samedi 5 mars 2016

Cyber Threat Intelligence, Where are we coming from ?



L'analyse de la menace ou Threat Intelligence (TI) s'est progressivement développée depuis une dizaine d’années à mesure que le public prenait conscience de la réalité des atteintes sur les systèmes d'information. Nous avions déjà présenté une série d'articles du magazine MISC traitant de la boucle OODA et de la TI, soulignant ainsi certains travaux de réflexion sur l'évolution des méthodes et outils propres à la cyberdéfense. Nous poursuivons ici la présentation de différents travaux s'appuyant pour certains sur des retours d'expérience récents (voir par exemple l'excellente présentation Six Years of Threat Intelligence: Have We Learned Nothing ?). Mais pourquoi parler de TI ? A-t-on abandonné la SSI ?

C'est poussé par le besoin d'attribution que le marché de la Threat Intelligence se développe. Les entreprises de cybersécurité ont rapidement intégré le fait que sans l'apport de la Threat Intelligence leur crédibilité s'émousserait rapidement. Elles semblent avoir également intégré le fait qu'en dépit des "produits et solutions de sécurité" qu'elles vendent, les attaquent se poursuivent et atteignent leurs objectifs.

Ainsi, pour rompre le cycle sisyphéen, outre les solutions de sécurité, il leur faut maintenant proposer des services supplémentaires capables de répondre aux exigences de leurs clients. Face aux attaques quotidiennes et récurrentes, les strates de direction et les décideurs politiques se retournent maintenant vers le monde de la sécurité informatique et les DSI avec une seule question : "Qui est derrière cette attaque ? Qui me vole mes données ?". Conscient qu'une approche uniquement technique ne permettra pas d'obtenir une protection absolue, la question de la réponse aux attaques est devenue un enjeu stratégique, tant pour les États que pour l'entreprise.


L'analyse de la menace doit donc répondre avant tout au besoin d'attribution, elle est aujourd’hui pensée comme l'aboutissement d'un processus de collecte et d'exploitation puis d'analyse de données à la suite d'un incident de sécurité. Assez naturellement, les responsables de la réponse à incidents (IR) ont cherché à modéliser les attaques et la façon d’améliorer la détection et la limitation d'impact (mitigation). Le monde de la défense a naturellement contribue à cet effort. Une des premières modélisation est ainsi proposée par Lokheed Martin en 2011 et est baptisée Kill Chain. Dans leur article Intelligence-Driven Computer Network Defense Inform by Analysis ofAdversary Campains and Intrusion Kill Chain, les chercheurs présentent les étapes d'une attaque et identifient les moyens de les détecter et d'y répondre. Première approche, la Kill Chain permet d'introduire l'importance de la recherche de renseignement le plus en amont possible afin d’améliorer la détection d'incidents.


Pour autant, de nombreux détracteurs de la Kill Chain insistent sur le fait que certaines étapes de la chaine sont hors de portée d'un défenseur car elles se situent a l’extérieur du périmètre défendu.
Cette vision est en outre une chronologie de l'attaque qui peut largement être discutée. Ainsi, une structure, si elle veut implémenter cette méthode devra nécessairement être alimentée par du renseignement sur l'adversaire collecté par d'autres.

En 2013 dans une étude de l'Intelligence and national security alliance, intitulée Operational Levels of Cyber Intelligence, une déclinaison de la KillChain est proposée, en identifiant pour chaque phase de la planification et de la conduite d'une opération offensive, les contre-mesures à déployer et l'effort renseignement a consentir.





Il est intéressant de constater l’omniprésence de la notion d'OSINT (Open Source INTelligence) dans les phases de détection de la menace. Cette évolution conserve l'approche chronologique engagée par la Kill Chain.

Une autre approche, plus agressive et moins linéaire, propose de présenter les différents niveaux sur lesquels un système de défense peut interagir avec l'attaquant en évaluant le niveau de nuisance résultant. La démarche est issue d'un retour d’expérience de la société FireEye et vise à caractériser les indicateurs renseignement collectés afin de déterminer ceux qui présentent le plus de valeurs (Voir Figure 4). La valeur d'un "indicateur" étant entendue comme son niveau de nuisance sur l'attaquant. Cette approche baptisée The Pyramid of Pain est donc un indicateur de qualité du renseignement qu'une structure collecte sur une menace considérée.





Parallèlement cette visualisation permet de décrire la difficulté relative pour obtenir le renseignement. Elle nous offre une "priorisation" pour la recherche sans toutefois expliciter les moyens de la conduire.

Les approches de modélisation que nous avons rapidement présenté reposent toutes et quasi exclusivement sur la capacité d'une structure a collecter des informations pertinentes (indicators) avant de les faire analyser par des équipes dédiées et très spécialisées. Or, pour collecter sur un réseau des indicateurs pertinents, les personnes en charge des opérations doivent disposer d'une excellente capacité de détection. Ainsi, si le concept de Cyber Threat Intel peut sembler novateur et très "tendance", sa réalité repose encore bel et bien sur des bases techniques solides, tant en matière de SSI que de recherche active de menaces dans son périmètre (hunting).



Aucun commentaire:

Enregistrer un commentaire