Nacira Salvan et Dan Farache : la CTI (Cyber Threat Intelligence)

Nacira Salvan, RSSI (CISO) du Ministère Français de l’intérieur est accompagnée de Dan Farache, Expert CTI. Ils nous parlent, dans cette présentation sur la CTI, du rôle de l’IA dans l’identification des menaces, la réduction drastique du temps de réponse et l’atténuation des risques.

 

1. Aspect théorique : 

 

J’ai travaillé sur le sujet avec Dan et je suis ravie aujourd’hui de faire un retour d’expérience sur ce sujet combien d’actualité. Je vous présenterai une première partie théorique des concepts. Dan prendra le relai en vous présentant ensuite l’aspect opérationnel.  

Pour introduire cette présentation je vais vous parler d’un exemple typique d’un incident de sécurité auquel j’ai assisté en travaillant dans une très grande entreprise française. La boîte mail d’un collègue, membre du COMEX a été piratée. J’ai fait appel aux services de la CTI pour m’assurer que rien de critique n’avait fuité dans le darknet. Un contrat d’acquisition qui était en cours de négociation avait fuité et l’acquisition ne s’est donc pas faite. Le travail de recherche de menaces externes fait par un prestataire était très intéressant. J’ai pu avoir pratiquement toute la menace sur l’ensemble de l’image externe qu’avait la structure. On pense être tranquille car on est équipés de firewall mais la vision de l’extérieur, c’est cela qui est important. 

C’est pourquoi vous pouvez vous poser les questions suivantes : 

• Face à de récentes menaces, veut-on protéger les actifs informationnels avec des investigations au-delà des 365 derniers jours ? 

• Est-ce que l’on pense à détecter si certains de nos domaines sont frauduleux ? J’ai par exemple sur le terrain assisté à l’utilisation frauduleuse, pour le phishing, d’un nom de domaine de société. Les outils de CTI l’ont montré. 
• Est-ce que ce que l’on fabrique est en vente libre sur internet ? Y a-t-il un « cybermarché » de vente de contrefaçon de notre marque ? 

 

Qu’est-ce que la CTI ? 

La CTI est basée sur les techniques de Renseignement. Ces techniques ont pour objectif de : 

• collecter toutes les informations liées à la menace dans le cyberespace et essayer de trouver les résultats d’éventuelles attaques ou des traces d’attaques sur le patrimoine de l’entreprise. 

• dresser un portrait des attaquants de façon à prévenir des attaques grâce à ce profiling et permettre à l’entreprise de mieux se défendre et anticiper les différents incidents. 

La CTI est un réel atout pour la détection, pour la prévention et pour la réaction. En effet, c’est un vrai atout pour les prestataires et les clients, il permet notamment la recherche des principaux domaines de cybercriminalité à savoir le Cyber crime, le Cyber activisme et le Cyber espionnage. Aujourd’hui d’après le Garner, en 2022, plus de 20% des grandes entreprises font appels aux services de la CTI. 

Le Gartner définit la CTI comme suit : « La CTI désigne des connaissances factuelles (comprenant le contexte, les mécanismes, les indicateurs, les implications et les conseils exploitables) sur une menace ou un danger émergent, existant ou potentiel susceptible de toucher des actifs informatiques ou informationnels. La CTI peut être utilisée pour éclairer les décisions concernant la réaction du sujet à cette menace ou à ce danger » 

Finalement la CTI est définie comme étant un écosystème favorable au processus décisionnel issu de la collecte de l’analyse, de la diffusion et de l’intégration des menaces et des vulnérabilités d’une organisation, de ses personnes et de ses actifs. 

 

Les 7 types d’intelligence/renseignement qui alimentent la CTI : 

Il existe 7 types d’intelligences (en anglais) ou de renseignements (en français) qui servent à collecter les informations alimentant la CTI. On trouve l’intelligence/renseignement : 

• Humaine (HUMINT) : on va recueillir des informations chez des humains par des contacts directs ou indirects. Cela peut également se faire via l’espionnage ou l’observation. 
• Des signaux (SIGINT) : il s’agit d’interception de communication entre les personnes ou électronique via une instrumentation étrangère. 
• Open Source (OSINT) : c’est toutes les informations qui existent dans le domaine public à propos de la personne sur les réseaux sociaux et rapports publics. Il s’agit du type de collecte le plus répandu aujourd’hui. C’est d’ailleurs pour cela que l’on appelle parfois OSINT la CTI par abus de langage. Il s’agit toutefois bien de deux choses différentes.  
• Géo spatiale (GEOINT) : par exemple via les GPS ou sur les cartes. Ces éléments peuvent fournir des éléments contextuels géographiques supplémentaires sur la menace. 

• Financiers (FININT) : on peut recueillir des informations sur les capacités, les mouvements financiers, les motivations de l’attaquant. 
• Technologique (TECHINT) : quelles technologies ils ont utilisés et quelle est leur capacité de nuisance 
• L’intelligence marketing (MARKINT) : rassembler des informations pour comprendre le marché d’un concurrent ou d’un adversaire 

 

Processus et périmètre de la CTI : 

La CTI est un ensemble de processus complémentaires. On suit le principe des « poupées russes ». On va collecter la donnée de façon globale sur la menace et sur plusieurs types de menaces : aussi bien sur l’analyse DDOS que sur les botnets et les malwares. 

Le périmètre de la CTI va de la victime jusqu’à l’attaquant. On commence par l’identification de la victime avec identité, localisation, investigation. La méthode utilisée avec mécanisme, exploitation et malware. On va ensuite arriver à la recherche des infras utilisés : serveurs, domaines, opérations. Ensuite on s’intéresse à la motivation : l’espionnage, la criminalité ou encore une motivation politique. Enfin dans ce processus on intègre naturellement l’attaquant son identité, son rôle et ses connexions. 

 

4 types de CTI : 

1. La Tactique : il s’agit d’analyser les manières de travailler et les fonctionnements de « nos ennemis » pour les empêcher de nuire 

2. Le Technique : il s’agit du travail sur les indicateurs « techniques » 

3. L’Opérationnelle : ce sont les informations sur les attaques en cours. Par exemple, en tant que Banque on essaye de comprendre si on peut être touché lorsqu’il y a des attaques au niveau de la Banque. 

4. Le Stratégique : cela concerne la réflexion de façon globale visant à orienter les stratégies de sécurité au niveau du management 

 

Autres aspects de la CTI : 

1. L’aspect technique : cela concerne le vol de documents, de cartes bancaires ou tout document sensible qui pourrait éventuellement se retrouver en accès libre ou payant dans le Dark Web. Ici, je vous invite donc à regarder de ce côté-là mais en faisant appel à des sociétés spécialisées. Je ne vous conseille pas de vous connecter directement sur le Dark Web. 

2. L’aspect marketing : cela concerne principalement la protection de la marque. Vous pouvez vérifier que votre marque ne soit pas utilisée pour de la contrefaçon. Ce sont des menaces d’actualité. 

3. La fuite de données : il s’agit d’une menace également bien présente dans l’actualité avec les attaques sur toutes les données qui sont volées et se retrouvent dans le Dark Web dans des accès libres. Attention à la « négligence », avec plus de 80% des documents les plus sensibles présents sur des objets connectés. 

 

Le cycle de renseignement : 

Le cycle de renseignement est composé de 5 grandes étapes : 

L’expression du besoin est suivie par la collecte. C’est la phase principale dans laquelle on récolte des informations de tout type. On va ensuite les traiter, les analyser, les compiler. C’est là qu’intervient l’Intelligence Artificielle qui va permettre de définir des profils d’attaques et d’attaquants, permettant d’identifier la menace et de pouvoir la stopper. Une fois que l’on a collecté, traité et   analysé ces données, on va diffuser. C’est par la suite que ces informations vont alimenter le SOC, les CERT et ainsi de suite. 

 

Etapes de construction d’un programme de CTI : 

Je vous conseille de vous intéresser à la recherche de la menace externe car elle concerne tout le monde. Ce n’est pas tout d’effectuer une recherche de la menace interne. La e-réputation de votre entreprise, ce que l’on dit sur vos dirigeants, vos produits et votre marketing à l’extérieur et notamment sur le Dark Web est également très important. Les 5 étapes que l’on conseille de faire pour construire un programme CTI efficace sont les suivantes : 

1. Comprendre votre entreprise et son secteur : il faut vous demander si vous avez des biens précieux ou encore de la concurrence et ainsi de suite.  

2. Définir les objectifs et les priorités pour le programme : il faut se concentrer sur les périmètres essentiels car on ne peut pas tout couvrir. Si votre entreprise produit deux produits dont un plus important que l’autre, il faut alors peut-être mettre des priorités. 

3. Un programme de renseignement sur la menace est un processus continu : vous pouvez faire une image à un instant t de la menace à laquelle votre entreprise est soumise mais la menace peut augmenter. Si vous êtes protégés aujourd’hui, vous ne le serez pas nécessairement demain, d’où l’importance de mettre un processus continu. 

4. Automatiser au maximum : manipuler à la main ces données peut être fastidieux. Il faut donc automatiser au maximum bien qu’aujourd’hui, très peu d’outils aujourd’hui permettent cette automatisation. 

5. Classifier les données de base : cela vous permettra de consulter d’autres services. Il y a une notion de partage avec les autres. Si une banque est concernée par une menace, toutes les autres le sont également. 

La CTI permet d’alimenter divers outils comme le SIEM (Security Information and Event Management) ou encore le CERT. 

 

2. Aspect opérationnel : 

 

Dan Farache : 

L’évolution de la sécurité : 

Aujourd’hui les entreprises sécurisent leurs périmètres avec des Firewall, des IP, des anti-virus, des SIEM, des solutions d’authentification etc. Tous ces équipements permettent une protection périmétrique. Jusqu’à présent on a cherché à protéger seulement le périmètre de l’entreprise : le « château-fort ».  

On sait que même lorsqu’on a un SOC (Security Operation Center) qui gère les alertes de sécurités d’une entreprise 24h/24, on reste toujours dans un mode « pompier ». On fait face à des alertes et menaces pertinentes qui concernent directement l’entreprise et qui l’attaquent. 

Ce premier mode opératoire laisse de côté les renseignements ou signaux faibles collectés dans le cadre de la CTI : OSINT, SOCMINT, HUMINT, flux de données commerciaux et communautaires et Deep & Dark Web (données ou conversations fuitées sur l’entreprise et les dirigeants en amont d’une future attaque). 

La CTI est à cheval entre la cybersécurité et le renseignement. On sait bien qu’aujourd’hui, une cyberattaque n’arrive pas du jour au lendemain. L’attaquant a préparé l’attaque en amont. Avant d’attaquer, il a guetté le périmètre (horaires de garde, niveau de sécurité de l’entreprise etc.). On peut prendre l’exemple de l’attaque contre Uber qui a commencé avec une simple fuite de comptes e-mails sur le Dark Web, lançant le workflow et étant suivi d’une élévation de privilège etc.  

L’idée est donc d’anticiper au mieux pour pouvoir réagir en temps voulu. La CTI permet, dans ce contexte, de se prémunir d’une attaque en se plaçant en amont. Il s’agit ici d’une « cybersécurité V2 » dont le but est d’anticiper autant que possible la cyberattaque.  

 

Pyramide des renseignements (IoC) : 

La CTI repose sur une pyramide des renseignements. Les IoC, indicateurs de compromission, sont des données très techniques tel qu’une adresse IP malveillante, une URL, un nom de domaine suspect etc. L’idée est de pouvoir associer un indicateur avec un acteur (hacker) et son mode opératoire. Cela permet de détecter les menaces pertinentes pouvant concerner l’entreprise. 

On cherche, à partir d’une série d’IoC bruts, à mettre en exergue ceux qui sont pertinents et surtout, ensuite, à faire une association. C’est ici que l’IA a une importance car elle va permettre d’associer des millions d’indicateurs avec des patterns ressemblant à un hacker et de comprendre ses techniques et son mode opératoire. Elle permet ensuite de modéliser cela dans différents modèles d’attaques, le plus connu aujourd’hui étant le « MITRE ATT&CK » framework. 

 

Flux de renseignements et Plateformes CTI : 

Il faut bien faire la distinction entre les flux de renseignements, les plateformes et les sociétés de surveillance.  

Pour les flux de renseignements, on a des éditeurs commerciaux qui fournissent des flux sur des menaces spécifiques (adresses IP suspectes etc.) 

Les plateformes de CTI permettent, elles, d’agréger l’onde de flux d’un renseignement. En effet, il est ingérable de traiter manuellement des centaines de millions voire des milliards d’IoC par jour. Les plateformes CTI fournissent donc aux entreprises des outils pour rassembler ces IoC en un seul endroit. Elles permettent ensuite de les trier pour faire le rapprochement entre un indicateur, un attaquant et son mode opératoire.  

Enfin, les plateformes permettent également de partager l’information avec les équipes opérationnelles du SOC ou, à défaut, avec l’équipe qui gère l’infrastructure de l’entreprise. Cela peut également aider à diffuser l’information auprès de ses confrères, ce qui est peut-être très utile car l’attaquant duplique souvent son mode opératoire auprès des confrères (par exemple dans le cas d’attaques contre des banques ou hôpitaux). L’idée est de partager l’information auprès de l’écosystème général. Le Cercle National et l’ANSSI le font très bien mais il est également important qu’il y ait des initiatives de partage de la part des entreprises. 

 

Clear, Deep & Dark web: 

• Le Clear Web : représente 4% de l’internet mondial. Tout le monde peut y avoir accès via les moteurs de recherches classiques. 
• Deep & Dark Web : représentent à eux deux 96% de l’internet mondial (90% des informations pour le Deep Web). Il faut avoir des accès privilégiés pour y circuler. 

Il est important de surveiller le Deep et Dark Web car, aujourd’hui, différents types d’informations s’y retrouvent au détriment potentiel de votre entreprise. En voici quelques cas d’usages : 

• E-mails et mots de passe fuités : pour la fuite de données Uber par exemple, seuls les e-mails et les mots de passes associés avaient été récupérés au début. Ceux-ci ont été utilisés par les hackers pour s’infiltrer sur l’intranet d’entreprises. En effet, certains utilisateurs utilisaient leurs comptes professionnels pour leurs achats personnels. 
  à Il faut pouvoir avoir une visibilité sur les éventuels comptes e-mails et mots de passe fuités pour prévenir les risques liés. 

• Noms de domaines utilisés (Typosquatting) : on va prendre le nom de domaine de votre entreprise et y rajouter un « e » ou en doubler les consonnes ou voyelles pour utiliser votre nom à mauvais escient. Une des applications de ce nom de domaine malveillant est le phishing (liens cliquables envoyés par mail par exemple) auprès d’utilisateurs non informés. à Pour se prémunir de ce risque il faut surveiller et signaler ces noms de domaines malveillants aux autorités pour que l’hébergeur ferme le site non légitime. 

• Forums et discussions suspectes : il existe des discussions sur les produits vendus par les entreprises entre hackers sur des forums. Par exemple on trouve des échanges sur la manière dont peut être reprogrammé le BCM (Body Control Module), un composant électronique permettant de contrôler les systèmes du véhicule. 

à Il faut surveiller l’image de marque et s’assurer qu’aucune information nous concernant et pouvant représenter une menace pour nous n’est sur ce type de réseaux. 

Si vous souhaitez vous prémunir de ce type de menaces, on trouve différents types de prestataires de surveillance du Deep & Dark Web. On préfèrera, de manière générale, travailler avec des acteurs ayant pignon sur rue en France et qui pourront accompagner l’entreprise dans une surveillance en continu.