Qu’est-ce que la Threat Intelligence ?
Il existe presque autant de définitions de la Threat Intelligence (Analyse de la menace) que d’acteurs de la sécurité. Pour moi, c’est la capacité à identifier sur son infrastructure les indices de compromission auxquels l’entreprise doit faire face. Pour cela, il faut analyser les logs (connexions) à l’infrastructure afin d’identifier les signaux faibles qui permettront de remonter jusqu’à une attaque potentielle. Dans un environnement de Big data, la gestion de l’information et des événements de sécurité par un Security Information and Event Management (SIEM) permet de détecter les activités anormales. Disposer de logs pour la corrélation et la recherche est à l’évidence essentiel pour toute organisation. Les logs fournissent des informations sur ce qui se passe dans le réseau proche ou étendu, sur les postes de travail, les serveurs et dans les applications. Fraudes, attaques externes et erreurs peuvent être découvertes grâce à l’analyse des événements générés dans le réseau et aux traces qu’ils laissent.
Autant chercher une aiguille dans une botte de foin…
Le tri des informations est indispensable mais il suppose une analyse contextuelle des données recueillies : quels sont les journaux importants ? Comment déterminer si ce qui semble fonctionner sans problème est en fait une activité malveillante ou l’indication d’un piratage en cours ? En effet, une attaque est souvent polymorphe, avec des actions à plusieurs niveaux ou avec l’usage de leurres.
Pouvez-vous donner un exemple qui montre l’utilité des renseignements sur les menaces ?
Oui. Un groupe de hackers utilise un nouveau procédé pour attaquer le système de passerelle de messagerie le plus répandu au monde. Ce type d’attaque n’a jamais été utilisé. Aucune prévention face à cette situation n’est encore en place : ni antivirus ni pare-feu. Les système de détection d’intrusion [IDS : Intrusion Detection System] sont aveugles et ne reconnaissent pas l’attaque. Dans notre exemple, les pirates attaquent plusieurs cibles. Ces attaques sont captées, analysées et leur méthodologie identifiée. Cette méthodologie est alors décrite dans un langage commun et distribuée. Cette description peut être téléchargée automatiquement et utilisée pour détecter les moindres signaux faibles de l’attaque quand elle survient. Grâce à la Threat Intelligence, les attaques sont ainsi captées, décrites et partagées entre les organisations. Toujours en prenant en compte le contexte, essentiel pour appréhender l’évolution des attaques au jour le jour.
Encore faut-il avoir les sources de renseignement sur ces menaces avancées…
Pour notre part, nous souscrivons à plus de 100 sources. Entre autres, Critical Stack ou Emerging Threat. Toutes sont harmonisées en une seul langage. A partir de là, les analystes peuvent automatiser l’interrogation des événements, en les passant au crible de centaines de milliers d’indicateurs de compromission pour évaluer les données en fonction des attaques connues. L’efficacité de la protection des infrastructures de l’entreprise passe nécessairement par la connaissance des caractéristiques techniques d’une menace pour l’identifier, recueillir les informations sur la méthodologie de l’attaquant ou toute autre preuve de compromission. Le partage de ces renseignements se fait à la vitesse machine, quasiment en temps réel.
Détecter et analyser les menaces est une chose. Comment protéger ?
Obtenir par l’analyse les renseignements utiles qui permettront de contrer les diverses menaces est un défi toujours plus complexe, compte tenu de l’évolution permanente du risque et des méthodes d’attaque. Dès lors, la Threat Intelligence est une face de la cybersécurité qu’aucune personne en charge du réseau ne peut plus ignorer ou laisser de côté. Son rôle dans la défense du réseau est désormais prouvé et les informations recueillies sur les menaces ont une valeur incontournable pour les entreprises. Elles fournissent en effet aux décideurs les éléments fiables d’aide à la décision sur les avantages et les conséquences des choix qu’ils doivent opérer.
Propos recueillis par Erick Haehnsen
Commentez