“Qui connaît son ennemi comme il se connaît, en cent combats ne sera point défait”, écrivait Sun Tzu, un précepte plus que jamais d’actualité. La plupart des professionnels de la cybersécurité ont déjà entendu parler de ransomware tels que Lockbit 3.0 ou Conti, mais nombre d’entre eux ne mesurent guère l’importance de réellement connaître les adversaires susceptibles de cibler leur organisation.

Les équipes en charge de la sécurité sont aujourd’hui confrontées à une forte pénurie de compétences et de personnel, une automatisation insuffisante pour connecter un ensemble complexe de données et d’outils, une absence de visibilité sur les menaces et une propension au cloisonnement au sein de leur service. Résultat, ces équipes sont en quête de nouvelles méthodes pour gagner en efficacité dans la lutte contre la cybercriminalité. Pour connaître les adversaires susceptibles de cibler leur secteur d’activité ou leur zone géographique, elles se tournent vers la cyber threat intelligence.

La surveillance des adversaires identifiés permet ainsi aux équipes de sécurité de répondre aux trois questions : « qui », « comment » et « pourquoi ». Cette approche centrée sur l’adversaire s’avère particulièrement précieuse dans cinq cas d’usage :

1 Investiguer pour optimiser les mesures de remédiation

Dès qu’une attaque ou un événement critique est détecté, les opérateurs du SOC (Security Operations Center) entament une investigation numérique complète et recoupent toutes les données pertinentes (trafic réseau, sources, actifs, fichiers infectés, commandes exécutées, etc.) pour permettre aux équipes de réponse aux incidents (IR) d’éradiquer toute trace de la menace. Il est rare que cette investigation soit exhaustive, du fait de la quantité et la volatilité des données à analyser.

Dès lors que les indicateurs de compromission (IoC - Indicators of Compromise) désignent un ou plusieurs acteurs, les analystes du SOC et les équipes de réponse à incident peuvent s’appuyer sur les comportements connus qui les caractérisent pour éliminer la menace. Les attaques ciblées les plus complexes en sont l’un des meilleurs exemples : si les investigations d’une compromission remontent jusqu’à un adversaire sponsorisé par un État exécutant une attaque supply chain, les analystes du SOC et les équipes de réponse à incident sauront dans quelle direction orienter leurs recherches et pourront affiner leurs efforts en vue de minimiser les dommages. Le fait de connaître l’ensemble des techniques et tactiques utilisées par ces cybercriminels permettra de mettre un terme à l’incident et d’éradiquer toutes les activités connexes au sein de l’infrastructure informatique - y compris les actifs et les outils provenant de partenaires fiables.  

2Améliorer la détection et le threat hunting

La détection implique de nombreux éléments qui doivent évoluer en synergie pour garantir une surveillance efficace et complète. Les outils d‘analyse de cybersécurité standards - tels que les SIEM (Security Information and Event Management) - sont capables d'exécuter des règles simples de type « si – alors » et d’analyser ainsi des références ou tendances. Les cybercriminels, eux, sont en capacité de déjouer ces outils en exploitant les ressources locales de l’entreprise et en maquillant leur actions par des activités considérées comme légitimes par les équipes SOC et de réponse à incident. Connaître les tactiques et les techniques utilisées par les adversaires permet alors d’ajuster la détection. En se basant sur des profils d’adversaires identifiés, cette approche rend alors le threat hunting bien plus efficace.  

3 Prioriser la remédiation des vulnérabilités

Des listes de vulnérabilités toujours plus longues, des méthodes habituelles de notation des risques telles que le système CVSS (Common Vulnerability Scoring System) généralement trop statiques, peuvent diluer l’attention. Établir une short-list des adversaires qui s’intéressent à son environnement et comprendre quelles vulnérabilités sont exploitées permet aux équipes chargées de la gestion des risques de fixer leurs priorités et concentrer leurs efforts. Le fait de posséder les informations les plus récentes sur les adversaires concernés et leur activité passée permet aux équipes en charge de la remédiation de gagner du temps et ainsi de minimiser de manière préventive les risques liés aux menaces.  

4 Planifier la stratégie de sécurité

L’attribution permet aux équipes de sécurité de comprendre le réel niveau de risque en définissant quel adversaire peut les viser et de quelle façon, pour ajuster leur stratégie de sécurité de manière préventive. Les attaques ciblées peuvent par exemple être associées à des initiatives de cyberespionnage, laissant supposer que la menace sera persistante et se déclinera en multiples attaques sophistiquées pouvant mener à un accès aux données sensibles de l’entreprise.

La possession d’informations liant l’adversaire à des activités de cyberespionnage permet de savoir où déployer des mesures de vigilance (campagne de l’ANSSI en France, par exemple) et de préparer au mieux son entreprise. Ces décisions peuvent porter sur la mise en place de nouveaux contrôles, de nouvelles formations ou d’exercices de type Purple Team.  

5 Éliminer les silos

Les services en charge de la cybersécurité sont souvent divisés en « silos opérationnels » qui ont chacun leurs spécialités dans des outils de détection ou de protection particuliers. Une telle structure n’est pas toujours pertinente. En revanche, le fait de focaliser les efforts à un niveau plus stratégique - en connaissant les adversaires qui tentent de percer les défenses - modifie la dynamique au bénéfice de chaque professionnel de la sécurité. Une telle démarche sert l’ensemble du service de cybersécurité.

Lorsque la présence d’un adversaire sophistiqué est détectée à l’intérieur d’une infrastructure, les niveaux d’alerte peuvent être rehaussés et des mesures de vigilance appliquées. Les renseignements relatifs à l’adversaire accélèrent alors le processus de threat hunting pour mieux le localiser et l’expulser. Sans ces connaissances, les analystes du SOC perdent du temps et de l’énergie dans un jeu de cache-cache où ils poursuivent chaque attaque sans prendre en considération le contexte fourni par la cyber threat intelligence.

Si l’attribution d’adversaires permet aux équipes de sécurité d’être mieux préparées, l’adoption d’une approche centrée sur l’adversaire apporte une valeur supplémentaire. L’attribution permet à l’ensemble du service de cybersécurité - défenseurs proactifs et réactifs - d’orienter son action vers des adversaires qui ciblent spécifiquement son activité et de commencer à communiquer de manière transverse en employant un langage commun (désignation de l’adversaire et des différentes étapes de l’attaque). Cette approche aide les équipes à abandonner les tactiques reposant sur de lourds outils et processus pour élaborer des stratégies capables de maximiser l’efficacité de leurs initiatives. Mieux connaître son adversaire donne un temps d’avance sur la détection et la remédiation des attaques.

Par Valentine Ouaki, Strategic Threat Advisor chez Crowdstrike

ARTICLES SIMILAIRESPLUS DE L'AUTEUR