Considérons une attaque complexe (elles le sont toutes désormais) représentée par une molécule. Chaque atome de cette molécule correspond à un marqueur d’étape (IP, URL, emprunte de fichier, emprunte polymorphe de fichier/fuzzyHash…).
Le monde du renseignement (Threat Intelligence) s’intéresse à la molécule complète, son attribution (à des adversaires), sa méthodologie (TTP), son niveau de technicité, son niveau d’occurrence, les victimes qu’elle cible, et aux liens entre les différents atomes (marqueurs ou indicateurs de compromission). Dans le monde du renseignement, la multiplicité des sources (feeds) est souhaitable pour pondérer la validité de l’information. Ces sources sont nombreuses et seront sélectionnées en fonction d’une activité, d’une zone géographique ou d’une spécialisation (type de marqueurs couverts). La sélection d’une demi douzaine de sources parmi des centaines disponibles va très rapidement générer un flux de nouveaux indicateurs dans la bibliothèque de Threat Intelligence (quelques milliers par jour).
A l’inverse, le monde de la détection (IPS, IDS, Passerelle mail ou web, AV, …) dispose en général d’une capacité de reconnaissance « atome par atome » (URL, malware, IP…). Chaque détection fait l’objet d’un évènement qui sera remonté au niveau du SIEM/SOC, charge à lui de reconnaître des attaques réelles parmi les atomes détectés unitairement (marqueur d’attaque réelle ou faux positif). Dans le monde de la détection, les sources sont uniques par outil et directement liées aux éditeurs qui alimentent leurs clients avec des mises à jour de signatures régulières. Seul le SIEM dispose d’une vue d’ensemble des évènements détectés mais ne dispose souvent pas d’une connaissance approfondie des molécules complètes.
Il est évident que l’intérêt d’un lien entre le monde du renseignement et le monde de la détection est immense. On parlera alors de l’automatisation des défenses basées sur le renseignement.
L’automatisation des attaques rend les défenses classiques quasiment impuissantes
Même si les méthodologies d’attaque (la structure des molécules – TTP) évoluent très lentement car le coût associé est important, les hackers sont capables de faire évoluer de nombreux atomes à bas coût. Ainsi depuis plusieurs années, de campagne en campagne, ils remplacent certains atomes devenus trop facilement détectables par de nouveaux éléments ayant le même rôle mais apparaissant pour la première fois (nouveau C&C, nouveau malware, nouvelle IP…). Cette longueur d’avance sur les défenses leur laisse quelques jours pour mener à bien une série d’attaques quasiment indétectables.
Plus récemment, l’automatisation des attaques est montée d’un cran grâce à l’utilisation de domaines C&C générés par algorithme (DGA). Dans ce type d’usage (c’est le cas de la campagne Locky), le malware change de domaine de Command & Control pendant une même campagne. Les domaines étant générés par l’algorithme, il est impossible pour les défenseurs de prévoir le prochain C&C à surveiller.
Il est donc temps de répondre à l’automatisation par l’automatisation.
Automatisation des défenses tactiques (SOC/CSIRT)
Il s’agit ici d’automatiser l’accès au renseignement par les outils et équipes de gestion d’incidents. Les évènements remontés au SIEM/SOC étant basés sur une détection unitaire (atome par atome), la valeur immédiate de l’automatisation réside dans la capacité d’identifier si une détection unitaire correspond à un marqueur appartenant à une molécule/attaque/campagne connue par la bibliothèque de renseignement. Si c’est le cas, il s’agit simplement de sélectionner les marqueurs associés à cette molécule/attaque/campagne et de les soumettre au SIEM pour « scoper » l’attaque.
L’enrichissement de la base de renseignement à partir d’attaques avérées dans le réseau permet, campagne après campagne, de gagner du terrain (du temps) sur les attaquants.
Automatisation des défenses opérationnelles (FW/Passerelles Web et Mail)
Il s’agit de compléter les capacités de détection et de protection fournies par les éditeurs à partir de marqueurs issus du monde du renseignement. Bien sur ces marqueurs doivent être « de confiance ». Ils le sont soit par leur provenance (issus d’un bulletin du CERT FR par exemple), soit par l’action tactique présentée ci-dessus (ils correspondent à plusieurs sources et sont liés à une campagne ayant généré des incidents traités par SOC/CSIRT dans le réseau). Ces IPs et domaines qui ont une durée de vie assez courte peuvent être facilement être bloqués par les défenses opérationnelles si les indicateurs leur sont poussés de manière automatisée. Ici encore, cette automatisation permet de rester dans la course contre la montre face aux attaques dynamiques que nous connaissons.
Prise en compte du renseignement dans l’approche stratégique de la défense
Une étude statistique des tickets ouverts par le SOC permettra d’identifier les campagnes et les adversaires qui ciblent notre réseau de manière régulière. Il devient intéressant d’inclure le suivi de ces adversaires dans l’analyse de risque de l’entreprise. On parle alors du rôle d’analyste de Threat Intelligence dont le métier consiste à suivre des adversaires et l’évolution de leurs capacités et méthodes afin d’agir pro-activement sur l’évolution des défenses.
_________
Cyrille Badeau est Directeur Europe du Sud ThreatQuotient