Même si elles ne le réalisent pas toujours, la plupart des entreprises disposent de bien plus de renseignements sur les menaces qu’elles ne peuvent en exploiter efficacement, que ces informations soient issues de sources commerciales, gouvernementales, open source, ou encore qu’elles proviennent de groupes sectoriels de partage d’information ou de fournisseurs de sécurité.

Ensevelies ainsi sous des millions d’informations sur les menaces, il peut sembler impossible d’en tirer le meilleur parti. Mais avec un peu de méthode, il est en réalité possible non seulement de donner du sens à toutes ces données, mais en prime de s’assurer qu’elles soient immédiatement actionnables.

Voici cinq conseils pour maximiser dès aujourd’hui les bénéfices d’un programme de renseignement sur les menaces :

1/Il faut commencer par une bonne base : sélectionner des sources de renseignement adaptées au contexte, à l’activité et à la maturité de l’entreprise.

Mais si s’appuyer sur une combinaison équilibrée de sources est évidemment un bon début, il est aussi important de s’assurer d’un panachage entre les différents niveaux de contenu — stratégique, opérationnel et tactique.
En prime, en mesurant par qui, comment et quand sont consommées ces informations de sources et de type variés, il sera possible d’établir des indicateurs clés de performance (KPI) pour mesurer la pertinence de chaque source, et l’évolution de la maturité du programme de renseignement sur les menaces.

Évidemment, le renseignement de source ouverte (OSINT) étant gratuit et facile d’accès, la plupart des organisations l’utilisent largement, et souvent comme première source historique. Mais les organisations doivent également tenir compte de la confiance et de la fiabilité des informations qui y sont diffusées. Dans une hiérarchie classique, le niveau de confiance le plus élevé provient des renseignements générés en interne ou reçus du premier cercle : le réseau proche et les pairs. À l’opposé, les informations OSINT sont placées au niveau le plus bas.

Afin de mieux modéliser cette graduation de la confiance, il est possible d’utiliser le système d’évaluation de l’OTAN, qui classe les informations de A à F pour la fiabilité de la source et de 1 à 6 pour la crédibilité de l’information elle-même. Cela sera particulièrement utile pour évaluer de nouvelles sources qui font surface en période de crise ou d’épidémie. L’application de cette échelle aux renseignements sur les menaces aide à déterminer ce qu’il faut faire avec les données recueillies et contribue à réduire les faux positifs et le bruit généré par des informations non validées et non confirmées.

2/ Déterminer qui aura accès aux données.

Ouvrir toutes les sources de renseignements sur les menaces à quiconque au sein de l’entreprise qui pourrait en avoir besoin n’est pas optimal. Mieux vaut avoir une équipe responsable de l’acquisition et de l’analyse des rapports, et de ne fournir que des informations immédiatement utilisables par les « clients » internes, qui pourront alors les exploiter dans leur propre contexte métier. Toutes les parties prenantes n’ont pas besoin de tous les niveaux de renseignement.

En prenant comme exemple le rapport sur le ransomware Ryuk, publié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), on peut par exemple essayer de déterminer comment ce même rapport aura un impact différent s’il est utilisé par des équipes différentes. Chacune est en effet susceptible d’exploiter différents aspects du même rapport de différentes manières pour atteindre les résultats souhaités. On peut imaginer par exemple qu’un groupe souhaite modifier la politique de sécurité globale de l’entreprise (niveau stratégique), un autre décide de lancer des campagnes de chasse (niveau opérationnel) ou un autre encore de diffuser des indicateurs techniques (niveau tactique). Un rapport sur les menaces qui est au format PDF nécessite beaucoup de travail pour traduire les informations qu’il contient en données exploitables pour différents groupes d’utilisateurs, d’où l’importance de confier cette mission à une équipe spécialisée.

3/ Structurer les données pour l’analyse.

Les trois étapes essentielles dans l’analyse d’un rapport de renseignement sur la menace sont : la compréhension du contexte du rapport, l’évaluation de sa pertinence et son association avec tout rapport, renseignement ou incident antérieur. Ce processus permet de contextualiser et de hiérarchiser les renseignements, mais il exige au préalable que les données soient structurées de manière uniforme. Les données sur les menaces se présentent sous différents formats (par exemple, STIX, des techniques ATT&CK de MITRE, des articles d’actualité, des articles de blog, des tweets, des rapports d’éditeurs de solutions de cybersécurité, des indicateurs de compromission [IoC] provenant des flux de menaces, des dépôts GitHub, des règles Yara ou encore des signatures Snort) et doivent être normalisées. Les informations recueillies, par exemple dans le rapport Ryuk, sont le plus souvent exprimées avec leur propre vocabulaire. Il est donc nécessaire de les traduire dans un format lisible par la machine afin d’être en mesure de les relier à d’autres rapports et d’autres sources d’information connexes.

Mais attention : ce n’est pas seulement une question de format ! Le volume d’informations dans le paysage du renseignement sur les menaces est très élevé et différents groupes utilisent des noms différents pour désigner le même malware ou le même groupe d’attaquants. La normalisation compense ce phénomène et permet de regrouper et d’organiser rapidement ces informations disparates. En outre, structurer les données de manière à pouvoir les classer par ordre de priorité est essentiel pour le triage et garantit que les équipes d’investigation et de remédiation concentreront leurs efforts sur les menaces les plus importantes.

4/ Utiliser des outils pour faciliter l’analyse.

L’outillage utilisé pour gérer ces flux de renseignement doit être adapté au résultat attendu. Si beaucoup d’entreprises s’appuient sur de l’ingestion technique (à travers un SIEM notamment) et n’ont donc qu’une vision technique de la menace, une partie procède encore à l’acquisition et l’analyse manuellement. En réalité, il est nécessaire d’automatiser l’ingestion et de ne pas se limiter à la seule approche technique. Pour cela, une plateforme de renseignement sur les menaces (TIP) dédiée facilitera l’extraction du contexte et pourra aider à utiliser les informations de diverses manières pour différents cas d’utilisation (par exemple, triage des alertes, chasse aux menaces, confirmation d’un spear phishing, réponse aux incidents). Elle pourra devenir un « hub » pour la diffusion des différentes informations.

Il est également important que l’outil choisi fonctionne bien avec des frameworks standards tels MITRE ATT&CK. Ce dernier, en particulier, est le plus utilisé pour organiser le processus d’analyse de la menace. Concrètement, les entreprises peuvent identifier leurs actifs critiques et se référer à MITRE pour comprendre quels adversaires pourraient les cibler, et les tactiques, techniques et procédures (TTPs) sur lesquelles concentrer leurs efforts de détection, ainsi que les actions à entreprendre pour s’en protéger.

5/ Choisir les bons outils pour rendre les données exploitables.

L’analyse permet d’établir des priorités afin de déterminer les actions immédiates à mettre en œuvre. Il existe une variété d’outils permettant de rendre exploitables les rapports sur les menaces et d’autres éléments d’un programme de renseignement, et d’obtenir ainsi les résultats souhaités au niveau stratégique (rapports destinés à la direction), opérationnel (changements dans la posture de sécurité) et tactique (mise à jour des règles et des signatures).

Là aussi, une plateforme TIP pourra non seulement aider à rendre les données exploitables pour la détection et la protection, mais aussi dans le cadre de la réponse à incident et l’analyse forensique. De ce point de vue, MITRE est un outil important pour permettre l’analyse des incidents passés afin que les organisations puissent apprendre et s’améliorer.

En conclusion, il apparait qu’avant de commencer à penser aux sources de renseignements sur les menaces, à l’analyse des données et aux actions à planifier, il est important de bien comprendre les résultats attendus et les livrables qui seront utiles à chacune des parties prenantes susceptibles d’exploiter ce renseignement. Il s’agit d’un parcours qui commence généralement au niveau tactique (le plus proche du terrain : des règles de pare-feu ou des signatures antivirales, particulièrement aisées à déployer automatiquement) et qui, avec la maturité, évolue pour inclure le renseignement opérationnel et stratégique afin de fournir à chaque étape une valeur ajoutée supplémentaire dans la prise de décision. Lorsqu’elles sont partagées de la bonne façon avec chaque partie de l’organisation, les parties prenantes clés verront le renseignement sur les menaces comme un outil décisionnel, et le programme de renseignement obtiendra forcément le soutien et le budget nécessaires pour se développer. C’est finalement un cycle vertueux !
___________________

Par Yann Le Borgne, International Vice President for Threat Intelligence Engineer, Threatquotient
et David Grout, CTO EMEA, FireEye