Petit glossaire de la Threat Intelligence

Avant de parler de Threat Intelligence et de l’appliquer sur le terrain, voici une petite sélection de définitions des termes et concepts indispensables pour bien appréhender cette thématique.

SEKOIA Team
Nov 6, 2018 · 5 min read

0-Day

Une vulnérabilité 0-day est une vulnérabilité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu. L’existence d’une telle faille sur un produit informatique implique qu’aucune protection n’existe, qu’elle soit palliative ou définitive (source : Wikipedia)

APT

Une APT (Advanced Persistent Threat) est un adversaire doté de niveaux d’expertises sophistiqués et de ressources importantes, qui lui permettent de générer des opportunités d’atteindre ses objectifs par l’intermédiaire de plusieurs vecteurs d’attaque (par exemple: cyber, physique, tromperie).

Ces objectifs incluent typiquement l’établissement et le maintien d’un accès au sein de l’infrastructure des organismes ciblés dans le but d’exfiltrer de l’information; de perturber des aspects critiques d’une mission, d’un programme ou d’une organisation; ou de se positionner afin de pouvoir le faire dans le futur.

Un groupe d’APT :

  • Poursuit ses objectifs de manière répétée durant une longue période de temps;
  • S’adapte aux efforts de résistance des défenseurs;
  • Est déterminé à maintenir le niveau d’interaction nécessaire à l’atteinte de ses objectifs.

(Source : définition du NIST traduite en français)

Attribution

L’attribution en cybersécurité c’est désigner l’auteur d’une attaque informatique. Il existe plusieurs niveaux d’attribution : technique, juridique, politique.

C’est un exercice, plus ou moins, compliqué qui est mené essentiellement par des acteurs étatiques mais également de plus en plus par des acteurs privés (des sociétés de cybersécurité).

L’attribution technique fait partie du métier de la Threat Intelligence. Il s’agit d’associer des attaques informatiques à un ensemble d’indicateurs techniques et non techniques permettant de caractériser un auteur spécifique : un groupe d’attaquants informatiques.

L’attribution juridique est menée dans le cadre d’une affaire judiciaire. Des services de police enquêtent et la Justice va ensuite pouvoir (trop peu rarement) identifier l’auteur ou les auteurs d’une attaque informatique. Des enquêtes menées au niveau international (Interpol / Europol en collaboration avec des sociétés privées de sécurité informatique) ont permis l’arrestation de nombreux cybercriminels.

Enfin, l’attribution politique est réalisée par un Etat, souvent à l’aide d’éléments fournis par ses services de renseignement pour désigner ouvertement et publiquement les responsables d’une cyberattaque. Il s’agit souvent d’un autre Etat voire de citoyens, fonctionnaires ou militaires travaillant pour cet Etat, identifiés nommément par l’Etat victime. L’objectif est ainsi politique, en désignant publiquement un commanditaire, un gouvernement peut chercher à démontrer ses capacités cyber et à dissuader “diplomatiquement” (ce qui ne fonctionne pas encore très bien) ses adversaires. Ou tout simplement à montrer que l’attribution n’est pas impossible dans le cyberespace et ne garantit pas l’impunité aux auteurs étatiques d’actions de cyberespionnage et surtout de cybersabotages.

Si les Etats-Unis font depuis plusieurs années de l’attribution publique (Corée du Nord, Iran, Russie), la France s’y refuse.

Un article à lire sur ce sujet : https://www.liberation.fr/planete/2018/10/05/l-attribution-des-cyberattaques-un-bras-de-fer-diplomatique_1683201

La règle de “Chatham House”

C’est une règle utilisée pour réglementer la confidentialité des informations échangées lors d’une réunion. Quand une réunion se déroule sous la règle de “Chatham House”, les participants sont libres d’utiliser les informations collectées à cette occasion, mais ils ne doivent révéler ni l’identité, ni l’affiliation des personnes à l’origine de ces informations, de même qu’ils ne doivent pas révéler l’identité des autres participants. (Source : Wikipedia)

IOC

Indicator of Compromise — En français, on parle d’indicateurs de compromissions ou de marqueurs de compromissions. Un IOC est une donnée permettant d’identifier la présence d’une infection. Un IOC peut prendre plusieurs formes :

  • Un hash de fichier (MD5, SHA1, SHA256) ;
  • Une adresse IP, un nom de domaine, une URL ;
  • Une signature basée sur le contenu (Antivirus, IDS, Yara, etc.) ;
  • Un chemin / nom de fichier ;
  • Une clé de registre ;

OSINT

Open Source INTelligence ou renseignement d’origine source ouverte désigne les activités et méthodes de collecte et d’analyse des informations accessibles publiquement et notamment en ligne. Ces sources incluent également les conférences, les journaux, les livres, les magazines scientifiques, la radio, la télévision, etc. (Source : Wikipedia)

STIX

STIX, pour Structured Threat Information Expression, est un langage et format de données permettant de décrire des cybermenaces. STIX permet aux organisations de partager de la Threat Intelligence de manière cohérente et lisible par des machines.

TAXII

TAXII, pour Trusted Automated Exchange of Intelligence Information, est un protocole applicatif qui permet de communiquer des informations sur les cybermenaces de manière simple et évolutive, sous forme d’API. TAXII est spécialement conçu pour faciliter l’échange de Threat Intelligence au format STIX.

TIP (Threat Intelligence Platform)

Une plateforme de Threat Intelligence est une solution logicielle permettant de capitaliser de façon centralisée toutes les informations et renseignements liés à une activité de Threat Intelligence.

Elle permet notamment de réunir des flux d’IOC communautaires et commerciaux et créer des liens entre ces flux techniques et les groupes d’attaquants associés ainsi qu’avec leurs campagnes et leurs modes opératoires (TTPs).

TTP (Tactics, Techniques and Procedures)

Cet acronyme est utilisé pour décrire les modes opératoires des groupes d’attaquants informatiques. Il s’agit d’identifier les outils (malwares ou des logiciels plus communs mais utilisés illégitimement, par exemple), les techniques voire les erreurs commises par des adversaires pour mener leurs cyberattaques. Ces éléments peuvent être très discriminants et peuvent ainsi permettre de caractériser et d’attribuer des campagnes d’attaques à un groupe précis.

La “Purple Team” de SEKOIA alimente nos clients ainsi que nos consultants, notre Blue Team (SOC-as-a-Service & CERT) et notre Red Team (test d’intrusion, simulation d’APT & émulation d’adversaires) en Threat Intelligence : des renseignements pertinents et contextualisés (flux d’IoC, signatures, rapports stratégiques et techniques, etc.) sur les cybermenaces et l’évolution des modes opératoires des attaquants informatiques.

Cyber Threat Intelligence par SEKOIA

L’analyse des cybermenaces par les équipes de SEKOIA

SEKOIA Team

Written by

Pure player français de la cybersécurité depuis 2008 #ThreatIntelligence #CERT (réponse sur incident) #Pentest #RedTeam #Conseil #Formation #MSSP

Cyber Threat Intelligence par SEKOIA

L’analyse des cybermenaces par les équipes de SEKOIA

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade