Qu'est-ce que le renseignement sur les menaces ?

Le renseignement sur les menaces est une connaissance fondée sur des preuves concernant une menace ou un danger existant ou émergent pour les actifs qui peut être utilisée pour éclairer les décisions concernant la réponse du sujet à cette menace ou à ce danger.

Présentation du renseignement sur les menaces

Le renseignement sur les cybermenaces est un sous-ensemble du renseignement axé sur la sécurité de l'information. Ces informations sélectionnées sont destinées à vous aider à prendre de meilleures décisions quant à la manière de vous défendre et de défendre votre entreprise contre les cybermenaces. Les renseignements sur les menaces peuvent répondre aux questions suivantes :

Qui sont mes adversaires et comment pourraient-ils m'attaquer ?
Comment les vecteurs d'attaque affectent-ils la sécurité de mon entreprise ?
À quoi mes équipes chargées des opérations de sécurité doivent-elles être attentives ?
Comment puis-je réduire le risque d'une cyberattaque contre mon entreprise ?

« Les renseignements sur les menaces sont des connaissances fondées sur des preuves, y compris le contexte, les mécanismes, les indicateurs, les implications et les conseils pratiques, concernant une menace ou un danger existant ou émergent pour les actifs, qui peuvent être utilisées pour éclairer les décisions concernant la réponse du sujet à cette menace ou à ce danger. »

Définition du renseignement sur les menaces par Gartner

Niveaux de renseignement sur les menaces

Les renseignements sur les cybermenaces sont généralement considérés à trois niveaux :

Stratégique : répondre au « qui » et au « pourquoi »
Opérationnel : répondre au comment et au où
Tactique : répondre au quoi

L'utilisation de chaque instance de renseignement est importante car elle remplit des fonctions différentes. Les analystes qui tirent parti de la somme des connaissances de ces trois types de renseignements sont mieux à même de déterminer quelles solutions de sécurité utiliser, comment les exploiter et comment répondre aux menaces de manière proactive et réactive.

Stratégique
Qui ?
Pourquoi ?
Longue (pluriannuelle)
Non technique
Grandes campagnes, groupes, intrusions impliquant plusieurs victimes (et informations opérationnelles)
Rédaction détaillée sur la victimologie, la méthodologie YoY, la cartographie des intrusions et des campagnes en fonction des conflits, des événements et des pressions géopolitiques
Opérationnel
Comment ? Où ?
Moyen (un an et plus)
Mixte
Familles complètes de malwares, groupes de menaces, analyse du comportement humain (et informations tactiques)
Rédaction abrégée, listes à puces, sur : les techniques de persistance et de communication, les victimes, les profils de groupe, les profils familiaux, les descriptions TTP, les déclencheurs, les modèles et les règles méthodologiques
Tactique
Quoi ?
Court (mois)
Technique
Événements de sécurité, échantillons de malwares individuels, e-mails de phishing, infrastructure pour les attaquants
Indicateurs atomiques et lisibles par machine tels que les adresses IP, les domaines, les IOC, les « signatures »

Renseignements tactiques sur les menaces

Le renseignement tactique sur les menaces est la forme la plus élémentaire de renseignement sur les menaces. Il s'agit de vos indicateurs courants de compromission (IOC). Le renseignement tactique est souvent utilisé pour la détection automatique des menaces et pour les intervenants en cas d'incident afin de rechercher des artefacts spécifiques dans les réseaux d'entreprise.

Utilisation de renseignements tactiques sur les menaces

Les renseignements tactiques sur les menaces et les IOC sont destinés à documenter les cyberattaques de manière historique, en servant à la fois de corpus de preuves (à des fins de conformité, d'application de la loi, d'enquêtes, à des fins juridiques, etc.) et de matériel de référence permettant aux analystes d'interpréter et d'extraire le contexte à utiliser dans le cadre d'opérations défensives.

Les IoC sont fournis aux analystes pour servir d'exemples d'une menace particulière, comme un échantillon de malware, une famille de logiciels malveillants, une campagne d'intrusion ou un acteur de la menace. Les analystes peuvent enrichir les alertes des solutions de sécurité avec des informations tactiques sur les menaces afin de fournir plus de contexte et de déterminer quelles menaces méritent d'être préoccupées et lesquelles peuvent être ignorées en toute sécurité.

Renseignements tactiques sur les menaces pour APT29

628d4f33bd604203d25dbc6a5bb35b90
2aabd78ef11926d7b562fd0d91e68ad3
3d3363598f87c78826c859077606e514
meek-reflect.appspot.com
portail.sbn.co.th
202,28,231,44
hxxps : //files.counseling [.] org/eFax/incoming/150721/5442.zip
googleService.exe
GoogleUpdate.exe
acrotray.exe
PCI \ VEN_80EE&DEV_CAF

Renseignements tactiques sur les menaces pour le secteur de l'éducation

d9b7b0eda8bd28e8934c5929834e5006
support @securitygrade [.] org
46,244,4,37

Renseignements sur les menaces opérationnelles

Le renseignement opérationnel sur les menaces fournit un aperçu des méthodologies des acteurs et expose les risques potentiels. Il alimente des programmes de détection, de réponse aux incidents et de chasse plus pertinents. Alors que le renseignement tactique fournit aux analystes le contexte de menaces déjà connues, le renseignement opérationnel rapproche les enquêtes de la découverte de menaces totalement nouvelles.

Ce type de renseignement est le plus souvent utilisé par les enquêteurs judiciaires et les intervenants en cas d'incident et comprend généralement les types d'éléments suivants :

Outils destinés à des groupes de menaces particuliers (services publics, familles de portes dérobées, infrastructures communes)
Tactiques, techniques et procédures (TTP) pour des groupes de menaces particuliers (répertoires intermédiaires, conventions de dénomination des fichiers, ports, protocoles, types de fichiers favoris)
TTP émergents (nouvelles méthodes de persistance, exploits, systèmes de phishing)

Du point de vue de la réponse aux incidents, considérez les points suivants : si vous répondez à un événement d'intrusion, vous vous demandez peut-être comment un acteur en particulier procède à une escalade de privilèges, à un mouvement latéral ou à un vol de données. Si vous recherchez une activité malveillante non découverte, vous pouvez commencer votre recherche en recherchant le comportement d'un acteur spécifique. Quel que soit votre scénario, vous devez répondre à la question « Comment recherchez-vous cet acteur dans votre environnement ? »

Utilisation de renseignements opérationnels sur les menaces

Les renseignements opérationnels sur les menaces sont des connaissances acquises en examinant les détails des attaques connues. Un analyste peut se faire une idée précise de la méthodologie des acteurs en rassemblant des indicateurs tactiques et des artefacts pour les intégrer au renseignement opérationnel. Cela peut aider à atteindre un certain nombre d'objectifs défensifs, tels que l'amélioration des plans de réponse aux incidents et des techniques d'atténuation pour les attaques et les incidents futurs.

Les analystes peuvent également mettre en œuvre et renforcer un programme de découverte proactif (« programme de chasse ») pour identifier les fichiers suspects et les activités qui ont contourné les technologies de sécurité traditionnelles. À partir de là, ils peuvent développer des méthodologies de détection qui ne dépendent pas des IOC, garantissant une couverture plus large des menaces en temps opportun.

Exemples de renseignements sur les menaces opérationnelles

Exemple de renseignement sur les menaces opérationnelles pour APT29
Vecteur d'infection préféré : spear phishing avec RAR auto-extractible
Familles de malwares de premier stade : COZYCAR, SWIFTKICK, TADPOLE
Familles de malwares de deuxième phase : SEADADDY, MINIDIONIS, SPIKERUSH
Techniques de persévérance
  • Tâches planifiées pour la plupart des portes dérobées
  • WMI par installation manuelle pour les portes dérobées qui n'ont pas de persistance intégrée
  • Remplacement légitime du fichier de rapport d'erreurs Windows (wermgr.exe)
Utilisation de TOR pour C2
Utilisation de Google Docs pour C2
Utilisation de Google Cloud Apps pour le transfert C2 (en tant que proxy)
Utilisation de requêtes HTTP POST supérieures à 443 pour C2
Utilisation de portes dérobées configurées pour les ports 1, 80, 443, 3389 pour C2
Utilisation de scripts PowerShell
Utilisation de Py2Exe pour modifier et recompiler les portes dérobées avec des variations dans les protocoles C2 et l'infrastructure C2
Exemple de renseignement sur les menaces opérationnelles pour le secteur de l'éducation
Les vecteurs d'attaque courants sont le spear phishing, les trous d'eau et l'injection SQL
Professeurs d'université spécialisés dans l'intégration des nouvelles technologies dans les salles de classe
Le spear phishing destiné aux recruteurs et aux personnes impliquées dans les processus de recrutement
Les attaques les plus courantes sont le spear-phishing et l'injection SQL (SQLi)
Familles de malwares courantes : PISCES, SOGU, LOGJAM, COBALT, COATHOOK, POISONIVY, NJRAT, NETWIRE
Familles de pentests courantes : Meterpreter, PowerShell Empire, Metasploit Framework
Utilisation de Dropbox pour C2
Utilisation de protocoles HTTPS et TCP personnalisés pour C2
Utilisation des TLD .ru et .su pour les domaines C2
Utilisation de yandex.ru et bk.ru pour les adresses e-mail
Vol de bases de données contenant les noms des étudiants, les informations administratives, les informations de facturation, les numéros de sécurité sociale et d'autres informations d'identification personnelle.

Renseignements stratégiques sur les menaces

Les renseignements stratégiques sur les menaces fournissent une vue d'ensemble de l'évolution des menaces et des attaques au fil du temps. Le renseignement stratégique sur les menaces peut permettre d'identifier les tendances historiques, les motivations ou les attributions quant à l'identité des personnes à l'origine d'une attaque. Connaître l'identité et le pourquoi de vos adversaires fournit également des indices sur leurs opérations et tactiques futures. Cela fait du renseignement stratégique un point de départ solide pour décider quelles mesures défensives seront les plus efficaces.

Les renseignements stratégiques sur les menaces peuvent inclure des informations sur les sujets suivants :

Attribution pour les intrusions et les violations de données
Tendances des groupes d'acteurs
Ciblage des tendances pour les secteurs industriels et les zones géographiques
Associer les cyberattaques aux conflits et événements géopolitiques (mer de Chine méridionale, printemps arabe, Russie-Ukraine)
Statistiques mondiales sur les violations, les logiciels malveillants et le vol d'informations
Le TTP des principaux attaquants change au fil du temps

Utilisation de renseignements stratégiques sur les menaces

Le renseignement stratégique sur les menaces repose sur un vaste ensemble de connaissances et comprend des avis d'experts et des idées qui sont basés sur l'agrégation de renseignements opérationnels et tactiques sur les menaces provenant de cyberattaques connues. Ces informations sont particulièrement utiles pour les personnes occupant des postes de direction, tels que les RSSI et les dirigeants, qui doivent justifier leurs budgets et prendre des décisions d'investissement plus éclairées. Le renseignement stratégique sur les menaces peut notamment être utilisé pour :

Informez vos dirigeants sur les acteurs de menaces à haut risque, les scénarios de risque pertinents et l'exposition aux menaces dans la sphère technologique destinée au public et dans la clandestinité criminelle.
Effectuez une analyse approfondie des risques et un examen de l'ensemble de la chaîne d'approvisionnement technologique.
Découvrez les entreprises commerciales, les fournisseurs, les entreprises partenaires et les produits technologiques les plus susceptibles d'augmenter ou de réduire les risques pour l'environnement de votre entreprise.

Exemples de renseignements stratégiques sur les menaces

Renseignements stratégiques sur les menaces pour APT29
APT29 est un acteur basé en Russie qui se livre généralement au cyberespionnage dans le but de voler des données.
Parmi les victimes de l'APT29 figurent de nombreuses organisations mondiales dans les domaines du gouvernement, de l'éducation, de la haute technologie, de la finance, des organisations à but non lucratif, de l'industrie pharmaceutique et de la base industrielle de défense.
APT29 est un groupe sophistiqué et adaptable capable de développer des outils d'attaque personnalisés, une infrastructure de commande et de contrôle alambiquée. Contrairement aux comportements historiques des acteurs parrainés par l'État russe, ce groupe a l'audace de continuer à fonctionner longtemps après avoir été détecté.
L'APT29 a toujours été chargée de mener des opérations liées à des questions de politique étrangère des gouvernements, en particulier celles liées au conflit russo-ukrainien. En outre, le groupe a pris pour cible plusieurs agences gouvernementales nationales occidentales, des sous-traitants du secteur de la défense et du gouvernement, ainsi que des institutions universitaires.
Renseignements stratégiques sur les menaces pour le secteur de l'éducation
L'infrastructure informatique éducative compte une base d'utilisateurs diversifiée et comprend donc généralement une myriade de systèmes d'exploitation, de types d'ordinateurs, de logiciels et de tonnes de serveurs et de sites Web accessibles au public depuis Internet. Cela fait des universités et des centres de recherche universitaires des cibles de choix pour les attaquants, à la fois en tant que lieux où voler des données précieuses et en tant que points de départ pour d'autres opérations d'intrusion.
Le secteur de l'éducation continuera de subir des activités de cyberespionnage dans un avenir proche. Nous attendons des acteurs de la menace de Chine, de Russie, d'Iran et d'autres pays qu'ils mènent des opérations d'espionnage à des fins de vol de données, d'informations commerciales, de renseignement économique et de surveillance de la diaspora.
Plusieurs groupes ont été observés en train de mener des opérations d'intrusion qui ont touché des institutions universitaires, notamment des universités et des centres de recherche :
  • APT10 alias « MenuPass Group »
  • APT22 alias « Barista Team »
  • APT29 alias « The Dukes »

Renseignements sur les menaces et objectifs commerciaux

Le renseignement sur les menaces a toujours un objectif pour éclairer la prise de décisions et inciter à l'action. Cependant, il n'est pas rare que les entreprises aient du mal à déterminer la valeur de leur équipe, de leurs processus et de leurs outils de renseignement sur les menaces. La terminologie du renseignement sur les menaces n'est généralement pas compatible avec le lexique commercial, ce qui entraîne des malentendus quant à son objectif et à sa valeur.

Les entreprises peuvent aider à tirer parti de leurs programmes de renseignement en les alignant sur un ensemble de priorités générales au niveau macroéconomique, comme indiqué ci-dessous (pas exhaustif) :

Augmentez vos revenus
Diminution des dépenses
Réduire et atténuer les risques
Satisfaction et fidélisation de la clientèle
Satisfaction et rétention des employés
Conformité - Réglementation

Une fois que l'équipe chargée du renseignement sur les menaces comprend les objectifs commerciaux, elle peut aligner ses opérations et ses efforts pour soutenir l'entreprise. Les priorités commerciales ne seront pas toutes parfaitement alignées sur les capacités de renseignement sur les menaces, et ce n'est pas grave. Vous pouvez développer la granularité et les nuances au fur et à mesure que vous définissez vos exigences. Voici quelques objectifs de départ pour toute équipe de renseignement sur les menaces :

Réduire les dépenses liées à la fraude et à la cybercriminalité
  • Collaborez avec l'équipe chargée des fraudes pour déterminer les 3 à 5 principaux types de fraude et demandez-leur quelles informations pourraient les aider à détecter et à prévenir de telles fraudes à l'avenir.
Prévenir la perte de données
  • Que révèle l'analyse des tickets d'incident sur la nature et le type de données ciblées lors de précédentes violations de données ?
  • Quelles vulnérabilités ont été exploitées et par quels moyens ?
Protégez les informations personnelles
  • Quels systèmes stockent les informations personnelles et comment les vulnérabilités de ces systèmes correspondent-elles à des vecteurs d'exploitation connus ?
Réduire les risques commerciaux
  • Les TI peuvent se concentrer sur la réduction des risques liés à la perte de données et aux menaces externes en identifiant les acteurs et en recueillant des informations sur les menaces externes ciblant leur secteur d'activité, en s'assurant que des techniques et des mécanismes de détection sont en place et capables de détecter ces menaces.

Évolution du renseignement sur les menaces

Le renseignement sur les menaces continuera d'évoluer et constituera une fonction de sécurité clé. L'intégration de renseignements tactiques, opérationnels et stratégiques sur les menaces fournira des informations précieuses sur les IOC et les méthodologies des acteurs de la menace. Cela permettra de créer des environnements plus sécurisés dans lesquels vous pourrez identifier vos adversaires. Un nombre croissant d'organisations des secteurs public et privé utilisent désormais les renseignements sur les cybermenaces. Une étude récente publiée par le Ponemon Institute a révélé que 80 % des organisations l'utilisent et qu'un pourcentage encore plus élevé le considère comme essentiel.

Les organisations qui utilisent le renseignement sur les cybermenaces font face à de nombreux défis en matière de sécurité. Ils détectent les menaces avancées et y répondent. Ils préviennent les violations de données et protègent les informations sensibles. Ils réduisent les coûts liés à la cybercriminalité et à la fraude. Plus important encore, ils réduisent le risque commercial global.