Bien que la discipline du renseignement sur les menaces soit relativement nouvelle dans nos processus de cyberdéfense, elle existe en réalité depuis plus de 2 500 ans dans le monde militaire. Le renseignement sur les menaces était au cœur des stratégies et c’est sur cette maîtrise de l’information que repose notre réussite aujourd’hui, alors que nos approches de sécurité continuent d’évoluer, plus récemment avec les solutions de détection et de réponse étendues (XDR).

Tout commence par la collecte d’informations, qui porte tout autant sur la connaissance de soi (atouts, priorités, forces et vulnérabilités) que sur une fine connaissance de l’adversaire : qui il est, où il se trouve, sa taille, les types d’armes qu’il utilise, sa motivation, sans oublier ses tactiques et ses techniques. Autant d’informations qui orienteront les décisions : la menace est-elle ou non réelle, faut-il fuir ou se battre, quelles sont les actions qui s’imposent ? Vient ensuite l’étape cruciale des calculs. Nos actions doivent être guidées non pas par des données brutes, mais par des informations résultant d’un examen approfondi en termes de pertinence, de priorité et de connaissance de l’environnement. Un calcul permanent permet de redéfinir sa posture de défense, et même d’attaque. Les décisions d’adaptation sont permanentes et les actions qui en résultent doivent être automatisées. L’objectif est de mettre les données en contexte, pour disposer des bonnes informations au bon endroit et au bon moment (en permanence).

Parallèles entre stratégie militaire et le processus XDR

Des parallèles étroits émergent lorsque l’on relie cette réflexion à la technologie XDR. La collecte d’informations à partir de sources et de domaines internes et externes disparates correspond à la notion d’« étendu ». La distribution ou diffusion des informations à travers l’infrastructure de sécurité correspond quant à elles à la partie « détection et réponse ». Enfin, les calculs impliquent de convertir les données brutes en renseignements pertinents : c’est la base pour répondre de manière efficace à une situation.

Pour y parvenir, il faut pouvoir s’appuyer sur une plateforme d’opérations de sécurité axée sur les données, qui permet d’étendre les capacités de consommation et de gestion de ces dernières, et ce qu’elles soient internes ou externes, structurées ou non structurées. Une grande partie des données précieuses émanant de tiers sont emprisonnées dans leurs technologies ; la plateforme doit donc reposer sur une architecture ouverte, avec des intégrations élargies et approfondies pour pouvoir accéder à cette ressource. Une fois toutes ces informations agrégées et normalisées, la plateforme doit ensuite être en mesure de les corréler et de les mettre en contexte de manière à les prioriser et à filtrer le bruit.

Le but ultime est de rendre les données opérationnelles pour prendre les bonnes mesures. Véritable cockpit de pilotage des opérations, la plateforme utilisée doit donc traduire ces éléments organisés et hiérarchisés pour l’exportation, pour que les datas puissent circuler dans l’infrastructure et que les technologies et les équipes de défense puissent intervenir rapidement. La boucle est bouclée lorsque la plateforme capture et stocke également les données associées à la réponse à des fins d’apprentissage et d’amélioration. Il faut avoir à l’esprit que tout cela se produit à grande vitesse et à grande échelle. L’automatisation est donc essentielle pour pouvoir agir efficacement et apporter une réponse complète.

Bonnes pratiques de renseignement sur les menaces pour déployer du XDR

Les bonnes pratiques suivantes aideront les organisations qui envisagent de déployer une architecture XDR, ou qui l’ont déjà adoptée, à mieux tirer parti du renseignement sur les menaces.

* Utiliser les données de toutes les sources : L’intégration est une compétence clé pour activer le XDR, car loin de partir d’une feuille blanche, les organisations gèrent des dizaines de technologies, de flux et de sources d’informations tierces dispersées entre les départements et les équipes. Seules une intégration et une interopérabilité solides avec l’ensemble des systèmes et sources, internes comme externes, permettront d’exploiter les informations sur les menaces. Grâce à une plateforme de travail commune, les équipes pourront exploiter les données contextualisées pour comprendre les menaces auxquelles elles sont confrontées. Elles pourront ainsi atteindre l’objectif d’une détection et d’une réponse étendues sur l’ensemble de l’infrastructure et sur tous les vecteurs d’attaque.

* Utiliser les données pour concentrer les efforts : La priorisation doit être automatisée mais rester sous le contrôle de l’équipe de sécurité. Le filtrage du bruit (faux positifs et informations non pertinentes) à l’aide de paramètres définis par l’entreprise garantit une priorisation basée sur le risque. Les analystes peuvent ainsi se concentrer sur les menaces réelles et majeures au lieu de s’éparpiller. Il est par ailleurs important de capturer, stocker et utiliser en continu les retours d’information et les résultats pour améliorer les opérations de sécurité.

* Utiliser les données pour orienter la réponse : La façon la plus efficace de donner plus de moyens aux équipes est d’appliquer l’automatisation aux tâches répétitives, chronophages et à faible risque tout en reconnaissant la nécessité d’une analyse humaine. Les investigations inhabituelles, urgentes et à fort impact doivent être confiées à un analyste humain, dont le travail sera simplement optimisé grâce à l’automatisation. L’équilibre entre l’homme et la machine assure aux équipes de toujours disposer du meilleur outil pour un travail précis, et une approche axée sur les données dans les deux cas améliore la rapidité et la rigueur du travail accompli.

Le XDR est une architecture voire un mode organisationnel… toutes les solutions techniques même (et surtout) hétérogènes doivent pouvoir rentrer dans une approche XDR.

Le XDR gagne énormément de terrain. Mais pour qu’il tienne ses promesses, il nous faut garder en mémoire de nous appuyer en premier lieu sur les données. À une époque, le renseignement sur les menaces était déterminant pour remporter la victoire sur le champ de bataille.

Aujourd’hui, il est essentiel pour gagner le combat de la cybersécurité. Une plateforme centrale, dont l’objectif est non seulement l’intégration des éléments remontés par ces sources multiples, mais aussi de faciliter leur exploitation par l’équipe sécurité, est donc indispensable afin de modéliser les menaces et identifier celles en cours d’exécution avant qu’il ne soit trop tard.
___________________

Par Yann Le Borgne, International Vice President for Threat Intelligence Engineer, Threatquotient