L'analyse de la menace ou Threat
Intelligence (TI) s'est progressivement développée depuis une dizaine
d’années à mesure que le public prenait conscience de la réalité
des atteintes sur les systèmes d'information. Nous avions déjà présenté une série d'articles du magazine MISC traitant de la boucle OODA et de la TI, soulignant ainsi certains travaux de réflexion sur l'évolution des méthodes et outils propres à la cyberdéfense. Nous poursuivons ici la présentation de différents travaux s'appuyant pour certains sur des retours d'expérience récents (voir par exemple l'excellente présentation Six Years of Threat Intelligence: Have We Learned Nothing ?). Mais pourquoi parler de TI ? A-t-on abandonné la SSI ?
C'est poussé par le besoin
d'attribution que le marché de la Threat Intelligence se développe.
Les entreprises de cybersécurité ont rapidement intégré le fait que
sans l'apport de la Threat Intelligence leur crédibilité
s'émousserait rapidement. Elles semblent avoir également intégré le fait qu'en dépit des "produits et solutions de sécurité" qu'elles vendent, les attaquent se poursuivent et atteignent leurs objectifs.
Ainsi, pour rompre le cycle sisyphéen, outre les solutions de sécurité,
il leur faut maintenant proposer des services supplémentaires
capables de répondre aux exigences de leurs clients. Face aux
attaques quotidiennes et récurrentes, les strates de direction et
les décideurs politiques se retournent maintenant vers le monde de
la sécurité informatique et les DSI avec une seule question : "Qui
est derrière cette attaque ? Qui me vole mes données ?".
Conscient qu'une approche uniquement technique ne permettra pas
d'obtenir une protection absolue, la question de la réponse aux
attaques est devenue un enjeu stratégique, tant pour les États que
pour l'entreprise.
L'analyse de la menace doit donc
répondre avant tout au besoin d'attribution, elle est aujourd’hui
pensée comme l'aboutissement d'un processus de collecte et
d'exploitation puis d'analyse de données à la suite d'un incident de
sécurité. Assez naturellement, les responsables de la réponse à
incidents (IR) ont cherché à modéliser les attaques et la façon
d’améliorer la détection et la limitation d'impact (mitigation).
Le monde de la défense a naturellement contribue à cet effort. Une
des premières modélisation est ainsi proposée par Lokheed Martin en
2011 et est baptisée Kill Chain. Dans leur article
Intelligence-Driven Computer Network Defense Inform by Analysis ofAdversary Campains and Intrusion Kill Chain, les chercheurs
présentent les étapes d'une attaque et identifient les moyens de les
détecter et d'y répondre. Première approche, la Kill Chain permet
d'introduire l'importance de la recherche de renseignement le plus en
amont possible afin d’améliorer la détection d'incidents.
Pour autant, de nombreux détracteurs
de la Kill Chain insistent sur le fait que certaines étapes de la
chaine sont hors de portée d'un défenseur car elles se situent a
l’extérieur du périmètre défendu.
Cette vision est en outre une chronologie de l'attaque qui peut largement être discutée. Ainsi, une structure, si elle veut implémenter cette méthode devra nécessairement être alimentée par du renseignement sur l'adversaire collecté par d'autres.
Cette vision est en outre une chronologie de l'attaque qui peut largement être discutée. Ainsi, une structure, si elle veut implémenter cette méthode devra nécessairement être alimentée par du renseignement sur l'adversaire collecté par d'autres.
En 2013 dans une étude de
l'Intelligence and national security alliance, intitulée
Operational Levels of Cyber Intelligence, une déclinaison de la KillChain est proposée, en identifiant pour chaque phase de la
planification et de la conduite d'une opération offensive, les
contre-mesures à déployer et l'effort renseignement a consentir.
Il est intéressant de constater
l’omniprésence de la notion d'OSINT (Open Source INTelligence)
dans les phases de détection de la menace. Cette évolution conserve l'approche chronologique engagée par la Kill Chain.
Une autre approche, plus agressive et moins linéaire, propose de présenter les différents niveaux sur lesquels un système
de défense peut interagir avec l'attaquant en évaluant le niveau de
nuisance résultant. La démarche est issue d'un retour d’expérience
de la société FireEye et vise à caractériser les indicateurs
renseignement collectés afin de déterminer ceux qui présentent le
plus de valeurs (Voir Figure 4). La valeur d'un "indicateur"
étant entendue comme son niveau de nuisance sur l'attaquant. Cette
approche baptisée
The Pyramid of Pain est donc un indicateur de qualité du
renseignement qu'une structure collecte sur une menace considérée.
Parallèlement cette visualisation
permet de décrire la difficulté relative pour obtenir le
renseignement. Elle nous offre une "priorisation" pour la
recherche sans toutefois expliciter les moyens de la conduire.
Les approches de modélisation que nous
avons rapidement présenté reposent toutes et quasi exclusivement
sur la capacité d'une structure a collecter des informations
pertinentes (indicators) avant de les faire analyser par des équipes
dédiées et très spécialisées. Or, pour collecter sur un réseau
des indicateurs pertinents, les personnes en charge des opérations
doivent disposer d'une excellente capacité de détection. Ainsi, si le concept de Cyber Threat Intel peut sembler novateur et très "tendance", sa réalité repose encore bel et bien sur des bases techniques solides, tant en matière de SSI que de recherche active de menaces dans son périmètre (hunting).
Aucun commentaire:
Enregistrer un commentaire