Les équipes en charge de la sécurité sont aujourd’hui confrontées à une forte pénurie de compétences et de personnel, une automatisation insuffisante pour connecter un ensemble complexe de données et d’outils, une absence de visibilité sur les menaces et une propension au cloisonnement au sein de leur service. Résultat, ces équipes sont en quête de nouvelles méthodes pour gagner en efficacité dans la lutte contre la cybercriminalité. Pour connaître les adversaires susceptibles de cibler leur secteur d’activité ou leur zone géographique, elles se tournent vers la cyber threat intelligence.
La surveillance des adversaires identifiés permet ainsi aux équipes de sécurité de répondre aux trois questions : « qui », « comment » et « pourquoi ». Cette approche centrée sur l’adversaire s’avère particulièrement précieuse dans cinq cas d’usage :
1 Investiguer pour optimiser les mesures de remédiation
Dès lors que les indicateurs de compromission (IoC - Indicators of Compromise) désignent un ou plusieurs acteurs, les analystes du SOC et les équipes de réponse à incident peuvent s’appuyer sur les comportements connus qui les caractérisent pour éliminer la menace. Les attaques ciblées les plus complexes en sont l’un des meilleurs exemples : si les investigations d’une compromission remontent jusqu’à un adversaire sponsorisé par un État exécutant une attaque supply chain, les analystes du SOC et les équipes de réponse à incident sauront dans quelle direction orienter leurs recherches et pourront affiner leurs efforts en vue de minimiser les dommages. Le fait de connaître l’ensemble des techniques et tactiques utilisées par ces cybercriminels permettra de mettre un terme à l’incident et d’éradiquer toutes les activités connexes au sein de l’infrastructure informatique - y compris les actifs et les outils provenant de partenaires fiables.
2Améliorer la détection et le threat hunting
3 Prioriser la remédiation des vulnérabilités
4 Planifier la stratégie de sécurité
La possession d’informations liant l’adversaire à des activités de cyberespionnage permet de savoir où déployer des mesures de vigilance (campagne de l’ANSSI en France, par exemple) et de préparer au mieux son entreprise. Ces décisions peuvent porter sur la mise en place de nouveaux contrôles, de nouvelles formations ou d’exercices de type Purple Team.
5 Éliminer les silos
Lorsque la présence d’un adversaire sophistiqué est détectée à l’intérieur d’une infrastructure, les niveaux d’alerte peuvent être rehaussés et des mesures de vigilance appliquées. Les renseignements relatifs à l’adversaire accélèrent alors le processus de threat hunting pour mieux le localiser et l’expulser. Sans ces connaissances, les analystes du SOC perdent du temps et de l’énergie dans un jeu de cache-cache où ils poursuivent chaque attaque sans prendre en considération le contexte fourni par la cyber threat intelligence.
Si l’attribution d’adversaires permet aux équipes de sécurité d’être mieux préparées, l’adoption d’une approche centrée sur l’adversaire apporte une valeur supplémentaire. L’attribution permet à l’ensemble du service de cybersécurité - défenseurs proactifs et réactifs - d’orienter son action vers des adversaires qui ciblent spécifiquement son activité et de commencer à communiquer de manière transverse en employant un langage commun (désignation de l’adversaire et des différentes étapes de l’attaque). Cette approche aide les équipes à abandonner les tactiques reposant sur de lourds outils et processus pour élaborer des stratégies capables de maximiser l’efficacité de leurs initiatives. Mieux connaître son adversaire donne un temps d’avance sur la détection et la remédiation des attaques.
Par Valentine Ouaki, Strategic Threat Advisor chez Crowdstrike