Les menaces en cybersécurité évoluent. Les RSSI, CISO ou DSI doivent faire face à de nouvelles menaces qui nécessitent une stratégie adaptée donnant les moyens aux défenseurs d’avoir des capacités de résilience.
C’est ainsi que les services de CTI (ou renseignement sur les menaces) ont vu le jour et ont commencé à jouer leur rôle dans les organisations avec pour objectif la « collecte et l’organisation de toutes les informations liées aux menaces du Cyber-espace »[1]
Pour autant, la vision de la CTI reste encore une nébuleuse pour certaines organisations. La CTI répond à des enjeux et une vision qui ne sont pas toujours justes. Nous avions déjà consacré un article sur le pourquoi faire équipe apporte une meilleure sécurité , voyons à présent les 4 grands enjeux de la CTI.
La CTI : un atout
Une étude de Forrester Consulting[2] a évoqué « un écart considérable entre la rapidité avec laquelle les organisations détectent les ransomwares et la rapidité d’une attaque ». Il n’est plus à démontrer l’impact de telles attaques sur l’entreprise (pertes de revenus, pertes de données, atteintes à la réputation…). Cette étude prouve bien toute l’importance du domaine du renseignement au sein d’une équipe de cybersécurité.
En donnant aux organisations des alertes de renseignements sur les menaces exploitables en temps réel, les équipes de CTI permettent d’en protéger les actifs. Les algorithmes de notre IA : CYBERIA surveillent et identifient les menaces comme les acteurs de la menace, et permettent aux équipes d’identifier rapidement les cyberattaques ciblées contre les organisations.
TEHTRIS CYBERIA est une Intelligence Artificielle globale et collective. Elle résulte d’une combinaison de techniques d’avant-garde en Machine Learning, Deep Learning, Active Learning et Reinforcement Learning.
Grâce à sa surveillance étendue à toutes les composantes de la TEHTRIS XDR Platform, elle devient une alliée pour veiller en continue sur vos systèmes, connectée à la Cyber Threat Intelligence de TEHTRIS.
La CTI est un outil d’aide à la prise de décision stratégique.
Elle permet d’ajouter une brique à l’arsenal de sécurité déjà existant. Ainsi elle apporte :
- un gain de temps (cela permet d’optimiser les informations pertinentes pour l’analyste.)
- une aide à la décision (des prises de décision plus rapides et plus judicieuses)
- une aide dans la communication client
- une aide dans l’évaluation des risques
- un apport dans la gestion de crise
- une aide dans la réduction du coût moyen d’une violation.
Le renseignement sur les menaces constitue des informations précieuses qui vont permettre d’éviter ou de réduire les risques. L’information contextualisée devient du renseignement.
Sans contexte, l’information perd de son utilité et fait perdre du temps aux analystes noyés sous le volume de données. Les équipes de CTI aidées par l’intelligence artificielle vont pouvoir agréger les différents flux d’informations et leur donner du sens. TEHTRIS automatise la collecte comme le traitement des données, et relie les informations pour fournir des données structurées.
Les équipes du SOC vont ainsi pouvoir comprendre qui sont leurs ennemis : qu’est-ce qui motive un cybercriminel et quelles sont leurs techniques d’attaque ? L’intégration de renseignements proactifs sur les menaces permet d’augmenter les capacités de réponse aux incidents. Les équipes techniques, une fois ces informations en main, sauront quels indicateurs de pénétration rechercher et prendront ainsi les bonnes décisions, évitant les pertes de temps.
Le renseignement obtenu doit donc être accessible et adapté à l’environnement opérationnel (il faudra constamment s’adapter aux changements d’environnements) et bien-sûr actionnable. Ainsi, le SIEM doit être intégré à la CTI.
Le SOC peut ainsi récupérer des informations concernant :
- des catalogues d’URL de phishing
- des scénarios d’attaques qui permettront de corriger les vulnérabilités
- les domaines et les adresses IP de mauvaise réputation.
- des informations sur des logiciels malveillants
- des informations sur les domaines de commande et de contrôle (C&C)
Les renseignements sur les menaces vont permettre :
- d’élaborer de nouvelles règles de détection et des corrélations.
- de découvrir des fuites de données.
Le SOC (Security Operations Center) est donc bénéficiaire…et il n’est pas le seul !
La CTI : un travail d’équipe
La vision initiale de la CTI (Cyber Threat Intelligence) est bien souvent de ne travailler qu’avec les équipes du SOC (Security Operations Center) et de jouer un rôle de soutien aux équipes responsables des opérations de sécurité et de réponse aux incidents. Néanmoins, une bonne CTI doit aujourd’hui être en interaction avec les multiples services de l’entreprise et interagir avec tout son microcosme cyber et l’ensemble de l’organisation, depuis les analystes de menaces du SOC au COMEX (comité exécutif).
Tout l’écosystème de l’entreprise doit être relié aux équipes de renseignement. La collaboration entre les différentes équipes permet d’avoir une approche unifiée pour traiter et répondre aux incidents et les informations sur les menaces nécessitent d’être combinées avec l’infrastructure de surveillance.
L’équipe CTI doit ainsi être reliée et partager avec d’autres parties prenantes comme :
- les équipes du VOC (Vulnerability Operations Center) pour les partenaires
La CTI permet le suivi, la qualification et la hiérarchisation des vulnérabilités, mises en contexte. Sans évaluation des risques, les défenseurs ne peuvent pas prendre les bonnes décisions.
- les équipes techniques, des architectes aux responsables des réponses à incidents.
Ces équipes sont ainsi mieux armées pour neutraliser l’attaque. La contextualisation va permettre de meilleures analyses et l’anticipation des menaces en fonction des secteurs d’activités, de l’actualité, ou des nouvelles technologies…
Toutes les informations contextualisées accroissent l’efficacité des nouvelles technologies comme les anti spam, anti malware, EPP, EDR, etc… Les analystes ont besoin de renseignements en temps réel fournis de manière hyper automatisée. C’est ce que propose la TEHTRIS XDR Platform. La CTI est un atout pour votre anticipation.
- la direction : CISO, CIO, directeur financier, conseil d’administration
Les renseignements fournis permettront de répondre aux questions d’ordre stratégiques et opérationnels.
Faire du renseignement stratégique a un objectif à long terme. Ces données vont permettre à la direction de modéliser les menaces susceptibles de cibler son organisation. L’entreprise ou administration pourra cartographier et évaluer les tendances à travers les analyses sur des campagnes, des groupes de menaces et des vulnérabilités. Ces résultats permettent d’élaborer un plan solide de protection, d’envisager des scénarios et de s’y préparer.
Les équipes dirigeantes vont ainsi pouvoir réduire les risques à long terme.
Le renseignement se veut collectif
Agir en « communauté » pour une cybersécurité collaborative est l’un des enjeux majeurs de la Cyber Threat Intelligence : le partage de connaissances permet à chacun de s’enrichir, d’apprendre sur les attaques et ainsi de mieux se protéger.
De telles communautés existent déjà, à l’instar de la cyber Threat Alliance (CTA) dont TEHTRIS fait partie ou l’INTERCERT.
L’objectif de cette Cyber Threat Alliance est de donner à chaque membre un accès à du cyber renseignement de qualité via une plateforme mutualisée et maintenue par le consortium. Cette initiative permet d’harmoniser qualitativement le cyber renseignement utilisable, d’en étendre les pratiques d’utilisation au plus grand nombre, et donc de renforcer les capacités de lutte contre la cybercriminalité.
Ce partage ne doit pas rester intra-entreprise. Il est important de partager ces mêmes informations (anonymisées et respectant les intérêts des clients) auprès de la communauté de renseignements cyber.
Il faut partager ces informations pour rendre l’ensemble de l’écosystème de la sécurité plus informé (les gouvernements et administrations, les organisations du secteur privé et leurs fournisseurs). Les entreprises peuvent ainsi prendre conscience des dangers imminents à venir et se préparer en conséquence.
La prochaine étape à suivre : l’XTI (Extended Threat Intelligence) qui permet un inventaire de la surface d’attaque externe et partage des données contextuelles. Cette nouvelle approche offre une visibilité sans angle mort.
C’est grâce à cette coordination que nous sommes plus forts.
Une bonne CTI c’est une équipe diversifiée
Afin de se protéger efficacement des attaques informatiques, il faut connaitre les techniques et méthodes d’attaque des cybercriminels. Des équipes techniques sont nécessaires pour faire cette analyse, mais pas seulement.
Le contexte politique, économique et culturel va nécessiter des profils très variés que l’on n’imaginait pas jusqu’ici intégrés aux équipes de cybersécurité. Par exemple, les linguistes, économistes, politologues, psychologues etc… y ont désormais toute leur place !
Cette mise en perspective avec d’autres disciplines est primordiale pour comprendre les enjeux et les motivations derrière certaines menaces. Cette complémentarité des profils devient essentielle. Le concept de pluridisciplinarité doit être intégré dans votre stratégie cyber. Le partage des connaissances complémentaires des analystes couplé au savoir-faire de chaque membre de l’organisation permettra d’élaborer les meilleures solutions de sécurité, vues sous différents angles.
La boite à outil TEHTRIS XDR composée de l’EDR, du SIEM, du NTD ou encore du SOAR, bénéficie nativement du renseignement intégré sur la menace. Cette combinaison de technologies permet de renforcer votre sécurité et d’améliorer votre défense.
[1] Wikipedia
[2] Forrester. Automation and Unification Enable a Cohesive Attack Surface Defense.2022