Partage de l’information et Indicateurs de Compromission (IoC)

Les malware se propagent et mutent à grande vitesse. Bien que les chiffres varient beaucoup d’une étude à l’autre, il n’y a aucun doute sur le fait que nous sommes actuellement confrontés à une vague massive de menaces agiles.

Renaud-Bidou-article

Renaud Bidou, Directeur Technique Europe du Sud, Trend Micro

Ces menaces échappent à la détection et atteignent furtivement le cœur des infrastructures informatiques, ou tout simplement extorquent leurs victimes en leur imposant de racheter l’accès à leurs précieuses données personnelles.

Et ce n’est que le début.

Deux options s’offrent alors à vous pour répondre à ces menaces : soit vous croyez au Père Noël et faites confiance à une solution miracle, autonome et qui garantit 100 % de sécurité, soit vous croyez que l’union fait la force et envisagez une approche plus globale.

Il est inutile de lire plus avant si vous croyez aux miracles technologiques. Vous avez la solution et il ne nous reste qu’à vous souhaiter bonne chance.

Dans le second cas une certaine réflexion peut s’avérer utile pour appréhender le problème sous un angle global. Il est d’abord nécessaire de se rappeler qu’une attaque de malware suit quatre étapes successives:

  • L’exposition, c’est-à-dire le vecteur par lequel le malware va atteindre son objectif ;
  • L’infection, qui pourrait être considérée comme la copie du code malveillant dans le système ;
  • L’exécution, ou le fonctionnement même du logiciel malveillant sur l’hôte compromis ;
  • Le nettoyage, nécessaire pour effacer les traces des étapes précédentes.

Cette décomposition en quatre phases est le point de départ de n’importe quelle analyse fiable, parce que chacune d’elle laisse des traces. Ces traces peuvent être évidentes, comme par exemple une campagne mondiale de spam, un nom de fichier ou une URL de téléchargement; ou plus subtil, comme un comportement très spécifique sur les systèmes infectés, une connexion réseau déguisée, ou une injection dans des programmes légitimes. Dans tous les cas il y a des preuves d’activité malveillante, car il n’y a pas de crime parfait dans le domaine de l’IT !

IMS carnet cybersécurité En effet, les criminels laissent des traces. Certaines de ces traces changent d’une attaque à l’autre alors que d’autres restent communes à une famille ou une variante. Certaines sont volatiles et vont rapidement disparaître, d’autres restent. Mais il y a toujours un maillon faible dans la chaîne d’infection, et c’est à cet endroit qu’il faut frapper.

Par conséquent, la seule façon de gagner la bataille et de contenir la menace à la porte de l’infrastructure, est de recueillir, d’analyser et de comparer des échantillons de codes pour identifier les faiblesses du malware. Et celles-ci finiront par être dévoilées. Il y a des millions de sondes infiltrées au sein de l’écosystème numérique, piégeant les malware distribués en masse. Il existe également des outils d’analyse spécifiques, embusqués dans les réseaux d’entreprise pour traquer les attaques ciblées. Au final, le malware sera identifié et sa faiblesse révélée.

C’est là que l’information prend toute son importance : elle doit être partagée de manière globale.

L’information doit être partagée entre toutes les composantes de l’infrastructure de sécurité informatique. Et ces dernières doivent communiquer automatiquement entre elles. Tout indicateur d’une nouvelle menace doit être transmis à travers le réseau à tout système capable de détecter, alerter, bloquer ou traiter l’infection. Il ne devrait pas y avoir plus d’un « patient zéro », isolé du reste du monde, et cela devrait représenter le pire des scénarios.

Une condition nécessaire et suffisante : un langage commun.

Ensuite, il faut la volonté commune de la part de tous les acteurs d’échanger efficacement des éléments d’information pertinents. Et c’est là le cœur du problème. Tout d’abord, d’un point de vue technique. Parce que des solutions complémentaires impliquent qu’elles opèrent à différents niveaux, avec un objectif qui leur est propre. Une interaction complète et automatisée ne peut donc être obtenue qu’à l’aide d’une infrastructure mondiale interconnectée, et ce dès la conception même de chaque composant. Quand on sait combien il est difficile d’obtenir d’un même fournisseur des solutions distinctes  mais qui communiquent entre elles de façon fluide, demander aux solutions de différents fournisseurs de partager efficacement des informations peut être considéré comme le plus grand défi d’ingénierie qui soit. Surtout lorsqu’il s’agit de préserver ses secrets industriels et son savoir-faire…

Mais ce n’est qu’une épine dans le pied.

La sécurité est un processus, ce n’est pas nouveau. Ainsi, la communication et le fonctionnement des systèmes de sécurité doivent être à même de s’intégrer avec les processus de réponse aux incidents de chaque organisation. Ou plutôt « devraient ».  En effet, au-delà du défi technique, le vrai défi est humain. Il est en effet généralement plus facile d’obtenir des ordinateurs qu’ils communiquent entre eux que les humains. Et il est plus facile de définir un protocole d’automatisation, que de définir un processus commun partagé, accepté et appliqué de façon uniforme par une communauté d’êtres humains. Par conséquent, il est vain d’imposer l’utilisation d’un processus défini à partir d’éléments technologiques. Cela ne fonctionnera tout simplement pas.

Alors, sommes-nous coincés ? Non.

Il faut revenir aux racines et trouver le plus petit dénominateur commun à partir duquel nous pouvons construire une infrastructure technique ouverte et un processus de réponse aux incidents. C’est à ce moment qu’interviennent les Indicateurs de Compromission (IoC) : un ensemble minimal d’informations qui peut être largement utilisé pour identifier les menaces à chacune des quatre étapes d’action des logiciels malveillants. Les IoC peuvent également être utilisés pour qualifier les intrusions, les activités post-infection, les vols d’identité ou autres abus et mauvaises pratiques. L’IoC est donc fondamental pour décrire les événements.

Le cœur de l’IoC est de définir des indicateurs précis et ciblés qui sont le résultat final d’une analyse spécifique effectuée par n’importe quel système de sécurité. Il peut s’agir du « hash » d’un fichier, d’un comportement spécifique, d’une connexion réseau, d’un accès à une ressource, d’un résultat d’authentification, d’une opération sur le système, d’un appel à une fonction, d’une adresse e-mail… en somme, tout ce qu’il est possible d’utiliser pour identifier une menace sans qu’il soit nécessaire de révéler les composants internes des procédés mis en œuvre pour obtenir les informations.

Et au-delà de toute considération, étant donné que nous avons affaire à la représentation  atomique d’une menace, l’IOC est unique. Une information-clé qui peut être partagée et utilisée à tout niveau de la lutte contre les cyber-attaques, qu’elles soient massives ou ciblées.

L’IoC répond aux exigences techniques pour les opérations automatisées à tous les niveaux, du réseau jusqu’au système, de l’application à l’utilisateur. Il fournit également des données pertinentes sur les systèmes compromis et les impacts potentiels, pouvant être utilisées dans tout processus de réponse aux incidents. Voilà un autre point clé. L’IoC est la base commune pour les deux types d’opérations : humaines et automatisées. La cohérence qui en découle améliore l’efficacité globale de la prévention, de l’analyse criminalistique et de la réponse aux incidents, ainsi que les mesures d’application des lois.

Cependant, il existe une condition qui peut nécessiter un changement de paradigme pour beaucoup d’acteurs du domaine : une véritable coopération, basée sur la confiance et l’honnêteté est en effet indispensable. La concurrence n’est pas une question de parts de marché : les vrais concurrents sont les pirates.