Évaluation des sources de renseignements sur les menaces

22 Mai 2019

Avec une surface d’attaque en expansion et des menaces de plus en plus sophistiquées, il n’est plus suffisant de réagir à un incident. Les environnements sont de plus en plus complexes et fournissent de nombreuses opportunités aux cybercriminels. Chaque secteur et chaque entreprise a des données à protéger, et utilise un ensemble d’applications, de technologies, et autres qui lui sont propres. Toutes ces différences introduisent un nombre considérable de variables en termes de méthodes pouvant être utilisées pour réaliser une attaque, avec de nouvelles méthodes qui apparaissent tous les jours.

Au cours de ces dernières années, nous avons observé un estompement des frontières entre les types de menaces et les types d’acteurs de menaces. Les méthodes et outils qui ne menaçaient qu’un nombre limité d’entreprises se sont propagés à un marché plus vaste. Un bon exemple est le dumping de code par le groupe Shadow Brokers, qui a mis des exploits avancés à disposition de groupes criminels qui n’auraient jamais pu avoir accès à ces codes si sophistiqués sans leur aide. Un autre exemple est l’émergence de campagnes de menaces persistantes avancées (APT) qui ne se concentrent pas sur le cyber-espionnage mais sur le vol, afin de dérober des fonds et financer d’autres activités du groupe APT. La liste est longue.

Une nouvelle approche est nécessaire

Alors que de plus en plus d’entreprises sont victimes d’attaques avancées et ciblées, il est évident qu’il faut adopter de nouvelles méthodes pour avoir une défense efficace. Pour se protéger, les entreprises doivent adopter une approche proactive, et adapter constamment leurs contrôles de sécurité à cet environnement de menaces qui est en constante évolution. Ce n’est qu’en établissant un programme efficace de renseignements sur les menaces que nous pourrons suivre le rythme de ces changements.

Les renseignements sur les menaces sont d’ores et déjà un composant clé en matière d’opérations de sécurité établies par les entreprises de différentes tailles, de tous les secteurs, et de n’importe quel pays. L’Homme et les machines peuvent lire ces informations puisque ces renseignements sur les menaces peuvent aider les équipes de sécurité en fournissant d’importantes données tout au long du cycle de gestion de l’incident et en partageant des décisions stratégiques.

Cependant, la demande croissante de renseignements externes sur les menaces a donné lieu à l’abondance de fournisseurs de renseignements sur les menaces, chacun offrant une gamme de services différents. Votre entreprise peut être extrêmement confuse et particulièrement frustrée lorsqu’elle doit choisir la bonne solution, à cause de l’étendue de ce vaste marché compétitif qui propose une multitude d’options complexes.

Opérations de sécurité qui reposent sur les renseignements sur les menaces

Si les renseignements sur les menaces ne sont pas adaptés aux besoins de votre entreprise alors ils peuvent aggraver la situation. De nos jours, les analystes de sécurité de nombreuses entreprises passent plus de la moitié de leur temps à s’occuper de faux positifs qu’à chasser et répondre aux menaces de façon proactive, ce qui entraîne une hausse significative des temps de détection. Fournir des renseignements inexacts ou non pertinents à vos opérations de sécurité va faire augmenter d’autant plus le nombre de fausses alertes, et aura un sérieux impact négatif sur vos capacités de réponse, et sur la sécurité de votre entreprise en général.

Les meilleurs renseignements se trouvent…

Comment évaluer les différentes sources de renseignements sur les menaces ? Comment identifier celles qui sont les plus pertinentes pour votre entreprise et les rendre fonctionnelles de façon efficace ? Comment faire le bon choix parmi cette quantité énorme de campagnes marketing inutiles où chaque vendeur dit avoir le meilleur système ?

Ces questions, même si elles sont parfaitement valides, ne sont pas celles que vous devriez vous poser au début. Attirées par les messages tape-à-l’œil et les grandes promesses, de nombreuses entreprises pensent qu’un vendeur externe peut leur fournir une espèce de superpouvoir avec une vision à rayons X, et ignorent complètement le fait que les renseignements les plus précieux se trouvent au sein du réseau de leur entreprise.

Les données relatives aux systèmes de détection d’intrusion et de prévention, aux pares-feux, aux registres d’applications, et aux registres d’autres contrôles de sécurité peuvent révéler beaucoup de choses sur ce qu’il se passe au sein du réseau de l’entreprise. Ces actions permettent d’identifier les modèles d’activités malveillantes propres à l’entreprise, et peuvent faire la différence entre un utilisateur normal et un comportement en réseau, aider à maintenir un suivi de l’activités des données d’accès, identifier une éventuelle faille de données qui doit être corrigée, et bien d’autres choses. Cette visibilité permet aux entreprises de rendre les renseignements externes sur les menaces opérationnels, en les rattachant à ce qui a été observé en interne. D’autre part, il pourrait être difficile d’utiliser les sources externes. Certains vendeurs peuvent avoir une visibilité plus élargie des cybermenaces grâce à leur présence mondiale, et leur capacité à recueillir, traiter et mettre en corrélation les données communiquées depuis divers endroits dans le monde. Ces actions ne sont utiles que lorsque le contexte interne est suffisant.

Rendre fonctionnels les renseignements externes sur les menaces

 

Pensez comme un cybercriminel

Pour concevoir un programme efficace de renseignements sur les menaces, les entreprises, y compris celles qui ont des centres de gestion de sécurité établis, doivent penser comme un cybercriminel ; elles doivent identifier et protéger les cibles les plus probables. Pour tirer une valeur réelle de ce programme de renseignements sur les menaces, les entreprises doivent comprendre clairement quels sont les actifs clés, et quels sont les ensembles de données et les processus d’entreprises essentiels pour que l’entreprise puisse atteindre les objectifs fixés. L’identification de ces « joyaux » permet aux entreprises de mettre en place des points de collecte de données afin de cadrer davantage les données recueillies avec les informations sur les menaces disponibles en externe. Si nous prenons en compte les ressources limitées que les services de sécurité de l’information ont généralement à leur disposition, décrire une entreprise dans sa totalité représente un travail colossal. La solution consiste à adopter une approche basée sur le risque, et à se concentrer d’abord sur les cibles les plus susceptibles.

Une fois que les sources internes de renseignements sur les menaces sont établies et fonctionnelles, l’entreprise peut alors penser à ajouter des informations externes à ces flux de travail existants.

Une question de confiance

Les sources externes de renseignements sur les menaces varient suivant le niveau de confiance :

  • Les open sources sont gratuites mais elles manquent souvent de contexte et engendrent un nombre conséquent de faux positifs.
  • Pour bien commencer, il y a l’accès aux communautés de partage des renseignements spécifiques à un secteur, comme le Financial Services Information Sharing and Analysis Center (FS-ISAC). Ces communautés fournissent des informations extrêmement précieuses, même si elles sont souvent sécurisées ; il faut être membre titulaire pour pouvoir y accéder.
  • Les sources commerciales de renseignements sur les menaces sont beaucoup plus fiables, même si le paiement à réaliser pour y avoir accès peut être conséquent.

La qualité devrait primer sur la quantité lorsqu’il s’agit de choisir des sources externes de renseignements sur les menaces. Certaines entreprises pensent peut-être que plus elles peuvent intégrer des sources de renseignements sur les menaces, plus elles seront visibles. Cela peut être vrai dans certains cas, par exemple lorsqu’il s’agit de sources de confiance, y compris les commerciales, qui fournissent des renseignements, adaptés au profil de risque de l’entreprise, sur les menaces. Si ce n’est pas le cas, cette action représente un risque important puisque les opérations de sécurité de votre entreprise pourraient être submergées par des informations non pertinentes.

La superposition des informations que les vendeurs spécialisés en renseignements sur les menaces fournissent peut être minime. Comme ils ont des sources et des méthodes de collecte de renseignements différentes, les connaissances apportées sont parfois uniques. Par exemple, un vendeur avec une présence importante dans une région en particulier va fournir plus de détails sur les menaces qui touchent cet endroit, alors que d’autres proposent plus de renseignements sur certaines menaces spécifiques. L’accès à ces deux sources peut avoir certains avantages : si elles sont associées, elles peuvent révéler un contexte plus large et mener des missions de chasse de menaces et de réponse aux incidents de façon plus efficace. N’oubliez pas toutefois que ces sources de confiance requièrent également une évaluation minutieuse à faire au préalable, afin de garantir que les renseignements fournis répondent aux besoins de votre entreprise, et utilisent des cas comme les opérations de sécurité, la réponse aux incidents, la gestion du risque, la gestion des vulnérabilités, le red teaming, et bien d’autres.

Problèmes à prendre en compte lorsque vous évaluez les offres commerciales de renseignements sur les menaces

Il n’existe pas encore de critères communs permettant d’évaluer les diverses offres commerciales de renseignements sur les menaces, mais voici quelques éléments à prendre en compte :

  • Recherchez des renseignements à l’échelle mondiale. Les attaques n’ont pas de frontière. Une attaque qui prend pour cible une entreprise en Amérique latine peut être lancée depuis l’Europe, et vice versa. Est-ce que le vendeur internationalise les informations et rassemblent des activités apparemment sans rapport au sein de campagnes cohérentes ? Ce genre de renseignements vous permettent de mener les actions appropriées.
  • Si vous souhaitez avoir des contenus plus stratégiques pour mettre en place une planification à long-terme de votre sécurité, cherchez :
    • Une vue d’ensemble des tendances d’attaque
    • Les techniques et méthodes utilisées par les cybercriminels,
    • Les motivations,
    • Les attributions, etc.
  • Recherchez ensuite un fournisseur de renseignements sur les menaces qui a fait ses preuves après avoir continuellement découvert et analysé des menaces complexes dans votre région ou dans votre secteur. Un autre aspect particulièrement important est la capacité de ce fournisseur à adapter son potentiel de recherche aux particularités de votre entreprise.
  • Les données deviennent des informations pertinentes grâce au contexte. Les indicateurs de menace n’ont aucune valeur sans contexte. Vous devriez rechercher des fournisseurs qui vous aident à répondre à une des questions clés : pourquoi est-ce important ? Le contexte de relation (domaines associés à l’adresse IP détectée, ou URL à partir de laquelle le fichier a été téléchargé) apporte une valeur additionnelle, stimule l’analyse des incidents, et apporte un meilleur soutien de l’analyse de l’incident en découvrant tous les indicateurs de compromission du réseau ayant un lien et récemment acquis.
  • Nous partons du principe que votre entreprise a déjà mis en place des contrôles de sécurité, a défini les processus associés, et que vous considérez qu’il est important d’utiliser des renseignements sur les menaces grâce à des outils que vous utilisez et connaissez. Cherchez des méthodes de prestation, et d’intégration de mécanismes et de formats qui soutiennent l’association harmonieuse des renseignements sur les menaces au sein de vos opérations de sécurité existantes.

Kaspersky Lab se concentre sur la recherche de menaces depuis plus de deux décennies. Grâce aux pétaoctets de riches données sur les menaces à analyser, aux technologies avancées d’apprentissage automatique, et à un groupe unique d’experts internationaux, nous travaillons pour vous apporter les tous derniers renseignements sur les menaces dans le monde, afin de vous aider à vous protéger de toutes les attaques informatiques, y compris de celles jamais vues auparavant. Veuillez consulter note page Internet Kaspersky for Security Operations Center pour obtenir plus de renseignements.