Threat Intel 101 — CoA faire en cas d’intrusion ?
Une des qualités du renseignement sur les menaces est d’être actionnable. Cet anglicisme signifie “qui permet et guide l’action”. Dans le contexte de la réponse aux incidents ou celui de l’adaptation de la politique de sécurité et des défenses numériques d’une organisation, la Threat Intelligence doit permettre de répondre à la question posée en 1901 par Vladimir Ilitch Oulianov : “Que Faire” ?
Dans le monde magique de la cybersécurité, la Course of Actions (CoA) est une matrice (ou, moins pompeusement : un tableau) décrivant ce qu’il est possible de faire de chaque indicateur pour chaque phase de l’Intrusion Kill Chain. La CoA est intimement liée à la Kill Chain et a été présentée dans l’étude, Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains, d’E. Hutchins, M. Cloppert et R. Amin.
Associée à l’Intrusion Kill Chain, la matrice CoA proposée par Hutchins et al. se présente, dans sa version originelle, sous cette forme :
Initialement composée de 6 actions, toutes désignées par un mot anglais commençant par un “D”, elle a été enrichie d’un 7e “D”: Discover.
L’utilisation de cette matrice est simple : pour tout indicateur à chaque phase de la Kill Chain, au moins une action peut — doit — être appliquée.
Ces actions peuvent être classées en deux catégories :
- Les actions passives : Discover, Detect. Ces actions sont invisibles pour l’attaquant qui ne peut donc savoir que ses actions ont été détectées par sa cible.
- Les actions actives : les 5 autres, qui a contrario interfèrent plus ou moins fortement avec le mode opératoire adverse.
Discover
Cette action consiste à rechercher si un ou plusieurs indicateurs sont présents dans l’historique des données dont l’on dispose. Dans la majorité des cas, il s’agit de données “brutes” constituées des journaux (logs) systèmes, applicatifs et réseaux. Il n’est cependant pas exclu d’interroger des bases de données plus structurées comme un SIEM ou un SIRP. L’objectif est de faire un “retro-hunt” pour identifier d’éventuelles occurrences d’une intrusion qui serait restée indétectée faute d’indicateur.
Detect
Cette action consiste à exploiter un ou plusieurs indicateurs pour mettre en oeuvre des règles et des signatures de détection. L’objectif est d’être alerté de toute nouvelle occurrence d’une intrusion à la suite de l’identification d’une de ses manifestations.
Deny
Cette action a pour objectif d’interdire ou de bloquer une intrusion dès qu’un indicateur qui lui est attaché est détecté. Elle peut prendre la forme d’une règle bloquante sur un pare-feu, par le blocage de messages électroniques provenant d’une adresse ou d’un serveur de messagerie utilisés par l’attaquant, la désactivation d’un compte utilisateur compromis, la déconnexion du réseau d’une machine, etc. Il s’agit d’une action préventive qui est mise en place même en l’absence de traces d”une intrusion. Cette interdiction amènera l’adversaire à chercher d’autres voies d’intrusion, ce qui peut aider la détection de nouveaux indicateurs ou la découverte de modes opératoires.
Disrupt
Cette action consiste à interférer sur un événement lié à une intrusion en cours pour la faire échouer. Contrairement à l’action précédente — Deny — il s’agit d’une action réactive en ceci qu’elle est déclenchée au moment où une tentative d’intrusion est détectée. Moins coûteuse en ressources car plus discriminante, cette action nécessite cependant de disposer d’outils (IPS, par exemple) capables d’appliquer des règles plus complexes car basées, par exemple, sur l’inspection en profondeur du trafic réseau (inspection du contenu des paquets).
Degrade
A l’instar de la précédente action, celle-ci consiste aussi à interférer sur un événement pour en dégrader les effets sans aller jusqu’à les bloquer. L’objectif est de ralentir une intrusion sans que l’attaquant comprenne que ses actions ont été détectées. Cela passe, par exemple, par des réductions de bande-passante, si possible progressives, par la réduction de la taille maximale de pièces-jointes dans le cas des messages électroniques sortants, etc. La mise en place d’un “tarpit” réseau est un exemple de ce type d’action appliquée à une connexion réseau. Quand cette action est configurée finement, elle peut n’être appliquée qu’aux activités de l’attaquant sans impacter les usages légitimes d’une ressource attaquée.
Deceive
La déception consiste à induire l’adversaire en erreur grâce à des trucages, des déformations de la réalité, des falsifications et la diffusion de fausses données et informations en vue de l’inciter à agir ou réagir d’une manière préjudiciable à la poursuite de ses objectifs. Cette mesure se traduit dans le domaine cyber par le déploiement de leurres (honeypots), la fabrication de faux documents, passifs ou actifs, c’est-à-dire contenant des mouchards (“web bugs” ou “canary”) activés lors de leur ouverture par l’adversaire. La redirection de trafic entre aussi dans cette catégorie lorsqu’elle a pour effet de diriger les flux adverses vers des “trous noirs” (blackholing) ou des siphons (sinkholing).
Destroy
Cette dernière catégorie d’action est peut-être la plus controversée : elle peut consister à contre-attaquer en lançant, par exemple, des attaques en déni de service à l’encontre des capacités de l’attaquant, ou à “contre-att’hacker”. Pour rester dans la légalité, une plainte en bonne et due forme déposée auprès des autorités judiciaires compétentes peut, après un certain délai inhérent aux enquêtes de police et aux décisions de justice, aboutir au démantèlement par les forces de l’ordre des infrastructures criminelles et, parfois, à l’arrestation de tout ou partie des membres d’un groupe. Dans le cas d’adversaires liés à un gouvernement étranger ou à un de ses services, ces plaintes peuvent n’avoir aucun effet.
Le choix des actions de la matrice CoA à appliquer à chaque étape de la Kill Chain ainsi que celui des indicateurs jugés les plus pertinents ou efficaces, illustre la nécessité d’un dialogue entre les équipes responsables de la politique de sécurité (configuration des équipements de sécurité, définition des contre-mesures adaptées à l’environnement technique du S.I., etc) et une équipe spécialisée dans le renseignement sur les menaces (Threat Intelligence). Cette dernière apportera une aide dans le choix des indicateurs, dans les cas où plusieurs indicateurs de compromission de nature différente sont disponibles. La connaissance du contexte, des modes opératoires courants, l’utilisation de la Pyramid of Pain ou du framework MITRE ATT&CK aideront à sélectionner les plus pertinents et les actions les mieux adaptées. Cela évite de surcharger inutilement les équipements avec des règles concernant des indicateurs dont la valeur est jugée faible.
Ce dialogue entre équipes opérationnelles et renseignement sur les menaces démontre aussi comment ce dernier, en tant production, peut et doit être actionnable et par conséquence : actionné !