Hacktu Magazine Le magazine de la cybersécurité
Aux origines de la cyberintelligence
Le terme cyber intelligence est dérivé du concept anglosaxon de cyberthreat intelligence, qui a été vulgarisé et est devenu populaire au cours de la dernière décennie dans les communautés de cybersécurité. Cette dynamique a eu pour effet d’accroitre le nombre de publications sur les groupes de hackers qualifiés de menaces persistantes avancées ou Advanced Persistent Threat, et leurs faits d’armes. Des organisations spécialisées dans la cybersécurité tel que le projet MITRE ATT&CK maintiennent des bases de données de groupes APT, ainsi que leurs techniques, tactiques et procédures les plus singulières.
Les attaques de ces groupes sont si complexes et particulièrement bien coordonnées, qu’on estime qu’il s’agit de collectifs de hackers chevronnés qui disposent de moyens techniques et dans certains cas du soutien d’Etats/nations. En effet, la réalisation de leurs attaques implique à minima de disposer d’informations sur l’infrastructure informatique de l’entreprise attaquée et les logiciels et outils de protection utilisés, ainsi que développer ou acheter des exploits « fonctionnels » pour les vulnérabilités qu’ils envisagent d’exploiter lors de l’attaque. De plus, les serveurs Command & Control pirates (C&C ou C2) qui reçoivent des informations des ordinateurs infectés et contrôlés à distance par les attaquants doivent être préconfigurés, et des modèles d’e-mails de phishing doivent être développés, à partir desquels, en règle générale, de telles attaques commencent. Il s’agit de grosses infrastructures qui sont déployées et une coordination souvent internationale, avec des acteurs de la chaine impliqués dans des actions non techniques, comme dans les cas de victimes de phishing très ciblés (spear phishing).
L’analyse de la complexité des infrastructures et des moyens déployés indique clairement qu’il s’agit de ressources pérennes qui sont utilisées de manière répétées pour maximiser les bénéfices des entreprises cybercriminelles en limitant les investissements. Bien sûr les enjeux peuvent être diverses, allant de des motivations financières, à l’espionnage à grande échelle, jusqu’à la géopolitique ou au hacktivisme.
L’analyse approfondie à long terme des activités cybercriminelles de divers groupes a permis de former un ensemble d’attributs, c’est-à-dire des signes d’attaques caractéristiques des groupes APT, qui forment une sorte de signature de ces groupes de cybercriminels spécifiques. Chaque groupe APT est plus ou moins identifiable par les techniques de piratage utilisées et les profils de victimes qui font son identité.
Dans la majorité des cas, les groupes APT ne s’attardent pas sur des cibles ne représentant d’enjeux à la hauteur des efforts et des investissements consentis pour la mise en œuvre des infrastructures et le temps de réalisation d’attaques complexes et minutieuses. Les groupes les plus connus, sont principalement motivés par le gain financier en volant des informations commerciales sensibles qui peuvent être monétisées soit auprès des propriétaires eux-mêmes par du chantage ou auprès de concurrents ou toute autre « clients mieux offrants ». D’autres groupes APT très connus mais dont on sais moins, sont ceux supposés sponsorisés par des États ; ils représentent la plus grande une menace car disposant de moyens colossaux. Cependant, leurs actions sont très souvent à des enjeux politiques ou stratégiques et se manifestent par de l’espionnage économique, la manipulation des d’opinion et des décisions à grande échelle (élection, referendum, etc.).
De la cyberintelligence au renseignement sur les menaces
Connaitre les acteurs menaçants est la clé d’une réponse anticipative basée sur la maitrise des risques. Pour réussir à prévenir les attaques massives et dévastatrices de ces groupes, il est nécessaire d’étudier et maitriser le comportement des groupes APT et en analysant les indicateurs de compromission (IOC). De plus en plus de méthodes et d’outils sont développés par l’industrie de la cybersécurité pour établir des correspondances et des croisements entre les indicateurs de compromission et les relier aux signatures de groupes APT. Il s’agit entre autres de l’analyse d’échantillons de logiciels malveillants (recherche de modèles caractéristiques dans le code des virus ou utilisation d’exploits typiques), analyse des infrastructures et des relations des serveurs C2 (adressage IP, données des certificats SSL , hébergeurs et fournisseurs de cloud utilisés) , évaluation des profils des entreprises attaquées (secteur de l’économie, logiciels et systèmes utilisés, propriétaires/actionnaires communs) et modalités de retrait des fonds volés (achat en crypto-monnaie, retrait sur les comptes entreprises, transfert d’argent volé sur des cartes bancaires de particuliers, etc.) .
Par ailleurs, les analystes de la sécurité de l’information ont commencé à surveiller de grands forums et sites Internet suspicieux, car certains cybercriminels communiquent activement sur des ressources Darknet fermées, où ils recherchent des complices et des partenaires dans des affaires illégales, achètent et vendent des données volées, des logiciels malveillants et des exploits, et louent des virus. Une nouvelle approche très audacieuse est l’appel au recrutement de partenaires de crimes sur des plateformes ouvertes et accessibles au grand public, en proposant aux employés internes de gagner de l’argent en fournissant les accès aux système de leurs employeurs contre rémunération. De nombreux aspects de cette surveillance et de cette analyse, y compris les aspects techniques, infrastructurels, économiques et même psychologiques de l’espionnage des groupes APT, ont commencé à former les composants d’un champs nouveau en matière de cybersécurité – le cyber renseignement (renseignement sur les menaces).
D’un point de vue technique, un analyste en cybersécurité qui effectue son entrée dans le domaine de la cyber-intelligence devra initialement s’intéresser aux sources de données de cyber-intelligence, telles que les « Threat Intelligence Feeds » ou flux de renseignement sur les menaces. Les éléments tels que les hachages de fichiers malveillants, les URL de phishing, les adresses IP et les noms de domaine de serveurs C2, les noms de fichiers, etc., sont des informations importantes qui peuvent guider l’analyste dans sa quête de compréhension des menaces les plus avancées.
Il est également important de comprendre le contexte des indicateurs de compromission reçus, par exemple : quel groupe APT utilise actuellement un fichier malveillant avec un hachage reçu via le flux TI, si notre entreprise est la cible de ce groupe APT, et si oui, avec quelles tactiques, techniques et procédures (Tactiques, Techniques et Procédures, TTP) ce groupe APT attaque habituellement ses victimes, quelle méthode d’attaque ce groupe a choisi pour mener à bien sa nouvelle campagne malveillante (par exemple, hameçonnage ciblé, exploitation d’une nouvelle vulnérabilité dans le serveur Web que nous avons installé, attaque par force brute des mots de passe à partir d’une nouvelle fuite) – toutes ces données nous aideront à nous préparer à une éventuelle attaque et à mettre en œuvre correctement la procédure de réponse à un cyberincident.
Des outils techniques d’automatisation de l’analyse/réponse
Certains outils offrent la possibilité de mener une retro analyse, lorsque les nouvelles informations sur les menaces sont intégrées et comparées aux artefacts précédemment accumulés par les analystes de sécurité. Cette mise en cohérence permet de produire du renseignement et tirer des conclusion sur la probabilité d’une éventuelle cyberattaque à venir.
Les solutions IRP/SOAR sont de puissants allier pour apporter une réponse correcte à un cyber incident. Elles nécessitent d’intégrer des outils de réception et de traitement des flux de threat intelligence, par exemple en utilisant une solution Threat Intelligence Platform. De telles solutions permettent d’agréger des données de cyberintelligence disparates, de les rassembler dans un format unique pour en faciliter l’utilisation, de les enrichir d’un contexte pertinent et d’identifier directement les signes de piratage de l’infrastructure de l’entreprise en comparant les données reçues de l’installation de sécurité de l’information avec des indicateurs de compromission.
Quels bénéfices concrets pour l’entreprise ?
Du point de vue des bénéfices commerciaux apportés par les systèmes de cyber intelligence, plusieurs niveaux de Threat Intelligence peuvent classiquement être distingués. Tout d’abord, du point de vue opérationnel, le traitement technique des indicateurs de compromission, à savoir l’enrichissement, l’agrégation, la normalisation et le chargement dans les systèmes et moyens de protection est effectuée de manière beaucoup plus efficace et rapide. Cela permet aux analystes du SOC d’optimiser les processus de réponse aux cyber incidents, améliorant ainsi le MTTD (Mean Time to Detect) qui est le temps moyen de détection des cyberincidents ou des cybermenaces et le MTTR (Mean Time to Respond), temps de réponse moyen à un cyberincident ou une cybermenace, ce qui a pour effet de réduire les dommages résultant d’une cyberattaques réussie. Ensuite, au niveau tactique, les TTP (les tactiques, techniques et procédures) des attaquants sont analysées, ce qui aide le responsable de la sécurité de l’information à construire un système de gestion de la cybersécurité moderne et économiquement solide, en tenant compte des menaces et des capacités actuelles des attaquants avancés. Enfin, au niveau stratégique, la direction de l’entreprise a la possibilité de prendre des décisions de gestion fondées sur les risques en se basant sur les données et informations fiables sur les modèles d’attaques et les capacités des groupes APT.
Bien sûr, les outils de cyber-renseignement ne sont pas une « solution miracle » contre toutes les menaces, et on ne peut pas surestimer les capacités d’un seul de leurs aspects dans la construction d’un système de gestion de la sécurité de l’information. Ils doivent être intégrés dans le cadre d’une stratégie globale de sécurité de l’information qui tient compte du contexte de l’organisation avec un grande agilité et résilience.
