Threat Intel 101 — Le cycle du renseignement appliqué à la (Cyber) Threat Intelligence
Pour ce premier billet de notre série consacrée aux principaux concepts et modèles de la Threat Intelligence, intéressons-nous revenons au célèbre mais parfois critiqué “cycle du renseignement”.
Ce modèle, qui nous vient du monde militaire, représente sous la forme d’un cycle assez simple le processus de création du renseignement. S’il est évidemment perfectible et critiquable, ce cycle du renseignement reste une représentation logique, pragmatique et pleine de bon sens de comment transformer des données puis des informations en renseignement qui va aider à la prise de décision stratégique et opérationnelle et donc à agir pour réduire un risque, une incertitude (dans notre thématique cybersécurité, de détecter ou de bloquer une attaque informatique).
Sans surprise, ce cycle du renseignement s’adapte très facilement à notre (Cyber) Threat Intelligence — renseignement sur les (cyber)menaces. C’est un processus continu et qui peut se répéter indéfiniment. C’est également avant tout une approche qui doit guider le travail des analystes et surtout des décideurs qui jouent un rôle primordial dans les premières et dernières phases de ce cycle du renseignement.
Orientation & planification
La première phase est également la plus importante. Que l’on travaille pour une agence de renseignement ou dans une organisation mettant en place une capacité de Threat Intelligence, sans expression précise des besoins — du pourquoi — provenant des décideurs ou des responsables de la cybersécurité, cette démarche de Threat Intelligence n’aura aucune valeur.
Une équipe ou cellule de Threat Intelligence pourra être orientée à partir de plusieurs éléments :
- Une analyse de risques déjà existante, qui servira de base pour orienter les capteurs internes et externes vers la surveillance des cybermenaces qui ciblent son organisation ;
- Des questions des décideurs : quel est le niveau de menaces dans notre secteur d’activité ? Est-ce que nous avons déjà été ou serons-nous la prochaine victime du groupe APT28 associé au service de renseignement militaire russe GRU ? ;
- Un incident majeur qui a révélé notre manque de visibilité sur nos systèmes d’information qu’a exploité un groupe APT pour saboter nos serveurs de données ;
- L’ANSSI nous a communiqué des marqueurs de compromission classifiés concernant une campagne de cyber reconnaissance visant notre secteur d’activité.
L’orientation peut ainsi répondre à des besoins stratégiques ou purement opérationnels, qui dans tous les cas nécessitent une réponse adaptée à celui qui l’a exprimé.
L’équipe de Threat Intelligence, qu’elle soit interne ou externe, va ensuite pouvoir mettre en œuvre un plan de veille, de surveillance et d’investigation pour traquer les menaces, les adversaires qui pourraient cibler son organisation ou son client.
Maintenant que l’on sait quoi et surtout pourquoi le chercher, la prochaine étape du cycle va consister à collecter toutes les données nécessaires pour répondre à ces besoins stratégiques et opérationnels.
Collecte des données
Une fois les besoins exprimés, l’équipe de Threat Intelligence va pouvoir mettre en place et orienter différents « capteurs » afin de collecter un maximum de données répondant aux centres d’intérêts identifiés.
La plupart de ces capteurs sont techniques et exploitent des sources ouvertes (OSINT), généralement accessibles sur Internet. Il s’agit en premier lieu d’une veille spécifique dédiée aux cybermenaces et aux acteurs associés. Elle permet de récupérer de nombreuses informations déjà analysées grâce aux nombreux billets de blog et rapports publiés par les éditeurs de cybersécurité ou des chercheurs en sécurité informatique. D’autres sources ouvertes communautaires permettent de récupérer une très grande quantité d’informations brutes techniques, notamment des indicateurs de compromission (IP et URLs malveillantes, hash de malware, malware, etc.). Chez SEKOIA, toute cette partie est automatisée pour générer un flux d’indicateurs de compromission basé sur une centaine de sources OSINT.
Cette veille doit également être déclinée au niveau actualités géopolitiques et économiques, en fonction du secteur d’activité de l’organisation ou des clients et de leurs implantations géographiques.
Au-delà de la veille, d’autres capteurs peuvent être mis en place sur des sources de données spécialisées pour traquer les infrastructures et les activités de certains groupes d’attaquants, notamment ceux qui nous intéressent car ils ciblent potentiellement notre organisation ou nos clients. Des plateformes payantes comme Virus Total Intelligence ou Domain Tools vont permettre de configurer des alertes et surtout de mener des investigations spécifiques.
Mais il existe beaucoup d’autres capteurs techniques, plus ou moins accessibles ou déployables selon le type d’organisation auquel on appartient :
- Un réseau d’honeypots peut être utile pour récupérer des informations sur certaines attaques, des e-mails malveillants, des malwares, etc.
- La télémétrie des éditeurs de solutions de cybersécurité (antivirus mais également sandbox, firewall NG, enfin tout ce qui est connecté à un Cloud et utilisé par des centaines de milliers voire des millions de clients) est LA source de données Threat Intel la plus riche qui permet à ces éditeurs de produire des rapports réguliers sur de nouveaux modes opératoires et traquer des centaines de groupes d’attaquants.
- Les plateformes d’analyse en ligne de documents malveillants qui aident les utilisateurs à vérifier si, par exemple, la pièce-jointe d’un e-mail cache un quelconque malware. SEKOIA a lancé l’année dernière une plateforme gratuite Dropper Analysis — https://malware.sekoia.fr pour déterminer très rapidement si un .doc, .xls, .pdf… est piégé.
- Le développement d’outils spécialisés qui vont permettre de traquer l’activité de certains modes opératoires qui suivent un pattern particulier. Ils nécessitent parfois de scanner tout Internet. Par exemple, l’outil KnightCrawler (non disponible publiquement) développé par Félix Aimé (@felixaime) et présenté à la Botconf 2017 a pour but de détecter des “point d’eau” (watering holes).
- Le partage d’informations issues de communautés privées (par exemple, des listes de diffusion accessibles pour les CERTs accrédités, ISAC, etc.)
Au-delà des sources purement techniques, l’exploitation de renseignement “humain” est également possible. Il s’agit essentiellement de participer à des événements dédiés à la cybersécurité (conférences, salons, workshops, etc.) pour les contenus qui y sont présentés mais également et surtout pour le “networking” : rencontrer ses “pairs”, créer des liens, partager des méthodologies, des analyses, des éléments techniques, collaborer sur des investigations, etc. Dans plusieurs secteurs d’activités comme le secteur bancaire ou le monde de la défense, des groupes se sont formés pour partager, entre concurrents, du renseignement sur les menaces qui les ciblent.
Les données à collecter ne sont pas seulement externes mais également internes. En effet, quoi de mieux que ses propres données (une attaque qui nous a touché dans le passé, des comportements anormaux dans notre système d’information, etc.) pour générer du renseignement ciblé et adapté à notre organisation ? Il s’agit également de disposer d’une véritable visibilité de ses propres systèmes d’information pour ensuite rendre “actionnables” les renseignements externes qui auront pu être générés. Aujourd’hui, une organisation, même bien “renseignée” mais qui n’a pas mis en place une centralisation et une surveillance de ses logs (serveurs, réseaux, postes de travail, etc.) et ne disposant pas d’une capacité de détection adaptée (sondes, SIEM / SOC, etc.) restera aveugle face à de très nombreuses cyberattaques.
Traitement des données
Toutes ces données collectées, structurées ou non, doivent ensuite être traitées, de façon automatique ou manuelle, avant d’être mises à disposition des analystes en Threat Intelligence :
- Normalisation: pour pouvoir rendre exploitable facilement ces informations par des machines et des humains, il est indispensable de “normaliser” leur format et de les structurer au maximum. Chez SEKOIA, nous utilisons le langage STIX v2 (Structured Threat Information eXpression), un standard international pour représenter de manière structurée les informations sur les cybermenaces.
- Qualification : nous ne pouvons pas avoir le même degré de confiance dans chaque information collectée. Il est nécessaire de qualifier les sources de ces informations pour évaluer au mieux leur « valeur » et ainsi l’exploitation qu’on pourra ensuite en faire lors de la phase d’analyse. Chaque indicateur peut être également qualifié individuellement: par exemple, en lui donnant une durée de vie.
- Enrichissement : les informations peuvent également être enrichies. Dans le cas des IOC, il s’agit par exemple de vérifier la résolution DNS d’une IP malveillante voire les Passive DNS. Si on parle toujours d’IP malveillante, il sera intéressant de l’enrichir, le cas échéant, avec du contexte également : des dates, son rôle (C2 ou hébergement du document ou de la charge malveillante — indication de la phase de la Cyber Kill Chain), le groupe d’attaquant associé à cette IP malveillante, le malware, le secteur de la victime, la zone géographique visée…)
Analyse & production
C’est la phase la plus appréciée, la plus importante mais également la plus complexe. Comment transformer toutes ces informations (indicateurs de compromission, groupe d’attaquants, malwares, victimologie, contexte géopolitique, etc.) maintenant qualifiées et enrichies en renseignement contextualisé et actionnable pour mon organisation ou mes clients ?
Il n’y a pas de recette miracle ni de « shamanisme » à mettre en œuvre pour produire une analyse. Être analyste est un métier, souvent sous-estimé en France. Aucune formation initiale ne propose de cursus pour devenir analyste en Threat Intelligence (ou en renseignement, plus globalement).
L’analyse des cybermenaces se repose alors essentiellement sur l’intuition et l’expérience de l’analyste. Elle ne prend que très rarement en compte les méthodes structurées comme la technique d’analyse des hypothèses concurrentes (ACH) qui existent sur ce sujet et les biais cognitifs qui vont potentiellement altérer son résultat.
L’analyse, contrairement à la phase de traitement, est une étape manuelle et humaine où l’analyste vient apporter son expertise métier pour agréger / trouver des liens entre des informations souvent décorrélées pour les interpréter et les mettre en perspective dans le contexte de son organisation ou de ses clients et en l’inscrivant dans une dynamique géopolitique ou économique.
Le résultat de cette analyse — un renseignement actionnable — peut prendre plusieurs formes, selon que sa finalité soit stratégique ou au contraire très opérationnelle et donc du profil du destinataire :
- Un rapport synthétique voire un briefing “en direct” avec des recommandations permettant d’orienter sa stratégie de cyberdéfense (et donc les plans d’actions afférents et les budgets) ;
- Des tableaux de bord pour évaluer son exposition aux cybermenaces, en fonction de ses assets informatiques, son secteur d’activité, ses implantations géographiques et de l’actualité géopolitique ;
- Un rapport sur un groupe d’attaquants ou un de leur outil (malware, par exemple) spécifique détaillant leurs modes opératoires, leur victimologie et leurs motivations ;
- Des IOC très contextualisés (incluant des Course of Actions — recommandations d’actions à prendre en cas de détection) à utiliser dans le cadre d’un retro hunting dans ses logs réseaux, voire système ;
- Un flux d’IOC sectorisé alimenté en continu à intégrer dans une plateforme de Threat Intelligence ou un SIEM opéré dans un SOC ;
- Un playbook détaillant les tactiques et techniques (basé sur MITRE ATT&CK) d’un groupe attaquant connu pour cibler notre secteur d’activité ou de celui de nos clients destiné à une Red Team pour émuler cet advsersaire dans le cadre d’une simulation d’APT réaliste ;
- Un e-mail de sensibilisation pour alerter les utilisateurs d’une menace imminente ou de tentatives en cours utilisant un mode opératoire particulier ciblant l’entreprise ;
- Un événement MISP partagé en TLP Green ou Amber à la communauté cybersécurité ;
- Un blogpost public ;
- Etc.
Diffusion & Feedback
Ce renseignement, selon qu’il soit stratégique ou opérationnel, doit ensuite être diffusé aux bonnes personnes, dans le bon timing et dans un format adapté. Par exemple, inutile d’inonder un RSSI d’IOC critiques stockés dans un fichier PDF. Il faudra plutôt fournir cette Threat Intelligence technique dans un format (STIX ou MISP, par exemple) qui pourra facilement être “lu” par la plateforme SIEM de son SOC.
De nombreuses équipes peuvent être les “clients” de cette Threat Intelligence :
- Les décideurs de la cybersécurité, et en premier lieu le RSSI ou le DSI, sont les clients naturels d’une Threat Intel stratégique. Mais la direction générale (ou le COMEX) doit également être alimentée (et est intéressée dans un monde parfait) par du renseignement stratégique sur les cybermenaces de son secteur d’activité.
- Le Risk Manager et ses équipes doivent pouvoir mener leurs missions en ayant la meilleure vision des véritables menaces cyber qui pèsent sur les différents métiers de son organisation.
- Le Security Operation Center (SOC) a besoin de renseignement très opérationnel et contextualisé sur les dernières cybermenaces, sous forme d’IOC, de règles de détection / corrélation voire de stratégies de réponse / remédiation adaptées (bloquer telle IP, lancer une investigation sur tel perimètre, bloquer ce protocole vulnérable, etc.).
- Le CERT/CSIRT (interne ou externe) aura tout autant besoin de renseignements stratégiques qu’opérationnels très contextualisés sur les groupes d’attaquants ciblant son organisation ou ses clients, afin d’accélérer ses investigations et ses réponses aux incidents de sécurité.
- La Red Team, qu’elle soit interne ou externe, se doit d’être parfaitement au courant des techniques, tactiques et procédures (TTPs) des groupes d’attaquants ciblant le secteur d’activité de son organisation ou de ses clients. Son but va être de tester les moyens de détection et de réponse mis en oeuvre par les SOC /CERT / CSIRT en simulant des attaques ciblées et réalistes.
Enfin sans feedback, on peut considérer qu’un renseignement est généralement inutile. Pour que le processus de Threat Intelligence fonctionne réellement (ce qui signifie une amélioration continue du niveau de cybersécurité ou, a minima, de la capacité de détection des incidents de sécurité), il est indispensable que son cycle soit alimenté par un retour d’expérience régulier des clients sur les produits de renseignement qui lui sont diffusés :
- Savoir qu’un IOC fourni a généré de véritables alertes ou, au contraire, de nombreux faux positifs va permettre respectivement de capitaliser de nouveaux renseignements ou d’ajuster les premières phases d’Orientation et de Collecte de ce cycle de la Threat Intelligence.
- Notre rapport sur ce nouveau acteur de la menace (threat actor) répond-il bien à la question posée par le RSSI ?