Qu'est-ce que la veille sur les menaces ?

Le renseignement sur les menaces est une connaissance factuelle d'une menace ou d'un danger existant ou émergent pour les biens, qui peut être utilisée pour éclairer les décisions concernant la réponse du sujet à cette menace ou à ce danger.

Introduction au renseignement sur les menaces

La veille sur les cybermenaces est un sous-ensemble de la veille axée sur la sécurité de l'information. Ces informations sont destinées à vous aider à prendre de meilleures décisions sur la manière de vous défendre et de défendre votre entreprise contre les cybermenaces. Voici quelques-unes des questions auxquelles la veille sur les menaces peut répondre :

Qui sont mes adversaires et comment peuvent-ils m'attaquer ?
Comment les vecteurs d'attaque affectent-ils la sécurité de mon entreprise ?
Que doivent surveiller mes équipes chargées des opérations de sécurité ?
Comment puis-je réduire le risque d'une cyberattaque contre mon entreprise ?

"Le renseignement sur les menaces est une connaissance fondée sur des preuves, y compris le contexte, les mécanismes, les indicateurs, les implications et les conseils exploitables, concernant une menace ou un danger existant ou émergent pour les biens, qui peut être utilisée pour éclairer les décisions concernant la réponse du sujet à cette menace ou à ce danger".

Définition de la veille sur les menaces par Gartner

Niveaux de renseignement sur les menaces

Le renseignement sur les cybermenaces est généralement considéré à trois niveaux :

Stratégique : répondre aux questions "Qui" et "Pourquoi" ?
Opérationnel : Répondre au comment et au où
Tactique : Répondre à la question "Quoi ?

Il est important d'utiliser chaque type de renseignement car ils remplissent des fonctions différentes. Les analystes qui tirent parti de la somme des connaissances de ces trois types de renseignements sont mieux à même de déterminer les solutions de sécurité à utiliser, la manière dont elles doivent être exploitées et la façon de répondre aux menaces de manière proactive et réactive.

Stratégique
Qui ?
Pourquoi ?
Long (pluriannuel)
Non technique
Grandes campagnes, groupes, intrusions à victimes multiples (et renseignements opérationnels)
Rédaction de textes longs sur la victimologie, la méthodologie YoYY, la mise en correspondance des intrusions et des campagnes avec les conflits, les événements et les pressions géopolitiques.
Opérationnel
Comment ? Où ?
Moyen (un an et plus)
Mixte
Familles entières de logiciels malveillants, groupes de menaces, analyse du comportement humain (et renseignements tactiques)
Rédaction courte, listes à puces, sur : les techniques de persistance et de communication, les victimes, les profils de groupes, les profils de familles, les descriptions de TTP, les déclencheurs, les schémas et les règles méthodologiques.
Tactique
Qu'est-ce que c'est ?
Court (mois)
Technique
Événements liés à la sécurité, échantillons individuels de logiciels malveillants, courriels d'hameçonnage, infrastructure des attaquants
Indicateurs atomiques et lisibles par machine tels que les IP, les domaines, les IOC, les "signatures".

Renseignements tactiques sur les menaces

Le renseignement tactique sur les menaces est la forme la plus élémentaire de renseignement sur les menaces. Il s'agit des indicateurs de compromission (IOC) les plus courants. Les renseignements tactiques sont souvent utilisés pour la détection des menaces de machine à machine et pour la recherche d'artefacts spécifiques dans les réseaux d'entreprise par les personnes chargées de répondre aux incidents.

Utiliser le renseignement tactique sur les menaces

Les renseignements tactiques sur les menaces et les IOC sont destinés à documenter historiquement les cyberattaques, servant à la fois de corpus de preuves (pour la conformité, l'application de la loi, les enquêtes, à des fins juridiques, etc.) et de matériel de référence que les analystes peuvent interpréter et dont ils peuvent extraire le contexte pour l'utiliser dans des opérations défensives.

Les IOC sont fournis aux analystes pour servir d'exemples d'une menace particulière, telle qu'un échantillon de logiciel malveillant, une famille de logiciels malveillants, une campagne d'intrusion ou un acteur de la menace. Les analystes peuvent enrichir les alertes des solutions de sécurité avec des renseignements tactiques sur les menaces afin de fournir plus de contexte et de déterminer les menaces qui méritent d'être prises en compte et celles qui peuvent être ignorées en toute sécurité.

Renseignements tactiques sur les menaces pour APT29

628d4f33bd604203d25dbc6a5bb35b90
2aabd78ef11926d7b562fd0d91e68ad3
3d3363598f87c78826c859077606e514
meek-reflect.appspot.com
portal.sbn.co.th
202.28.231.44
hxxps://files.counseling[.]org/eFax/incoming/150721/5442.zip
googleService.exe
GoogleUpdate.exe
acrotray.exe
PCI\VEN_80EE&DEV_CAF

Renseignements tactiques sur les menaces pour le secteur de l'éducation

d9b7b0eda8bd28e8934c5929834e5006
support@securitygrade[.]org
46.244.4.37

Renseignements sur les menaces opérationnelles

Le renseignement opérationnel sur les menaces permet de mieux comprendre les méthodologies des acteurs et d'identifier les risques potentiels. Ils alimentent des programmes de détection, de réponse aux incidents et de chasse plus significatifs. Alors que le renseignement tactique sur les menaces donne aux analystes un contexte sur les menaces déjà connues, le renseignement opérationnel rapproche les enquêtes de la découverte de menaces totalement nouvelles.

Ce type de renseignement est le plus souvent utilisé par les enquêteurs judiciaires et les intervenants sur les incidents, et comprend généralement les types d'éléments suivants :

Outils destinés à des groupes de menaces particuliers (utilitaires, familles de portes dérobées, infrastructure commune)
Tactiques, techniques et procédures (TTP) pour des groupes de menaces particuliers (répertoires de stockage, conventions de dénomination des fichiers, ports, protocoles, types de fichiers préférés).
TTP émergentes (nouvelles méthodes de persistance, exploits, schémas d'hameçonnage)

Considérez ce qui suit du point de vue de la réponse à un incident : Si vous répondez à une intrusion, vous pouvez vous demander comment un acteur particulier procède à une escalade de privilèges, à un déplacement latéral ou à un vol de données. Si vous êtes à la recherche d'une activité malveillante non découverte, vous pouvez commencer votre chasse en recherchant le comportement d'un acteur spécifique. Quel que soit votre scénario, vous devez répondre à la question suivante : "Comment rechercher cet acteur dans votre environnement ?"

Utilisation du renseignement opérationnel sur les menaces

Le renseignement opérationnel sur les menaces est une connaissance acquise en examinant les détails d'attaques connues. Un analyste peut se faire une idée précise de la méthodologie des acteurs en rassemblant des indicateurs tactiques et des artefacts et en les transformant en renseignements opérationnels. Cela peut aider à atteindre un certain nombre d'objectifs défensifs, comme l'amélioration des plans de réponse aux incidents et des techniques d'atténuation pour les attaques et incidents futurs.

Les analystes peuvent également mettre en œuvre et renforcer un programme de découverte proactive ("programme de chasse") pour identifier les fichiers et activités suspects qui ont contourné les technologies de sécurité traditionnelles. À partir de là, ils peuvent développer des méthodologies de détection qui ne dépendent pas des CIO, assurant ainsi une couverture plus large des menaces en temps opportun.

Exemples de renseignements opérationnels sur les menaces

Exemple de renseignement opérationnel sur les menaces pour APT29
Vecteur d'infection privilégié : spear phishing avec RAR auto-extractible
Familles de logiciels malveillants de première phase : COZYCAR, SWIFTKICK, TADPOLE
Familles de logiciels malveillants de deuxième stade : SEADADDY, MINIDIONIS, SPIKERUSH
Techniques de persistance
  • Tâches programmées pour la plupart des portes dérobées
  • WMI par installation manuelle pour les portes dérobées qui n'ont pas de persistance intégrée
  • Remplacement légitime du fichier de signalement des erreurs de Windows (wermgr.exe)
Utilisation des RPT pour le C2
Utilisation de Google Docs pour C2
Utilisation de Google Cloud Apps pour le transfert de C2 (en tant que proxy)
Utilisation de requêtes HTTP POST sur 443 pour C2
Utilisation de portes dérobées configurées pour les ports 1, 80, 443, 3389 pour C2
Utilisation de scripts PowerShell
Utilisation de Py2Exe pour modifier et recompiler des portes dérobées avec des variantes dans les protocoles et l'infrastructure C2
Exemple de veille opérationnelle sur les menaces pour le secteur de l'éducation
Les vecteurs d'attaque les plus courants sont le spear phishing, les watering holes et l'injection SQL.
Spear phishing de professeurs d'université spécialisés dans l'intégration des nouvelles technologies dans les salles de classe
Spear phishing pour les recruteurs et les personnes impliquées dans les processus d'embauche
Les attaques les plus courantes sont le spear-phishing et l'injection SQL (SQLi).
Familles de logiciels malveillants les plus courantes : PISCES, SOGU, LOGJAM, COBALT, COATHOOK, POISONIVY, NJRAT, NETWIRE
Familles de pentesting courantes : Meterpreter, PowerShell Empire, Metasploit Framework
Utilisation de Dropbox pour C2
Utilisation de HTTPS et de protocoles TCP personnalisés pour C2
Utilisation des TLD .ru, .su pour les domaines C2
Utilisation de yandex.ru et bk.ru pour les adresses électroniques
Vol de bases de données contenant des noms d'étudiants, des références administratives, des informations de facturation, des numéros de sécurité sociale et d'autres informations confidentielles.

Veille stratégique sur les menaces

La veille stratégique sur les menaces permet d'avoir une vue d'ensemble de l'évolution des menaces et des attaques au fil du temps. Les renseignements stratégiques sur les menaces peuvent permettre d'identifier des tendances historiques, des motivations ou des attributions quant à l'identité des auteurs d'une attaque. Connaître le qui et le pourquoi de vos adversaires fournit également des indices sur leurs opérations et tactiques futures. La veille stratégique constitue donc un point de départ solide pour décider des mesures défensives les plus efficaces.

La veille stratégique sur les menaces peut comprendre des informations sur les sujets suivants :

Attribution des intrusions et des violations de données
Tendances des groupes d'acteurs
Cibler les tendances pour les secteurs industriels et les zones géographiques
Cartographie des cyberattaques et des conflits et événements géopolitiques (mer de Chine méridionale, printemps arabe, Russie-Ukraine)
Statistiques mondiales sur les brèches, les logiciels malveillants et le vol d'informations
L'évolution de la TTP des principaux agresseurs dans le temps

Utilisation de la veille stratégique sur les menaces

La veille stratégique sur les menaces s'appuie sur un vaste corpus de connaissances et comprend des avis d'experts et des idées fondées sur l'agrégation de renseignements sur les menaces opérationnelles et tactiques provenant de cyberattaques connues. Ces renseignements sont particulièrement utiles aux personnes occupant des postes de direction, tels que les RSSI et les cadres supérieurs, qui doivent justifier les budgets et prendre des décisions d'investissement plus éclairées. Parmi les utilisations de la veille stratégique sur les menaces, on peut citer

Informez votre direction générale des acteurs à haut risque, des scénarios de risque pertinents et de l'exposition aux menaces dans la sphère technologique publique et dans le milieu criminel clandestin.
Effectuer une analyse approfondie des risques et un examen de l'ensemble de la chaîne d'approvisionnement technologique.
Découvrez les entreprises commerciales, les fournisseurs, les sociétés partenaires et les produits technologiques les plus susceptibles d'accroître ou de réduire les risques pour l'environnement de votre entreprise.

Exemples de renseignements stratégiques sur les menaces

Veille stratégique sur les menaces pour APT29
APT29 est un acteur basé en Russie qui se livre généralement à du cyberespionnage dans le but de voler des données.
Les victimes d'APT29 sont de nombreuses organisations internationales dans les secteurs de l'administration, de l'éducation, de la haute technologie, de la finance, des organisations à but non lucratif, de l'industrie pharmaceutique et de la base industrielle de défense.
APT29 est un groupe adaptable et sophistiqué, capable de développer des outils d'attaque personnalisés, une infrastructure de commande et de contrôle alambiquée et, contrairement aux comportements historiques des acteurs parrainés par l'État russe, ce groupe a l'audace de continuer à opérer longtemps après avoir été détecté.
APT29 a toujours été chargé de mener des opérations autour de questions de politique étrangère, en particulier celles concernant le conflit entre la Russie et l'Ukraine. En outre, le groupe a ciblé plusieurs agences gouvernementales nationales occidentales, des entreprises de défense et de gouvernement, ainsi que des institutions académiques.
Veille stratégique sur les menaces pour le secteur de l'éducation
L'infrastructure informatique de l'enseignement a une base d'utilisateurs diversifiée et est donc généralement composée d'une myriade de systèmes d'exploitation, de types d'ordinateurs, de logiciels et de tonnes de serveurs et de sites web accessibles au public sur l'internet. Cela fait des universités et des centres de recherche universitaires des cibles de choix pour les attaquants, à la fois comme lieux où voler des données précieuses et comme points d'ancrage pour d'autres opérations d'intrusion.
Le secteur de l'éducation continuera de faire l'objet d'activités de cyber-espionnage dans un avenir prévisible. Nous nous attendons à ce que des acteurs chinois, russes, iraniens et d'autres pays mènent des opérations d'espionnage pour le vol de données, d'informations commerciales, d'intelligence économique et de surveillance de la diaspora.
Plusieurs groupes ont été observés en train de mener des opérations d'intrusion qui ont affecté des institutions académiques, notamment des universités et des centres de recherche :
  • APT10 alias "Groupe MenuPass"
  • APT22 aka "Barista Team" (équipe de barristes)
  • APT29 alias "The Dukes" (Les Ducs)

Renseignements sur les menaces et objectifs commerciaux

La veille sur les menaces a toujours un objectif : éclairer la prise de décision et inciter à l'action. Cependant, il n'est pas rare que les entreprises éprouvent des difficultés à déterminer la valeur de leur équipe, de leurs processus et de leurs outils de veille sur les menaces. La terminologie du renseignement sur les menaces n'est généralement pas compatible avec le lexique de l'entreprise, ce qui entraîne des malentendus quant à son objectif et à sa valeur.

Les entreprises peuvent tirer parti de leurs programmes de renseignement en les alignant sur un ensemble de priorités génériques au niveau macroéconomique, comme le montre le tableau ci-dessous (non exhaustif) :

Augmenter les recettes
Diminution des dépenses
Réduire et atténuer les risques
Satisfaction et fidélisation des clients
Satisfaction et fidélisation des employés
Conformité-réglementation

Une fois que l'équipe de renseignement sur les menaces a compris les objectifs de l'entreprise, elle peut aligner ses opérations et ses efforts sur ceux de l'entreprise. Toutes les priorités de l'entreprise ne seront pas parfaitement alignées sur les capacités de renseignement sur les menaces, et ce n'est pas grave. Vous pouvez développer la granularité et la nuance au fur et à mesure que vous définissez vos besoins. Voici quelques objectifs de départ pour toute équipe de renseignement sur les menaces :

Réduire les dépenses liées à la fraude et à la cybercriminalité
  • Collaborer avec l'équipe chargée de la lutte contre la fraude pour déterminer les 3 à 5 principaux types de fraude et demander quelles informations permettraient de les détecter et de les prévenir à l'avenir.
Prévenir la perte de données
  • Que révèle l'analyse des fiches d'incident sur la nature et le type de données ciblées lors des précédentes violations de données ?
  • Quelles vulnérabilités ont été exploitées et par quels moyens ?
Protéger les IPI
  • Quels sont les systèmes qui stockent les IPI et comment les vulnérabilités de ces systèmes s'alignent-elles sur les vecteurs d'exploitation connus ?
Réduire les risques pour les entreprises
  • Les TI peuvent se concentrer sur la réduction des risques liés à la perte de données et aux menaces extérieures en identifiant les acteurs et en obtenant des informations sur les menaces extérieures ciblant leur secteur, en veillant à ce que des techniques et des mécanismes de détection soient en place et capables d'appréhender ces menaces.

Évolution du renseignement sur les menaces

Le renseignement sur les menaces continuera d'évoluer et de constituer une fonction de sécurité essentielle. L'intégration des renseignements tactiques, opérationnels et stratégiques sur les menaces fournira des informations précieuses sur les CIO et les méthodes des acteurs de la menace. Il en résultera des environnements plus sûrs, dans lesquels vous pourrez identifier vos adversaires. Un nombre croissant d'organisations des secteurs public et privé utilisent aujourd'hui le renseignement sur les cybermenaces. Une étude récente publiée par l'Institut Ponemon a révélé que 80 % des organisations l'utilisent et qu'un pourcentage encore plus élevé la considère comme essentielle.

Les organisations qui utilisent le renseignement sur les cybermenaces relèvent de nombreux défis en matière de sécurité. Elles détectent les menaces avancées et y répondent. Elles préviennent les violations de données et protègent les informations sensibles. Elles réduisent les coûts liés à la cybercriminalité et à la fraude. Et surtout, elles réduisent le risque global pour l'entreprise.