En revanche, la contribution "APT au combat: stratégie numérique en réseau d'entreprise" nous conduit à revenir sur quelques idées formulées par les auteurs.


La boucle OODA ?

L'article en effet s'appuie sur le concept de la boucle OODA pour développer une approche méthodique de la détection et du traitement des attaques. Nous présentions dans Cybertactique, le concept de la boucle OODA (Observer, Orienter, Décider, Agir):
"Le concept de boucle OODA fait son apparition dans Pattern of conflict, une présentation de John Boyd. L’idée centrale de cette théorie repose sur le fait qu’il est nécessaire de « penser et agir plus vite que l’adversaire ». L’issue du combat appartient à celui dont la boucle OODA tourne plus vite ; Il s’agit d’entrer dans le cycle de décision de l’adversaire. Bien que calquées sur le modèle du combat aérien, les idées de Boyd s’appuient sur de nombreux exemples historiques. Il puise ainsi dans l’histoire de l’empire mongol l’idée selon laquelle l’information est au centre du pouvoir militaire, il étudiera également l’épopée napoléonienne ainsi que les théories du Blietzkrieg. Jamais publiées, les théories de Boyd sont regroupées sous le nom de Discourse on Winning and Losing. Il aurait inspiré les opérations américaines lors de la première guerre du Golfe en 1991 ainsi que la notion de « guerre de quatrième génération » portée par William Lind."


Source: https://en.wikipedia.org/wiki/File:OODA.Boyd.svg

Développé dans le cadre de la stratégie militaire (et particulièrement aérienne), le concept est aujourd'hui plus largement réemployé dans l'économie, le commerce et plus généralement dans l'analyse des systèmes dynamiques. Naturellement, le champ de la sécurité informatique ne pouvait pas faire l'impasse sur ce concept. Comme le souligne les auteurs,Bruce Schneier dans
The Future of Incident Response évoque le concept de OODA pour la réponse à incident. La question principale de la réponse à incident est en fait un des principes stratégiques les plus anciens : la liberté d'action. L'initiative n'étant qu'un moyen pour le niveau tactique d'acquérir ou de conserver cette liberté d'action.
« Le principe fondamental de toutes les combinaisons militaires consiste à opérer, avec la plus grande masse de ses forces, un effort combiné sur le point décisif. Les moyens d’appliquer cette maxime ne sont pas très nombreux : le premier moyen est de prendre l’initiative des mouvements. »[1]



[1] Lieutenant-général JOMINI, Histoire critique et militaire des guerres de Frédéric II, Paris, Magimel, Anselin et Pochard, 3e ed.1818, Tome III, p.345.
Les auteurs soulignent alors que "l'équipe de SOC qui surveille le réseau (...) n'est pas en position d'initiative par rapport au cyberattaquant qui choisit le moment, le lieu et la méthode de l'attaque", nous considérons pourtant que celle-ci doit mettre en œuvre des actions qui lui permettront de tirer avantage de cette situation (sans chercher à la renverser nécessairement).

Revenons à Bruce...

Dans son modèle de transposition de la boucle OODA à la réponse à incident, Bruce Schneier revient sur ce qui fait l'intérêt de cette approche : la vitesse. La boucle OODA n'est en fait qu'une formalisation d'un processus de décision, et l'idée sous-jacente pour lui demeure que: le vainqueur est celui qui décide et agit plus vite que l'autre.
Speed is essential. People in these situations are constantly going through OODA loops in their head. And if you can do yours faster than the other guy--if you can "get inside his OODA loop"--then you have an enormous advantage.
Dans l'article, les auteurs complètent l'approche et présentent étape par étape les points d'application de la boucle OODA adaptée à la réponse à incident. Ainsi, la phase "observation" qui vise à répondre à la question qui nous est chère "Sommes-nous attaqués ?" (Voir Cybertactique - le combat défensif), mais également "quels sont les effets de l'attaque et qui nous attaque ?" est-elle décomposée en trois sous-ensembles complémentaires:

Observer:
  • Voir global (le SIEM)
  • Voir en détail (le remote forensic)
  • Se concentrer sur le nécessaire (les auteurs évoquent ici une première fois le concept de Threat Intelligence, nous y reviendrons dans la phase orientation)

La deuxième phase de la boucle, l'orientation est qualifiée de "centrale" elle regroupe "l'ensemble de la démarche visant à comprendre l'adversaire, ses biais décisionnels, afin de préparer les grandes lignes de l'action". Threat Intelligence ? nous y voilà. En premier lieu les auteurs soulignent l'importance de disposer de données ("des éléments sur la menace") mettant en lumière la nécessité de capitaliser les informations suivant des paramètres rigoureux et objectifs. La boucle OODA se place dans la "post-détection", il va donc s'agir de recueillir des éléments qui visent à déterminer : le groupe attaquant, l'objectif de son attaque et ses intentions. A ce jour la démarche repose principalement sur de la victimologie, les TTP (Tactics, Tecniques, Procedures) l'infrastructure d'attaque (C&C, botnet) et l'analyse des outils et des traces.

Vient ensuite la phase de décision. Selon les auteurs, l'orientation est nécessairement incomplète, la phase de décision va donc viser à "soupeser ces incertitudes" et "formuler des hypothèses pour combler le manque". L'idée étant en fait de formuler des hypothèses qui seront le pilier des actions qui généreront de nouveaux évènements en entrée de la boucle (observation). C'est ici, à mon sens que le concept est le plus fragile. Suivant cette approche, s'ouvre alors une "arbre des possibles" qui vient alimenter la boucle générant elle-même de nouvelles hypothèses etc. Le cycle à toute les chances de dériver au lieu de converger vers une attribution. Avec la génération d'hypothèses le cycle perd en outre de son intérêt car il ne permet pas de "gagner du temps" mais risque de s'enliser dans la recherche d'éléments qui visent à infirmer ou confirmer des hypothèses. La question des outils décisionnels qui permettront à la "cellule de crise" d'éviter cette divergence reste entière. Les auteurs en conviennent d'ailleurs en précisant "l'apprentissage de la décision dans l'incertitude est un art difficile, et la crise nécessite que cette décision soit rapide". 

La dernière phase, action, revient en fait à s'appuyer sur le résultat des étapes précédentes pour déterminer une option stratégique.Les auteurs présentent ici les grandes options de la lutte contre les APT:
  • Eradication de l'attaque;
  • Deception: garder l'initiative afin d'épuiser les ressources de l'attaquant (honeypot);
  • Containment discret: étape qui peut-être une phase préparatoire à l'éradication ou la deception.


Pour conclure, les auteurs insistent sur le fait que la réponse à incident doit être appréhendée comme un "combat", "Les préceptes stratégiques qui pilotent le processus sont exactement les mêmes". L'initiative n'est pas réservée à l'attaquant, le défenseur manœuvre lui aussi, il peut regagner sa liberté d'action dès lors que l'attaquant est détecté. La démarche de Threat Intelligence est présentée comme centrale car elle permet d'assurer la rapidité de la boucle (c'est donc elle qui évite la dérive que j'évoquais), elle permet de préciser les hypothèses. En définitive, un article passionnant qui illustre, une nouvelle fois, les apports de la réflexion stratégique à la sécurité des systèmes d'information. Un bon incident handler est abonné à MISC mais il doit avoir lu Foch et Jomini (message aux DRH)!

PS: On pourra également, sur cette question de la boucle OODA en SSI, se reporter à l'article de Jérome Saiz : OODA: une stratégie militaire au service de la SSI.



Au sommaire du MISC n°79
Exploit Corner
p. 04 Ramonage de vulns avec mona.py
Malware Corner
p. 12 Quand les dessins animés se « Rebelle »… Éléments de « Raiponce »…
Forensic Corner
p. 20 Macros – Le Retour de la Revanche
Dossier
p. 30 Préambule
p. 31 APT 101
p. 38 APT au Combat : stratégie numérique en réseau d’entreprise
p. 45 Threat intelligence et APT
p. 56 PlugX : couteau suisse des attaquants APT
Code
p. 62 Quelques épreuves du challenge sécurité « Trust the Future »
Réseau
p. 68 DNS et vie privée : le travail de l’IETF
Science & technologie
p. 74 Contrôle d’accès physique : étude des cartes sans contact

Aucun commentaire:

Publier un commentaire