Déjouer l’adversaire : comment détecter les cybermenaces dont vous ignoriez l’existence

Si vous êtes préoccupé par la menace accrue de cyberattaques par des pirates informatiques et des groupes hacktivistes parrainés par l’État dans l’atmosphère géopolitique actuelle, vous avez certainement raison.

Des groupes criminels sortent de l’ombre et prêtent allégeance à la Russie. Ils mènent des attaques de reconnaissance et fusionnent dans les rôles qu’ils joueront dans la cyberguerre mondiale que beaucoup voient à l’horizon, une guerre qui sera probablement coordonnée par un commandement central.

Ces menaces réelles motivent des efforts intenses au sein des organisations de sécurité de tous les secteurs, des infrastructures critiques et des marchés financiers aux organisations gouvernementales, à la chaîne d’approvisionnement et à la logistique, et bien d’autres. L’organisation de sécurité se rend compte qu’elle doit devenir meilleure pour identifier et finalement déjouer les adversaires.

Au niveau du RSSI, nous constatons une concentration sans précédent sur la collecte d’informations sur les attaquants afin de mieux comprendre ce qui est à risque et comment atténuer les menaces. Au sein de l’équipe du RSSI, l’impératif est d’appliquer une vue macro de la motivation des attaquants à la compréhension de l’organisation de leur vulnérabilité aux attaques, permettant aux équipes de se préparer et de détecter les cybermenaces inconnues.

Favoriser communication bidirectionnelle

S’il y a une lueur d’espoir dans la préparation à des cyberattaques imminentes, c’est bien celle-ci : nous commençons enfin à établir la communication bidirectionnelle collaborative entre les opérations de sécurité et l’équipe de renseignement sur les menaces nécessaire pour détecter et répondre rapidement aux attaques.

Au lieu du flux d’informations traditionnel à sens unique où l’équipe de renseignement sur les menaces fournit des informations à l’équipe du centre des opérations de sécurité (SOC), nous voyons des équipes travailler ensemble pour comprendre l’attaquant. La vision d’un centre de cyberfusion est en train de se concrétiser.

Des discussions ont lieu entre les rôles, des praticiens découvrant les menaces à l’ingénieur en sécurité concerné par les contrôles en passant par le CISO qui évalue les priorités de remédiation. À son tour, le CISO informé traduit les informations recueillies par l’équipe en impacts commerciaux et les communique aux dirigeants.

Mais la communication et l’intelligence seules ne suffisent pas à gagner la bataille. Vous devez être capable d’analyser cette intelligence et d’agir rapidement en conséquence. En d’autres termes, vous devez l’opérationnaliser.

Opérationneling intelligence en trois étapes

Lorsque les CISO et les analystes du SOC viennent nous voir chez Anomali pour avoir un aperçu des adversaires et des attaques auxquels ils doivent être préparés, nous les aidons à comprendre et à affiner un processus d’opérationnalisation du renseignement.

Voici ce que nous avons vu fonctionner efficacement dans les meilleures organisations de sécurité :

• Étape un : Définir la posture de sécurité

L’organisation de la sécurité, y compris les analystes du SOC, les analystes des renseignements sur les menaces et le RSSI, travaillent ensemble pour définir la posture de sécurité défensive de l’organisation et l’expliquer aux cadres non techniques extérieurs à l’organisation du RSSI.

• Étape 2 : Extraire les leçons apprises

Au fur et à mesure que des incidents se produisent (à la fois en interne et en externe), les équipes agissent rapidement pour recueillir des renseignements et identifier les leçons apprises. Ils s’efforcent de comprendre les détails de l’attaque, tels que la charge utile, la méthode utilisée pour la propager et d’autres comportements de l’adversaire utilisés dans les menaces persistantes avancées. Avec les pépites d’informations pertinentes sur l’attaque, l’équipe extrait les leçons apprises et les réinjecte dans sa posture défensive.

• Étape 3 : Préparez-vous à une attaque

L’étape suivante consiste pour l’équipe rouge à émuler l’attaque dans votre environnement. Semblable aux jeux de guerre, les intervenants en cas d’incident tentent ensuite d’identifier l’attaque au fur et à mesure qu’elle se déroule. Rejouer un incident et identifier les détails des techniques utilisées par un attaquant donne aux équipes les informations dont elles ont besoin pour mettre en place les contrôles de sécurité appropriés pour arrêter l’attaque et renforcer leur posture de sécurité.

Ces étapes se déroulent en boucle continue chaque fois que de nouvelles informations arrivent.

Improvisationing votre défense avec l’automatisation et l’IA

Le processus que je viens de décrire pour opérationnaliser le renseignement repose sur l’accès à des renseignements complets sur les menaces. Cela inclut les données pertinentes sur les menaces mondiales, y compris les renseignements sur les acteurs, les techniques et les indicateurs. (Pour plus d’informations sur l’importance des informations pertinentes sur les menaces, consultez « Comment pouvez-vous identifier une attaque et prédire le prochain mouvement ? Il faut des renseignements pertinents sur les menaces« )

Compte tenu des enjeux actuels pour les organisations, les RSSI devraient également envisager d’investir dans des outils qui automatiser la collecte et la gestion des renseignements sur les menaces. L’automatisation accélère la détection et l’investigation tout en facilitant la collaboration entre les différents rôles et parties de l’organisation.

Un autre outil essentiel qui soutient ce processus est le Cadre MITRE ATT & CK, qui aide les organisations à appliquer les renseignements pour comprendre les tactiques, techniques et procédures (TTP) des attaquants. Vous pouvez en savoir plus sur MITRE ATT&CK et comment il peut aider votre équipe dans mon article de blog ATT&CK « Tirer parti de MITRE ATT&CK : comment votre équipe peut adopter ce cadre essentiel”.

Et enfin, il existe un modèle émergent pour comprendre le contexte et les relations entre les séquences de techniques utilisées par les attaquants. Appelé le Projet de flux d’attaque, il s’agit d’un format de données pour décrire les séquences de comportement de l’adversaire que le Center for Threat-Informed Defense développe en collaboration avec les leaders de la cybersécurité. L’objectif est que le format devienne une norme utilisée dans l’ensemble du secteur pour prendre en charge les cas d’utilisation des informations sur les menaces, y compris le processus en trois étapes décrit ci-dessus. Vous pouvez en savoir plus sur le format et en voir un exemple construit à partir d’une intrusion publique dans « Flux d’attaque—Au-delà des comportements atomiques.”

Vous souhaitez en savoir plus sur la réalisation d’opérations de sécurité basées sur le renseignement ? Je recommande de regarder le webinaire « Escalader la courbe de maturité Threat Intelligence.”

Marc Alba

_{Chef de produit chez Anomali}

_{Mark Alba est directeur des produits chez Anomali, rejoignant la société en avril 2020. Mark a plus de 20 ans d’expérience dans la création, la gestion et la commercialisation de produits et services perturbateurs. Tout au long de sa carrière, Mark a été à l’avant-garde de l’innovation, dirigeant les efforts produits dans les start-up et les grandes entreprises, notamment Check Point Technologies, Security Focus, Symantec et Hewlett Packard Enterprise.}

_{Ses antécédents éprouvés comprennent la mise sur le marché du premier pare-feu d’appliance entièrement intégré du secteur de la sécurité, la direction de l’intégration de renseignements sur les menaces mondiales dans les technologies de sécurité périmétrique et l’introduction d’analyses avancées à l’appui des opérations de cybersécurité.}