En quoi consistent les renseignements sur les menaces (TI) ?

En quoi consistent les renseignements sur les menaces ?

Les renseignements sur les menaces sont des connaissances fondées sur des données probantes concernant une menace ou un danger existant ou nouveau visant les ressources. Ils peuvent servir à éclairer les décisions concernant la réaction du sujet à la menace ou au danger en question.

Présentation des renseignements sur les menaces

Les renseignements sur les cybermenaces constituent un sous-ensemble des renseignements axés sur la sécurité des renseignements. Ces renseignements visent à vous permettre de prendre de meilleures décisions sur la manière de vous défendre et de protéger votre entreprise contre les cybermenaces. Voici quelques-unes des questions auxquelles les renseignements sur les menaces peuvent répondre :

  • Qui sont mes adversaires et comment pourraient-ils m'attaquer ?
  • Comment les vecteurs d'attaque affectent-ils la sécurité de mon entreprise ?
  • Que doivent surveiller mes équipes chargées des opérations de sécurité ?
  • Comment puis-je réduire le risque d'une cyberattaque contre mon entreprise ?

Les renseignements sur les menaces sont des connaissances fondées sur des données probantes, notamment le contexte, les mécanismes, les indicateurs, les implications et les conseils pratiques, concernant une menace ou un danger existant ou nouveau visant les ressources, qui peuvent être utilisées pour éclairer les décisions concernant la réaction du sujet à la menace ou au danger en question.

Définition par Gartner des renseignements sur les menaces

Il existe généralement trois « niveaux » de renseignement sur les cybermenaces : stratégique, opérationnel et tactique.

La collecte de chaque type de renseignements est importante, car ils remplissent des fonctions différentes. Les analystes qui exploitent les connaissances cumulées de ces trois types de renseignements sont mieux à même de déterminer les solutions de sécurité à employer, la manière de les exploiter et la façon de répondre aux menaces de manière proactive et réactive.

Nous utiliserons APT29 et le secteur de l'éducation pour illustrer les différences entre ces trois types de renseignements.

TypeTitreDemi-vie d'utilité
(pour les bons et les méchants)
ObjectifBasé sur l'analyse deTypes de données de sortie
StratégiqueQui ?
Pourquoi ?
Long (pluriannuel)Non techniqueGrandes campagnes, groupes, intrusions de plusieurs victimes (et renseignements opérationnels)Rédaction de formulaires détaillés sur : la victimologie, la méthodologie annuelle, la cartographie des intrusions et des campagnes en fonction des conflits, des événements et des pressions géopolitiques
OpérationnelComment ?
Où ?
Moyen (un an et plus)Mixte (les deux véritablement)Familles entières de logiciels malveillants, groupes de menaces, analyse du comportement humain (et renseignements tactiques)Rédaction de formulaires courts, listes à puces, concernant : la persistance et les techniques de communication, les victimes, les profils de groupe, les profils familiaux, les descriptions des TTP, les déclencheurs, les modèles et les règles de méthodologie
TactiqueQuoi ?Court (mois)TechniqueÉvénements de sécurité, échantillons de logiciels malveillants individuels, e-mails d'hameçonnage, infrastructure des piratesIndicateurs atomiques et lisibles par machine tels que les IP, les domaines, les IOC, les «signatures»

Levels of threat intelligence

Renseignements tactiques sur les menaces

Les renseignements tactiques sur les menaces constituent la forme la plus élémentaire de renseignement sur les menaces. Il s'agit de vos indicateurs de compromission courants (CIO). Les renseignements tactiques permettent souvent de détecter des menaces de machine à machine et sont utilisés par les responsables d'incidents pour rechercher des artefacts spécifiques dans les réseaux d'entreprises.

Utilisation des renseignements tactiques sur les menaces

Les renseignements tactiques sur les menaces et les IOC permettent de retracer l'historique des cyberattaques, servant à la fois de corpus de données probantes (pour la conformité, l'application de la loi, les enquêtes, les objectifs juridiques, etc.) et de matériel de référence pour les analystes afin d'interpréter et d'extraire le contexte pour l'utiliser dans des opérations défensives.

Les IOC sont fournis aux analystes pour servir d'exemples d'une menace particulière, comme un échantillon de logiciel malveillant, une famille de logiciels malveillants, une campagne d'intrusion ou un agent de menace. Les analystes peuvent enrichir les alertes des solutions de sécurité par des renseignements tactiques sur les menaces afin de fournir davantage de contexte et de déterminer quelles menaces méritent d'être prises en compte et lesquelles peuvent être ignorées sans risque.

Renseignements tactiques sur les menaces pour APT29
  • 628d4f33bd604203d25dbc6a5bb35b90
  • 2aabd78ef11926d7b562fd0d91e68ad3
  • 3d3363598f87c78826c859077606e514
  • meek-reflect.appspot.com
  • portal.sbn.co.th
  • 202.28.231.44
  • hxxps://files.counseling[.]org/eFax/incoming/150721/5442.zip
  • googleService.exe
  • GoogleUpdate.exe
  • acrotray.exe
  • PCI\VEN_80EE&DEV_CAF
Renseignements tactiques sur les menaces pour le secteur de l'éducation
  • d9b7b0eda8bd28e8934c5929834e5006
  • support@securitygrade[.]org
  • 46.244.4.37

Renseignements opérationnels sur les menaces

Les renseignements opérationnels sur les menaces fournissent un aperçu des méthodologies employées par les agents et présentent les risques potentiels. Ils alimentent les programmes de détection, de réaction aux incidents et de recherche plus efficaces. Alors que les renseignements tactiques fournissent aux analystes un contexte sur des menaces déjà connues, les renseignements opérationnels rapprochent les enquêtes de la découverte de menaces entièrement nouvelles.

Ce type de renseignement est le plus souvent utilisé par les enquêteurs médico-légaux et les intervenants en cas d'incident. Il comprend généralement les types d'éléments suivants :

  • Outils destinés à des groupes de menaces particuliers (services publics, familles de portes dérobées, infrastructures communes)
  • Tactiques, techniques et procédures (TTP) destinées à des groupes de menaces particuliers (répertoires de transfert, conventions de dénomination des fichiers, ports, protocoles, types de fichiers favoris)
  • TTP émergentes (nouvelles méthodes de persistance, failles d'exploitation, schémas d'hameçonnage)

Examinez ce qui suit du point de vue de la réaction à un incident : si vous réagissez à un événement d'intrusion, vous pouvez vous demander comment un agent particulier procède à l'élévation des privilèges, au mouvement latéral ou au vol de données. Si vous recherchez des activités malveillantes non découvertes, vous pouvez commencer par rechercher le comportement d'un agent spécifique. Quel que soit votre scénario, vous devez répondre à la question suivante : « Comment recherchez-vous cet agent dans votre environnement ? »


Utilisation des renseignements opérationnels sur les menaces

Les renseignements opérationnels sur les menaces sont des connaissances acquises en examinant les détails des attaques connues. Un analyste peut construire une image fiable de la méthodologie des agents en rassemblant des indicateurs tactiques et des artefacts pour les transformer en renseignements opérationnels. Ainsi, il peut être plus facile d'atteindre un certain nombre d'objectifs défensifs, comme l'amélioration des plans de réaction aux incidents et des techniques d'atténuation pour les attaques et incidents ultérieurs.

Les analystes peuvent également mettre en œuvre et renforcer un programme de recherche proactif (« programme de recherche ») visant à identifier les fichiers et activités suspects qui ont contourné les techniques de sécurité classiques. Ils peuvent ensuite mettre au point des méthodes de détection indépendantes des IOC de manière à élargir la couverture des menaces en temps opportun.


Exemples de renseignements opérationnels sur les menaces

Exemple de renseignements opérationnels sur les menaces pour APT29
  • Vecteur d'infection préféré : harponnage avec RAR auto-extractible
  • Familles de logiciels malveillants de première étape : COZYCAR, SWIFTKICK, TADPOLE
  • Familles de logiciels malveillants de deuxième étape : SEADADDY, MINIDIONIS, SPIKERUSH
  • Techniques de persistance
    • Tâches programmées pour la plupart des portes dérobées
    • WMI par installation manuelle pour les portes dérobées sans persistance intégrée
    • Remplacement légitime du fichier de rapport d'erreurs Windows (wermgr.exe)
  • Utilisation de TOR pour C2
  • Utilisation de Google Docs pour C2
  • Utilisation de Google Cloud Apps pour la redirection C2 (en tant que proxy)
  • Utilisation de requêtes HTTP POST sur 443 pour C2
  • Utilisation de portes dérobées configurées pour les ports 1, 80, 443, 3389 pour C2
  • Utilisation de scripts PowerShell
  • Utilisation de Py2Exe pour modifier et recompiler des portes dérobées avec des variantes dans les protocoles C2 et l'infrastructure C2
Exemple de renseignement opérationnel sur les menaces pour le secteur de l'éducation
  • Les vecteurs d'attaque les plus courants sont le harponnage, les points d'eau et l'injection SQL
  • Harponnage de professeurs d'université spécialisés dans l'intégration des nouvelles technologies dans les salles de classe
  • Harponnage des recruteurs et des personnes impliquées dans les processus d'embauche
  • Les attaques les plus courantes sont le harponnage et l'injection SQL (SQLi)
  • Familles courantes de logiciels malveillants : PISCES, SOGU, LOGJAM, COBALT, COATHOOK, POISONIVY, NJRAT, NETWIRE
  • Familles courantes de tests d'intrusion : Meterpreter, PowerShell Empire, Metasploit Framework
  • Utilisation de Dropbox pour C2
  • Utilisation de protocoles HTTPS et TCP personnalisés pour C2
  • Utilisation de TLD .ru, .su pour les domaines C2
  • Utilisation de yandex.ru et bk.ru pour les adresses e-mail
  • Vol de bases de données contenant des noms d'étudiants, des informations d'identification administratives, des informations de facturation, des numéros de sécurité sociale et d'autres données à caractère personnel.

Renseignements stratégiques sur les menaces

Les renseignements stratégiques sur les menaces offrent une vue d'ensemble de l'évolution des menaces et des attaques au fil du temps. Les renseignements stratégiques sur les menaces permettent d'identifier les tendances historiques, les motivations ou les attributions concernant les auteurs d'une attaque. Connaître vos adversaires et leurs motivations fournit également des indices sur leurs opérations et tactiques ultérieures. Les renseignements stratégiques constituent donc un point de départ fiable pour choisir les mesures défensives les plus efficaces.

Les renseignements stratégiques sur les menaces peuvent comprendre des informations sur les sujets suivants :

  • Attribution des intrusions et des violations de données
  • Tendances des groupes d'agents
  • Ciblage des tendances par secteur industriel et zone géographique
  • Cartographie des cyberattaques par rapport aux conflits et événements géopolitiques (mer de Chine méridionale, printemps arabe, Russie-Ukraine)
  • Statistiques mondiales sur les violations, les logiciels malveillants et les vols d'informations
  • Les principaux TTP de piratage évoluent au fil du temps

Utilisation des renseignements stratégiques sur les menaces

Les renseignements stratégiques sur les menaces reposent sur un vaste ensemble de connaissances et comprennent des opinions et des avis d'experts qui se fondent sur le regroupement de renseignements opérationnels et tactiques sur les menaces provenant de cyberattaques connues. Ces renseignements sont particulièrement utiles pour les personnes occupant des postes de direction telles que les responsables de la sécurité des systèmes d'information et les cadres supérieurs qui doivent justifier les budgets et prendre des décisions d'investissement plus éclairées. Parmi les utilisations des renseignements stratégiques sur les menaces, on peut citer :

  • Informez votre direction des agents à haut risque, des scénarios de risque pertinents et de l'exposition aux menaces dans le domaine des technologies destinées au public et de la clandestinité criminelle.
  • Procédez à une analyse approfondie des risques et examinez l'ensemble de la chaîne d'approvisionnement technologique.
  • Identifiez les entreprises commerciales, les fournisseurs, les entreprises partenaires et les produits technologiques les plus susceptibles d'accroître ou de réduire les risques auxquels votre environnement d'entreprise est exposé.

Exemples de renseignements stratégiques sur les menaces

Renseignements stratégiques sur les menaces pour APT29
  • APT29 est un agent situé en Russie qui mène généralement des missions de cyberespionnage en vue de voler des données.
  • Parmi les victimes d'APT29, on compte de nombreuses organisations mondiales du secteur public, de l'éducation, de la haute technologie, de la finance, des organisations à but non lucratif, de l'industrie pharmaceutique et de la base industrielle de défense.
  • APT29 est un groupe adaptable et sophistiqué, capable de développer des outils d'attaque personnalisés, une infrastructure de commandement et de contrôle sophistiquée. Contrairement aux comportements historiques des agents commandités par l'État russe, ce groupe a l'audace de continuer à opérer longtemps après avoir été détecté.
  • Par le passé, APT29 a été chargé de mener des opérations concernant les questions de politique étrangère des gouvernements, en particulier celles liées au conflit entre la Russie et l'Ukraine. En outre, le groupe a ciblé plusieurs organismes gouvernementaux nationaux occidentaux, des entrepreneurs de la défense et du gouvernement, et des établissements universitaires.
Renseignements stratégiques sur les menaces pour le secteur de l'éducation
  • L'infrastructure informatique éducative comporte une base d'utilisateurs diversifiée et se compose donc généralement de toute une gamme de systèmes d'exploitation, de types d'ordinateurs, de logiciels et de tonnes de serveurs et de sites web accessibles au public depuis Internet. Les universités et les installations de recherche universitaires constituent donc des cibles de choix pour les pirates, à la fois comme lieux de vol de données utiles et comme points de passage pour d'autres opérations d'intrusion.
  • Dans un avenir proche, le secteur de l'éducation continuera de faire l'objet de manœuvres de cyberespionnage. Nous nous attendons à ce que les agents de la Chine, de la Russie, de l'Iran et d'autres pays mènent des opérations d'espionnage visant à voler des données, des informations commerciales, des renseignements économiques et à surveiller la diaspora.
  • • On a observé plusieurs groupes ayant mené des opérations d'intrusion qui ont touché des établissements universitaires, notamment des universités et des centres de recherche :
    • APT10 alias « Groupe MenuPass »
    • APT22 alias « Équipe Barista »
    • APT29 aka « Les ducs »

Renseignements sur les menaces et objectifs commerciaux

Les renseignements sur les menaces ont toujours pour but d'éclairer la prise de décision et de guider les mesures. Cependant, il est fréquent que les entreprises aient des difficultés à déterminer la valeur de leur équipe, de leurs processus et de leurs outils de renseignement sur les menaces. La terminologie des renseignements sur les menaces ne correspond généralement pas au lexique des affaires, ce qui entraîne des malentendus quant à leur objectif et à leur valeur.

Les entreprises peuvent aider à valoriser leurs programmes de renseignement en les inscrivant dans un ensemble de priorités génériques de niveau macro, comme on peut le voir ci-dessous (non exhaustif) :

  • Croissance du chiffre d'affaires
  • Réduction des dépenses
  • Réduction et atténuation des risques
  • Satisfaction et fidélisation des clients
  • Satisfaction et fidélisation des employés
  • Conformité et réglementation

Une fois que l'équipe de renseignements sur les menaces comprend les objectifs de l'entreprise, elle peut orienter ses opérations et ses efforts en vue de soutenir l'entreprise. Toutes les priorités de l'entreprise ne concorderont pas parfaitement avec les capacités en matière de renseignements sur les menaces, et c'est normal. Vous pouvez gagner en précision et en nuances en fonction de vos besoins. Voici quelques objectifs de base pour une équipe de renseignements sur les menaces :

  • Réduction des dépenses liées à la fraude et à la cybercriminalité
    • Collaborez avec l'équipe chargée de la fraude afin de déterminer les trois à cinq principaux types de fraude et demandez-lui quels renseignements lui permettraient de les détecter et de les prévenir à l'avenir.
  • Prévention de la perte de données
    • Que révèle l'analyse des tickets d'incident sur la nature et le type de données ciblées lors de violations de données antérieures ?
    • Quelles vulnérabilités ont été exploitées et par quels moyens ?
  • Protection des données à caractère personnel
    • Quels systèmes stockent les données à caractère personnel et en quoi les vulnérabilités de ces systèmes correspondent-elles aux vecteurs d'exploitation connus ?
  • Réduction des risques commerciaux
    • Les renseignements sur les menaces peuvent se concentrer sur la réduction des risques liés à la perte de données et aux menaces extérieures en identifiant les agents et en obtenant des renseignements sur les menaces extérieures qui visent leur secteur, en veillant à la mise en place de techniques et de mécanismes de détection et à leur capacité à détecter ces menaces.

Évolution des renseignements sur les menaces

Les renseignements sur les menaces continueront à évoluer et à constituer une fonction de sécurité essentielle. L'intégration de renseignements tactiques, opérationnels et stratégiques sur les menaces fournira de précieuses informations sur les méthodes des IOC et des agents de la menace. Vous obtiendrez ainsi des environnements plus sûrs dans lesquels vous pourrez identifier les pirates. Un nombre croissant d'organisations des secteurs public et privé utilisent désormais les renseignements sur les cybermenaces. Une étude récente publiée par le Ponemon Institute a révélé que 80 % des organisations y ont recours et qu'un pourcentage encore plus élevé les considère comme essentielles.

Les organisations ayant recours aux renseignements sur les cybermenaces traitent de nombreux problèmes en matière de sécurité. Elles détectent les menaces avancées et y réagissent. Elles empêchent les violations de données et protègent les données sensibles. Elles réduisent les coûts liés à la cybercriminalité et à la fraude. Plus important encore, elles réduisent les risques commerciaux dans leur ensemble.

Évolution des renseignements sur les menaces

Les informations figurant sur cette page vous permettront de bien comprendre en quoi consistent les renseignements sur les cybermenaces et quelle est leur valeur ajoutée. Toutefois, il ne s'agit là que d'un début. Outre ces informations, Anomali fournit de nombreuses ressources pouvant vous aider à prendre une décision éclairée quant aux raisons pour lesquelles vous devriez renforcer vos capacités en matière de renseignements sur les cybermenaces et à la manière de les intégrer en toute fluidité.