A3 Paysage de menaces
A4
A4

Renseignements sur les menaces

A5 Données sur des vulnérabilités

Quel est l’objectif ?

L’objectif de fournir des capacités de renseignements sur les menaces et des données pour les responsables techniques est de créer une connaissance technique détaillée des menaces pertinentes et spécifiques au secteur.

Pourquoi y procéder ?

L’activité fournit un point de repère immédiat pour les indicateurs de compromis et permet aux responsables techniques de comprendre si une menace particulière a déjà été repérée ou si elle est nouvelle et nécessite donc une approche innovante. Il s’agit d’un élément essentiel d’intervention en cas d’incident, car la capacité d’identifier rapidement et avec précision un type de menace/malware permet aux intervenants de comprendre à quoi ils ont affaire et de l’éradiquer d’un réseau.

Quels sont les résultats courants ?

  1. Des rapports mensuels de routine détaillant le paysage général des menaces avec des données techniques que les défenseurs peuvent utiliser sur les services de détection d’intrusion.
  2. Un référentiel consultable de données historiques que les analystes de la cybersécurité peuvent interroger.
  3. Un rapport de renseignements personnalisé basé sur les menaces ambiantes spécifiques de ce pays.
  4. Un rapport immédiat par exception basé sur des ensembles d’intrusions nouveaux ou changeants qui représentent une menace spécifique ; par exemple, si une nouvelle faiblesse est découverte, un rapport basé sur une exception doit être publié pour sensibiliser à cette nouvelle menace.

Comment l’activité est-elle exécutée ?

De manière habituelle comme service par des spécialistes du renseignement sur les menaces qui fournissent un accès à un portail en ligne et des alertes par e-mail pour les rapports urgents.

Dans quelle mesure un pays peut-il le faire lui-même facilement ?

Il existe tellement de bons produits en open source qu’il est très facile de commencer à utiliser les renseignements sur les menaces, mais il est beaucoup plus difficile de produire des données et des analyses appropriées.

Quels sont les guides de bonnes pratiques disponibles ?

Le CREST est le leader du marché britannique en termes de formation aux meilleures pratiques en matière de renseignement sur les menaces, mais le Centre national pour la cybersécurité britannique (NCSC) gère également une plate-forme appelée CISP qui fournit des renseignements sur les menaces et la possibilité pour les entreprises et les organisations de partager des données.

  • Avant qu’un client n’achète cette fonctionnalité auprès d’un fournisseur, il est important de cartographier d’abord les menaces ambiantes pertinentes pour le client. Cela signifie que les besoins du client sont mis en correspondance avec l’expertise d’un fournisseur. Par exemple, certaines entreprises se spécialisent sur la Russie, tandis que d’autres pourraient se concentrer sur les organisations criminelles. Cependant, elles couvriront toutes les mêmes données de référence sur les menaces.
  • Si le client souhaite développer ses propres capacités, il doit se concentrer sur la diversité des compétences requises pour traiter un sujet complexe et le transformer en un rapport sur lequel une personne non spécialisée peut se prononcer. L’équipe d’évaluation du NCSC britannique est leader dans ce domaine, et ses rapports sont disponibles sur la plate-forme NCSC CiSP.
  • La solution la plus efficace est un ensemble d’expertise interne, de rapports professionnels et d’open source, garantissant que le contenu pertinent est soigneusement sélectionné pour s’adapter au contexte des menaces.

Coût

Abonnement – gratuit jusqu’à 105 250 $ par an pour les grands fournisseurs. Pour la formation d’une équipe interne 6 580  $ de formation par personne + rémunération. Cependant, un niveau de connaissances techniques de base est requis.

Durée

Les abonnements sont normalement annuels, et former quelqu’un à partir de zéro nécessite environ 3 mois de formation, d’accompagnement et d’expérience pour être efficace ; en supposant un certain niveau de base de compréhension technique.

Situation 1

En 2018, CYSIAM a été chargé par une organisation basée au Royaume-Uni d’enquêter sur l’activité d’une infrastructure essentielle sur une période donnée afin d’établir une base de référence pour les futures mises à jour de son plan de sécurité. L’organisation était auparavant exposée aux attaques et a donc également demandé que nous enquêtions sur les acteurs potentiels de la menace pour de futures attaques similaires. Nous nous sommes entretenus avec eux pour en déterminer l’ampleur et avons commencé par collecter des données techniques sur les attaques précédentes, ainsi que des informations Open Source Intelligence (OSINT) sur les attaques contre des organisations et des infrastructures similaires.

Grâce à OSINT et, en particulier, à une enquête sur le dark web concernant les acteurs potentiels de la menace, nous avons découvert une branche d’un groupe étranger bien connu publiant des instructions sur la façon de mener des cyberattaques contre des organisations semblables à notre client. Il s’agissait notamment de manuels d’instructions PDF et de vidéos faisant la promotion de leur groupe. Les contenus du site Web, des vidéos et des PDF ont été traduits en anglais et ont révélé plusieurs TTP (Tactiques, Techniques et Procédures) comprenant les outils utilisés, le type de victime et les faiblesses recherchées lors du choix de la victime.

Après avoir analysé les données que nous avions recueillies, nous avons estimé que la motivation de cette offensive était l’activisme politique anti-occidental dans le but que les attentats demeurent contestables, du fait qu’ils publiaient des manuels d’instructions pour d’autres individus. Nous avons immédiatement rassemblé les informations pertinentes relatives à cette offensive dans un bref rapport de renseignement et l’avons remis à notre client, qui a pu s’assurer que son infrastructure essentielle était renforcée contre ces failles connues dès que possible.

Situation 2

En 2019, un client d’Europe de l’Est nous a demandé de l’aider à développer sa capacité de détection des menaces. Il partait d’un degré de maturité très bas, par conséquent, développer ses propres renseignements sur les menaces conformément au scénario 1 était trop compliqué. En revanche, nous l’avons aidé à créer un processus d’identification des sources de renseignements sur les menaces gratuites et faciles d’accès.

Nous avons utilisé l’association de Mandiant Advantage Free de FireEye et la plate-forme de partage d’informations sur les logiciels malveillants (MISP) pour fournir des rapports de type pointer-cliquer sur les nouvelles menaces. Ces plateformes fournissent des indicateurs de compromis et le MISP propose une fonction de partage d’indicateurs pour les partenaires également abonnés au service. Cela a permis de donner au client un accès immédiat aux renseignements sur les menaces.

Ensuite, nous avons conseillé un guide de développement qui permettrait à son propre personnel d’être mieux équipé pour effectuer sa propre analyse à l’aide de leurres de recherche et d’autres formes de collecte de données. Nous avons choisi le guide de développement CREST pour nos élèves et avons soutenu ces derniers avec un encadrement continu.

Cette stratégie leur a permis d’atteindre un niveau de capacité immédiat tout en développant en parallèle des capacités internes. En moins de 3 mois, ils développaient leurs propres renseignements sur les menaces et partageaient des informations avec la communauté internationale.