Il existe presque autant de définitions de la Threat Intelligence que d’acteurs de la sécurité. Pour moi, la Threat Intelligence est la capacité à identifier sur son infrastructure les indices de compromission auxquels l’entreprise doit faire face. Pour cela, il faut analyser les logs de l’infrastructure afin d’identifier les signaux faibles qui permettront de remonter jusqu’à une attaque potentielle.
Dans un environnement de Big data, la gestion de l’information et des événements de sécurité par un SIEM permet de détecter les activités anormales. Disposer de logs pour la corrélation et la recherche est à l’évidence essentiel pour toute organisation. Les logs fournissent des informations sur ce qui se passe dans le réseau proche ou étendu, sur les postes de travail, les serveurs et dans les applications. Fraudes, attaques externes et erreurs peuvent être découvertes grâce à l’analyse des événements générés dans le réseau et aux traces qu’ils laissent.
Trafics légitimes et cyber-leurres à distinguer
Le tri des informations recueillies est indispensable ; on peut dire qu’il s’agit de trouver une aiguille dans une meule de foin. Cela suppose, et c’est indispensable, une analyse contextuelle des données recueillies. Quels journaux sont importants ? Comment déterminer si ce qui semble fonctionner sans problème est en fait une activité malveillante ou l’indication d’un piratage en cours ? Une attaque est en effet souvent polymorphe, avec des actions à plusieurs niveaux ou avec l’usage de leurres.
Pour montrer l’utilité des renseignements sur les menaces, nous allons prendre un exemple. Un groupe de hackers utilise un nouveau procédé pour attaquer le système de passerelle de messagerie le plus répandu au monde. Ce type d’attaque n’a jamais été utilisé ; aucune prévention face à cette situation n’est encore en place : antivirus, pare-feu, IDS sont aveugles et ne reconnaissent pas l’attaque. Dans notre exemple, les pirates attaquent plusieurs cibles. Ces attaques sont captées, analysées et leur méthodologie identifiée. Cette méthodologie est alors décrite dans un langage commun et distribuée. Cette description peut être téléchargée automatiquement et utilisée pour détecter les moindres signaux faibles de l’attaque, quand elle survient. Grâce à la Threat Intelligence, les attaques sont ainsi captées, décrites et partagées entre les organisations. Toujours en prenant en compte le contexte, essentiel pour appréhender l’évolution des attaques au jour le jour.
LogPoint, par exemple, permet de souscrire à plus de 100 sources de renseignements sur les menaces en s’appuyant sur Critical Stack or Emerging Threat, entre autres. Toutes sont harmonisées en une seul langage. A partir de là, les analystes peuvent automatiser l’interrogation des événements, en les passant au crible de centaines de milliers d’indicateurs de compromission pour évaluer les données en fonction des attaques connues.
Recueil et partage d’indices sur l’attaque
L’efficacité de la protection des infrastructures de l’entreprise passe nécessairement par la connaissance des caractéristiques techniques d’une menace pour l’identifier, recueillir les informations sur la méthodologie de l’attaquant ou toute autre preuve de compromission. Le partage de ces renseignements se fait à la vitesse machine, quasiment en temps réel.
Obtenir par l’analyse les renseignements utiles qui permettront de contrer les diverses menaces est un défi toujours plus complexe, compte tenu de l’évolution permanente du risque et des méthodes d’attaque. Dès lors, la Threat Intelligence est une face de la cyber-sécurité qu’aucune personne en charge du réseau ne peut plus ignorer ou laisser de côté. Son rôle dans la défense du réseau est désormais prouvé et les informations recueillies sur les menaces ont une valeur incontournable pour les entreprises. Elles fournissent en effet aux décideurs les éléments fiables d’aide à la décision sur les avantages et les conséquences des choix qu’ils doivent opérer.