Threat intelligence, l’espoir d’un choc de simplification

0

Où commence la cybersécurité ? Où finit-elle ? C’est une vaste question à laquelle il n’est pas toujours évident de répondre, quand on se plonge au cœur des systèmes d’information des organisations. Constellation d’équipements IT, d’équipements participant indirectement à la protection des données comme le filtrage, et d’équipements propres de sécurité, les systèmes se sont modelés au gré du temps. De la même façon que les organisations qui grossissent et qui malgré elles génèrent des silos, la cybersécurité est elle-même fragmentée.

Côté technologies, l’effet malheureux est que tous ces équipements ne sont pas forcément interopérables. Côté ressources humaines, c’est la communication qui en pâtit affaiblissant du même coup les tentatives de stratégie globale et de partage d’informations, pourtant si précieux dans nos métiers. C’est un constat dont les organisations sont bien conscientes. À ce titre, la Threat intelligence pourrait bien être un levier à leur service, pour un choc de simplification et d’horizontalité.

La défense en profondeur : Seul bouc-émissaire ?

Il serait particulièrement présomptueux de jeter l’opprobre sur la seule défense en profondeur. Rappelons s‘il en est besoin, que ce concept consiste à mettre en œuvre plusieurs couches de sécurité capables de prendre le relais, en cas d’échec de la détection d’une attaque par une couche précédente. Cela signifie que chaque couche est un niveau de sécurité indépendant. Cela s’est traduit par un empilement de technologies disparates ayant chacune leur propre intelligence et travaillant dans leur propre silo.

Mais ce n’est pour autant pas d’un concept que découle cet empilement et ce, dans l’absence de centralisation des flux d’informations. Ce serait trop long ici de la décrire dans le détail mais certaines études de recherche et des expérimentations à l’instar d’une étude dédiée de la Carnegie-Mellon University de Pittsburgh montre bien l’absence de causalité entre des technologies différentes et le choix de ne pas les mettre en synergie.

Le rapport d’enquête annuel sur les compromissions de données de Verizon (DBIR) en 2015 aboutissait à une conclusion similaire en notant qu’il « était nécessaire que les entreprises puissent appliquer leur intelligence sur la menace à leur environnement de manière efficace ».

La mode se démode, le style jamais

Si l’on devait être un peu provocant, on pourrait se demander si la cybersécurité ne subit pas les affres du marketing. En effet, alors que la supervision de la sécurité s’est imposée comme une nécessité dans de nombreuses organisations, un certain nombre d’autres task forces ont fait leur apparition. À l’instar des centres de supervision de la sécurité (SOC) de différents niveaux, des équipes réseau, des équipes de réponses à incident, parfois même des services dédiés aux malwares ont émergé. Ne nous y trompons pas, cette tendance est réellement positive et va dans le sens de l’histoire. Elles constituent en effet une chance pour manager la sécurité des SI, mais pour autant qu’elles soient coordonnées, bien dimensionnées, et qu’elles puissent se parler.

un « état » de cyber sécurité c’est 20% de technique 80% d’humain

S’il est de notoriété publique qu’un « état » de cyber sécurité c’est 20% de technique 80% d’humain, on oublie bien souvent que « l’opération » de cyber sécurité, c’est 20% d’équipements bien conçus, 80% de bons experts en sécurité en capacité de choisir, de piloter, de paramétrer, d’analyser et de contrôler ces mêmes équipements.

Il est donc essentiel et central que ces équipes travaillent ensemble, échangent de l’information et du renseignement et soient chapeautées par une instance centralisatrice et coordonnatrice.

L’intelligence du bon sens

Tous les ingrédients existent donc bel et bien. Il reste donc à remettre du liant entre toutes les couches de sécurité et entre tous les services de sécurité et ainsi, remédier à la tendance naturelle de la discipline à une certaine autarcie. Et pour se faire, il serait peut-être opportun de miser sur l’opportunité d’ouverture extérieure intrinsèque qu’offre le développement de la Threat intelligence. En effet, basée sur le cycle de renseignement, au sens académique du terme, à savoir sur la collecte et l’organisation des informations, cette discipline permet d’intégrer tous les produits de sécurité mis en place dans une stratégie de défense en profondeur et d’en réduire la fragmentation.

Selon la définition de Gartner, la threat intelligence est « la connaissance fondée sur des preuves, y compris le contexte, les mécanismes, les indicateurs, les implications et des conseils concrets, concernant une menace nouvelle ou existante ou un risque pour les actifs d’une organisation qui peuvent être utilisés afin d’éclairer les décisions concernant la réponse du sujet à cette menace ou un danger. De la même façon que la Threat Intelligence répond à la fragmentation sur son domaine, c’est toute la philosophie de la cyber sécurité qui pourrait en bénéficier.

Pour obtenir un maximum d’informations contextuelles sur la menace et les utiliser dans le cadre d’une stratégie de gestion de la menace, les entreprises utilisent généralement des flux de données multiples et de formats différents : sources commerciales, open-source, données mises à disposition par d’autres acteurs de leur industrie ou encore par des observatoires. Faute de connaissances et d’outils adaptés, il est impossible alors de filtrer automatiquement ces montagnes de données globales et disparates, de les agréger afin de les analyser ou de lancer des actions d’analyse et de réaction sur des attaques. Ces données restent donc fragmentées et sans contexte, elles ne sont que du bruit ambiant.

Les plateformes de threat intelligence (TIP) proposent donc aujourd’hui d’agréger ces données externes, puis d’opérationnaliser et de mettre en application cette intelligence. Une fois recueillies et centralisées, les données globales (structurées et non-structurées) doivent être traduites dans un format uniforme, puis être enrichies par des données sur les menaces et événements internes. En corrélant les événements et les indicateurs de compromission issus de son environnement propre, avec des données externes sur les indicateurs, les adversaires et leurs méthodes, s’obtient un contexte favorable pour comprendre ce qui est pertinent et hautement prioritaire pour son entreprise.

À ce stade, il devient alors possible d’utiliser ces données qualifiées, d’exporter et de distribuer automatiquement cette intelligence vers toutes les couches de défense en profondeur et ainsi améliorer la sécurité de l’entreprise et son exposition aux failles. Cette logique ne peut évidemment s’appliquer que si les équipes en place, toutes les équipes, sont conduites et invitées à travailler ensemble, pour non seulement mieux décider mais pour être beaucoup plus efficientes. C’est une évidence conceptuelle bien qu’une réalité terrain.

L’obligation de travailler ensemble ne se décrète pas. Elle se manage et se travaille. Tout d’abord, cela tient en effet d’une vision commune appliquée à toutes les équipes. C’est en mettant en place un référentiel unique et centralisé dans lequel est mis à disposition l’intelligence et le contexte sur la menace que cela débute. Ce référentiel permet de favoriser la collaboration de façon presque transparente. Les équipes peuvent ensuite ajouter des commentaires et stocker des données pendant des années, le référentiel peut ainsi devenir le fil rouge du processus de renseignement. Au fur et à mesure que les différentes équipes utilisent et mettent à jour ce référentiel, le partage instantané d’informations entre les autres équipes est favorisé et entraîne des décisions plus rapides et avisées.

Pour aller plus loin, intégrer ce référentiel à d’autres systèmes existants – y compris, mais sans s’y limiter – le SIEM, les journaux de logs, les systèmes de ticketing, les plateformes de réponse aux incidents, les outils d’orchestration et d’automatisation – pourrait permettre aux équipes d’utiliser les outils et les interfaces de confiance qu’elles connaissent déjà tout en bénéficiant et disposant toujours des sources de threat intelligence (ex : l’équipe de réponse aux incidents utilise des outils d’investigation numérique et de gestion de cas ; l’équipe malware utilise des sandbox ; le SOC utilise le SIEM ; l’équipe du réseau utilise des outils de surveillance du réseau et des pare-feu, etc.).

En tirant parti d’une sorte de Knowledge management de la menace, grâce à ce référentiel que les équipes ont elles-mêmes nourri et mis à jour collectivement, tout cette énergie fonctionne. À partir d’une seule source d’intelligence, il est possible de réduire ainsi la fragmentation et la complexité afin d’accélérer la détection et la réponse, d’agir vite et bien. Cette contribution d’enrichissement mutuel est certainement duplicable à toute démarche sécuritaire en entreprise.

About Author

Cyrille Badeau

Directeur Europe du Sud de ThreatQuotient

Leave A Reply