Threat Intelligence : la mise en œuvre

Notre série sur la Threat Intelligence (TI) touche à sa fin. Dans le premier volet, nous découvrions ce qu’était la Theat Intelligence quand dans le second nous nous concentrions sur ses différentes approches, techniques et stratégiques. Dans ce troisième et dernier épisode, nous vous expliquons comment la mettre en place au sein de votre entité.

Avant de se lancer dans la mise en place d’une solution de Threat Intelligence, une entreprise doit se poser les questions suivantes :

• Quelles sont nos ressources critiques ?
• Dans quel type de solution de sécurité avons-nous déjà investi et comptons-nous investir davantage ?
• Comment nos capacités et ressources humaines seront-elles impactées par la mise en place d’une solution de Threat Intelligence ?
• Quels types de ressources voulons-nous investir dans ce projet ?

Une fois ces réponses obtenues, vous pourrez mieux appréhender la mise en place d’une solution de Threat Intelligence qui devra s’appuyer sur la politique de sécurité de l’entreprise. Mais par où commencer ?

C’est un prérequis primordial. Contexte de l’entreprise (secteur d’activité, taille…), actifs essentiels à protéger… plusieurs aspects sont à prendre en compte afin d’identifier les besoins de votre entreprise en matière de Threat Intelligence.

La première étape vous sert en effet à définir vos besoins : Qui sommes-nous ? De quoi avons-nous besoin ? Que voulons-nous ? Là encore, c’est en vous posant les bonnes questions que vous pourrez mieux cerner vos attentes et opter pour la solution de Threat Intelligence la plus adaptée. Ces références ainsi constituées vous seront précieuses tout au long de la mise en place de votre solution de TI.

Après les besoins viennent les objectifs. Ceux-ci doivent être clairs et réalisables. Il faudra également fixer des critères mesurables qui faciliteront par la suite la validation de la solution.

Ainsi, durant tout le cycle de vie de la solution, il demeure important que l’équipe de Threat Intelligence soit en relation avec les utilisateurs de la solution, comme le Security Operations Center (SOC) mais aussi les décisionnaires, dans un souci de rapidité d’actions.

Développer un programme de Threat Intelligence étant un projet à long terme, il est important de hiérarchiser vos objectifs : renseignez-vous sur les solutions et outils existants et quantifiez en amont les ressources associées, qu’elles soient humaines, techniques ou financières.

De nombreuses sources de Threat Intelligence existent. Pour ne pas se retrouver avec de grandes quantités de données inutiles, il demeure primordial de bien les choisir.

Le but premier de la Threat Intelligence n’est pas de recueillir un maximum d’informations, mais de se concentrer sur les plus pertinentes en lien avec les besoins et les objectifs définis dans l’étape 1. La gestion du volume de collecte de data et leur utilité sont donc des facteurs clés pour rester efficaces.

Ainsi, selon vos objectifs de Threat Intelligence, vous ne collecterez pas les mêmes types de données :

• Objectif de protection « simple » : il vous faudra constituer une base d’Indicateurs de compromission (IOC) la plus large possible et la coupler automatiquement avec des outils qui bloqueront les tentatives d’attaques reconnues ;
• Objectif de Threat Intelligence : il vous faudra privilégier les menaces de plus grande ampleur comme les Advanced Persistent Threat (APT) ou les attaques émergentes/mouvantes (comme la campagne Dridex ou le Cryptolocker).

L’importance du choix et de la contextualisation des données récoltées

Les données collectées devront concerner votre organisation (votre secteur, votre matériel, votre localisation.). En effet, si un flux comporte 90% d’informations concernant le domaine financier et que vous n’êtes pas positionné sur ce secteur, l’utiliser n’est probablement pas intéressant.

En fonction de vos ressources, attention donc à la redondance des données. Par exemple, si deux flux ont un contenu quasiment identique, mieux vaut n’en garder qu’un.

De plus, l’analyse de votre trafic interne (aussi appelé SIGINT pour Signals Intelligence) vous permettra de repérer des anomalies spécifiques à vos activités, il est donc important d’en tenir compte.

Pour démarrer, privilégiez ainsi des données déjà « pré-contextualisées ». Une fois que le programme de Threat Intelligence sera bien implémenté, vous pourrez enrichir ces informations avec des données brutes.

Chaque donnée devra, au minimum, comporter un facteur temporel (durée de vie) et un indice de confiance, qui sera le plus souvent relatif à sa source. Vous éviterez ainsi les faux-positifs et obtiendrez des résultats pertinents et exploitables.

Le stockage et le traitement des données

Il est possible de stocker les données collectées dans des tableurs, de transmettre les informations via emails aux concernés, ou encore de les injecter directement dans votre Security Information and Event Management (SIEM). À ce stade, ce ne sont souvent que des données non formatées.

Assez rapidement, la quantité de données deviendra trop importante pour être gérée de cette façon et les analystes risquent de se retrouver submergés. Dans le meilleur des cas, les mails et tableurs cesseront d’être consultés mais le plus grand risque est de rendre le SIEM inutilisable et de compliquer le travail des équipes de sécurité. En effet, une trop grande quantité d’informations non contextualisées dans un SIEM génèrera de nombreux faux positifs qui empêcheront la détection des vrais problèmes.

Si collecter une grande quantité de données auprès de différentes sources est nécessaire à la production de TI, les analystes humains n’ont pas besoin de voir l’ensemble de ces données. Votre solution de Threat Intelligence ne devrait fournir aux analystes que les informations et renseignements dont ils ont besoin pour prendre des décisions réactives et proactives. Il faut donc investir dans une plateforme de Threat Intelligence.

Quand la quantité de données collectées devient trop importante pour être gérée « manuellement », c’est le moment d’investir dans une plateforme de Threat Intelligence et d’aller au-delà de la simple collecte « passive » de données (aussi appelée l’analyse de données évènementielles).

La plateforme de Threat Intelligence permettra d’automatiser un certain nombre d’actions et de contextualiser davantage les informations récupérées. Elle aidera les équipes de sécurité à prioriser les alertes selon leur dangerosité et à prendre de bonnes décisions notamment en catégorisant les données (type d’attaque et de menace par exemple). Pour cela, la contextualisation des informations est essentielle et la plateforme devra toujours être la plus à jour possible.

Faut-il créer soi-même sa plateforme de Threat Intelligence ou acheter une solution existante ?

Encore une fois cela dépend de vos besoins, de votre organisation et de vos ressources :

• Avez-vous les ressources et les compétences nécessaires à la construction et l’entretien d’une plateforme de Threat Intelligence ?
• Pouvez-vous créer une plateforme meilleure et/ou plus rentable que celles existantes ?
• Votre organisation a-t-elle des besoins trop spécifiques pour les plateformes standard ?
• Votre plateforme « maison » pourra-t-elle suivre l’évolution constante des menaces ?

Il peut être intéressant de construire vous-même votre plateforme si :

• vos ressources vous permettent de construire et de maintenir une plateforme de Threat Intelligence la plus exhaustive possible pendant au moins 3 à 5 ans ;
• vos besoins ne correspondent pas à ce qui est disponible sur le marché.

Dans le cas contraire, faire appel à un fournisseur ou à un constructeur de plateformes de Threat Intelligence sera très probablement plus avantageux.

Une fois la plateforme choisie et mise en place, il ne reste plus qu’à recommencer le processus. Pourquoi ? Parce qu’un programme de Threat Intelligence est itératif et doit être continuellement amélioré et mis à jour. Des sources vont devenir obsolètes et de nouvelles vont apparaître pour les remplacer ou pour les compléter face à de nouvelles menaces.

À chaque ajout de sources, une période de vérification est nécessaire afin de s’assurer que celles-ci ne génèrent pas trop de faux positifs et ajoutent bien de la valeur à votre solution de TI. Il faudra également enrichir les données existantes par de nouveaux moyens, que ce soit en utilisant d’autres sources ou par des algorithmes.

Plus le programme sera mature, plus il sera exhaustif et riche en contextes. Bien entendu, il ne faudra pas ajouter plus d’informations que l’on ne peut en gérer efficacement. Comme pour toutes les solutions de sécurité, le plus important est de trouver un équilibre entre ce que l’on peut traiter et ce dont on a besoin pour maintenir ou augmenter la sécurité de son entreprise.

Les meilleures solutions de Threat Intelligence sont capables de contextualiser leurs renseignements et évaluer leurs alertes en se servant de multiples sources externes et d’indicateurs internes. Ainsi, les alertes qui sont au final poussées vers les analystes sont moins nombreuses et de bien meilleure qualité, ce qui leur permet de prendre des décisions plus facilement, plus rapidement et plus pro-activement.

Bien qu’il soit indispensable de pouvoir identifier du trafic malicieux et d’y réagir instantanément, ce ne doit pas être le but final de la Threat Intelligence. Adopter une approche plus stratégique permettra à une entreprise ayant un programme suffisamment mature :

• d’identifier les menaces émergentes qui concernent son secteur, ses concurrents, ses vendeurs et ses fournisseurs ;
• d’obtenir des renseignements utiles pour l’ensemble de sa stratégie de sécurité ;
• de découvrir de nouvelles menaces, méthodes d’attaques et exploits avant qu’ils ne soient un danger ;

d’analyser les tendances de menaces et ainsi être en mesure d’organiser ses ressources de façon à s’en protéger.