La Threat Intelligence : une composante essentielle de votre cyberdéfense

La Threat Intelligence peut renforcer la sécurité et améliorer considérablement la gestion des risques en mettant en place des défenses proactives, en donnant la priorité aux alertes d’intrusion et en contrant les attaques toujours plus sophistiquées des pirates.

Les entreprises travaillent sans relâche pour évaluer des risques toujours plus grands. L’écosystème des menaces évolue si vite qu’il n’est plus possible pour les technologies de sécurité traditionnelles de suivre. Des renseignements précis sur les menaces permettent ainsi aux organisations d’identifier ces risques, de réduire les incidents de sécurité et de réagir rapidement en cas d’attaque.

Gartner propose la définition suivante de la Threat Intelligence (TI) ; pour l’analyste, il s’agit de « connaissances fondées sur des données probantes – parmi lesquelles le contexte, les mécanismes, les indicateurs, les répercussions et les conseils pratiques – se rapportant à un danger existant ou émergeant pour les TI ou les ressources informationnelles. Elle peut être utilisée pour éclairer les décisions à prendre concernant le sujet confronté à cette menace ou à ce danger ».

L’intérêt pour la Threat Intelligence et ses avantages ne cesse de croître. D’ici 2020, 15 % des grandes entreprises utiliseront des services de Threat Intelligence pour renforcer leurs stratégies de sécurité. Cela représente une nette augmentation puisqu’elles étaient moins de 1 % en 2018, toujours selon Gartner.

En 2018, le Centre d’études stratégiques internationales[1] a estimé le coût de la cybercriminalité mondiale à 600 milliards de dollars, sans qu’elle ne montre le moindre signe de ralentissement. Il attribue cette croissance à :

• l’adoption rapide des nouvelles technologies par les cybercriminels,
• la croissance de la cybercriminalité as a service,
• l’usage plus faible de la cybersécurité dans les pays à faible revenu,
• un nombre croissant de « centres de cybercriminalité» dans des pays comme le Brésil, l’Inde, la Corée du Nord et le Vietnam.

La monétisation de l’activité des cybercriminels est également devenue plus aisée, notamment grâce à la croissance des marchés noirs dans le deep et le dark web et à l’utilisation des monnaies numériques. Dans le même temps, la cybercriminalité opère à grande échelle, le FBI estimant que plus de 4000 attaques par ransomware se produisent chaque jour.

Il y a encore une dizaine d’années, la mise à jour hebdomadaire des antivirus était considérée comme suffisante. Désormais, même quotidiennes, celles-ci sont à 50% obsolètes car les menaces évoluent à une vitesse impressionnante. Cela signifie que les informations d’il y a deux jours encore, affirmant que certaines adresses IP, noms de domaine ou URL étaient malveillantes, peuvent ne plus être pertinentes : les cyberattaquants sont en réalité déjà passés à autre chose.

C’est là qu’intervient la Threat Intelligence ; elle vous permet de déterminer quelles menaces posent le plus grand risque à votre infrastructure afin que vous puissiez la protéger en conséquence. Les outils de Threat Intelligence peuvent également vous aider à déterminer si vous avez été victime d’une faille de sécurité en utilisant des indicateurs de compromission[2] capables de déterminer si vos systèmes d’information ont été touchés. Un point important car plus longtemps les logiciels malveillants restent à l’intérieur d’un système et fonctionnent sans être reconnus, plus ils causent de dommages.

La collecte d’informations qui produiront du renseignement utile est une tâche immense. L’information provient d’une grande variété de sources telles que les fils d’actualités, les services payants, les forums et même des hackers sur le dark web, et ce sous forme structurée comme brute. En tant qu’opérateur de télécommunications de premier plan, Orange dispose d’une visibilité de première main pour repérer les signaux précurseurs d’attaque au sein de son réseau Internet mondial.

Nous sommes l’un des membres fondateurs de Phishing Initiative, qui alimente nos propres bases de données ainsi que celles de nos partenaires dans des secteurs tels que la finance par exemple, pour améliorer l’intelligence sur les attaques de phishing, en augmentation perpétuelle. Nous participons ainsi activement à la surveillance et à la fermeture de 200 sites frauduleux chaque jour.

Plus vous détenez d’informations, mieux vous serez préparé. Mais agréger des renseignements provenant de tant de sources n’est pas tâche aisée, et peut facilement générer une quantité abusive de faux-positifs.

Il est donc essentiel que la Threat Intelligence soit vérifiée et mise en corrélation avec les renseignements provenant d’autres sources. En plus d’une confiance dans les données, celle dans les sources reste primordiale. Chez Orange Cyberdefense, au-delà de l’agrégation automatique, nos analystes du CERT mènent l’enquête pour garantir l’intégrité et l’efficacité de la Threat Intelligence. Ils analysent également les modèles de comportement des logiciels malveillants pour comprendre leurs évolutions. Tout ceci est optimisé par notre logiciel propriétaire de corrélation pour qualifier et vérifier les menaces.

Dans l’actuel écosystème des menaces, une base de Threat Intelligence peut être complétée par l’IA, l’analyse du comportement des utilisateurs et des entités[3] et l’apprentissage machine[4], pour identifier les anomalies qui pourraient indiquer une attaque de type zero-day.

Plus les renseignements sur les menaces sont fiables, plus il est facile de les anticiper et de s’en prémunir. Cependant, il demeure impossible de recueillir et d’analyser toutes les données existantes. Comme pour le renseignement traditionnel, la Threat Intelligence n’a de valeur que si elle répond aux questions que vous vous posez réellement, et ce dans le laps de temps qui vous est offert. Pour exploiter son plein potentiel, une planification rigoureuse est ainsi essentielle.

Notes

[1]Center for Strategic and International Studies[2]

[2]IoC : Indicator of Compromise

[3]UEBA : User and Entity Behavior Analytics

[4]machine learning