Cyber Threat Intelligence appliquée : détecter et répondre aux cyberattaques

Nicolas Caproni

Après la théorie, place à la pratique

Étudier les motivations, les techniques et les outils utilisés par nos adversaires, c’est bien. Les traduire en moyens opérationnels de détection et de réponse c’est encore mieux.

La Cyber Threat Intelligence n’est pas une finalité mais bien un moyen pour améliorer son niveau de cybersécurité et sa résilience aux cyberattaques. L’un des objectifs des analystes en Threat Intelligence va être de créer et de maintenir une véritable base de renseignements actionnables (aka “servant à quelque chose d’utile”) modélisant les modes opératoires des attaquants informatiques et tous les indicateurs techniques (IoC) permettant aux “Blue Team” (CERT/ CSIRT & SOC) de détecter et répondre aux cyberattaques.

Améliorer ses capacités de détection

Veiller et analyser les dernières cybermenaces va permettre de modéliser les modes opératoires des groupes d’attaquants informatiques. Cette démarche doit ensuite permettre de les traduire rapidement en règles de détection. Il peut s’agir de simples IoC (indicateurs de compromission) issus de précédentes campagnes et incidents ou de l’analyse d’un sample de malware. Par exemple : une IP d’un serveur de Command & Control (C2), un hash de malware, des noms de domaine ou des URLs utilisées pour distribuer un malware. Ce sont des éléments techniques toujours très intéressants mais qui se périment (très) vite. Ils pourront servir pour mener des opérations de « hunting » pour tenter rechercher une compromission passée ou si on était ciblé.

Mais le must c’est de détecter un TTP, le comportement caractéristique d’un attaquant. Aujourd’hui, les IOC et autres malwares ne sont plus autant discriminants pour discerner un attaquant d’un autre. Nos adversaires ont appris à se fondre dans le bruit ambiant en utilisant des outils légitimes (exemple : PowerShell) ou en ayant recours à des scripts ou malwares open-source (merci GitHub) afin de limiter le risque de détection et d’attribution.

Certains groupes privilégient l’exploitation de techniques particulières, font régulièrement les mêmes erreurs, réutilisent certains mêmes outils ou e-mails pour leur infrastructure d’attaques. Tout cela permet aux défenseurs de modéliser (en utilisant des référentiels comme MITRE ATT&CK) certains comportements et ainsi mettre en œuvre de règles permettant de les détecter.

Répondre (de plus en plus automatiquement) aux incidents de sécurité

Si détecter est un premier challenge, répondre aux cyberattaques en est un autre, encore plus délicat.

L’une des problématique est la quantité d’alertes à traiter. Si idéalement une bonne détection s’accompagne d’un minimum de faux positifs, dans la pratique c’est rarement le cas. L’avantage d’une bonne Cyber Threat Intelligence va être alors de fournir aux analystes / opérateurs SOC, chargée de la détection et de la réponse aux incidents, des éléments de contexte (malware, groupe d’attaquants, criticité) leur permettant de prioriser les très nombreuses alertes remontées par leur outils de détection (SIEM).

La deuxième problématique est le manque de ressources humaines. En France, peu de professionnels sont formés pour occuper des postes d’opérateurs / analystes SOC (Security Operation Center). Et traiter des milliers d’alertes et trop de faux positifs entraîne généralement une rapide « fatigue » et démotivation des opérateurs qui cherchent à évoluer vers des métiers moins répétitifs...

Une solution serait de s’orienter vers une plus grande automatisation de la réponse à certaines alertes de sécurité informatique. Un sujet qui est encore un peu tabou (et ne parlons d’IA…) mais qui ne pourra pas être éternellement éludé. Là encore, les équipes de Cyber Threat Intelligence ont un rôle à jouer car cela nécessite également de veiller et analyser les meilleurs moyens de défense, de façon conjointe avec les équipes de réponse sur incidents, les experts du SOC voire une Red Team, et de les structurer (cf. OpenC2 et CACAO) pour faciliter l’automatisation de cette réponse.

Évidemment certaines opérations, pour les incidents les plus complexes et les plus critiques, nécessiteront toujours une intervention humaine réalisée par des experts issus de CERT / CSIRT pour investiguer et remettre en état un SI après une compromission.

Nicolas Caproni

Written by

Passionné de cybersécurité & Threat Intelligence « Purple » Team Leader @sekoia_fr • Blogueur #Cyber sur https://www.cyber-securite.fr & #ThreatIntel @medium

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade