Depuis quelques années, la protection des réseaux informatiques est mise à mal par un phénomène inquiétant : le décalage de plus en plus grand entre la rapidité d’innovation des attaquants et la capacité de riposte des défenseurs. Un malware n’est plus aujourd’hui du code primitif réservé aux hackers expérimentés mais un logiciel comme un autre pour qui a les moyens de l’acheter. On trouve sur le deep web et le dark web (la face cachée d’Internet) tout un choix de kits à la disposition de quiconque cherche à lancer une attaque. Bon nombre d’assaillants réutilisent les tactiques, techniques et procédures (TTP) existantes, adaptant leur code au fil du temps afin de garder une longueur d’avance sur les spécialistes de la sécurité IT et les éditeurs de logiciels anti-virus et anti-malware. À mesure que la fréquence des attaques continue d’augmenter, il en va de même de la probabilité pour qu’une entreprise subisse à nouveau la même attaque.
L’idée à l’origine de la threat intelligence (TI) est d’offrir une solution pour détecter à temps les indicateurs d’attaque (IoA) et les indicateurs de compromission (IoC) et d’agir en conséquence. Idéalement, la TI devrait déceler les indicateurs d’une attaque en cours en analysant les données de sécurité couplées à toutes les informations disponibles sur les TTP de l’attaquant.
Peine perdue
Aujourd’hui les entreprises ont l’habitude de collecter d’énormes volumes de données sur la sécurité interne. De plus, pour compléter leurs analyses, elles achètent des flux de renseignement sur les menaces et utilisent des logiciels libres de TI. Pourtant, la plupart d’entre elles peinent encore à analyser et exploiter leurs données de threat intelligence.
L’urgence à résoudre ce problème est accentuée par le fait que les IoA et les IoC ont une durée de péremption relativement courte. La valeur des données de TI diminuant au fil du temps, si les entreprises ne sont pas en mesure d’agir vite pour profiter d’une opportunité, elles perdent rapidement l’occasion d’agir de manière efficace. Bon nombre d’entreprises voient leurs performances entravées par ces
problèmes de péremption des renseignements dont elles disposent ou d’obsolescence de leurs données avant même qu’elles aient pu les traduire en action défensive pour stopper une attaque imminente. Pour éviter d’être repérés, les assaillants modifient leurs TTP en changeant de serveur de commande et de contrôle (C2), d’adresse IP et de base de code malveillant.
La plupart des entreprises sont dans l’incapacité de réagir vite aux menaces imminentes. Bien souvent, leurs sources de threat intelligence ne contiennent aucun renseignement sur l’attaquant, sa tactique et ses moyens, ce qui les empêche de déterminer quelles sont les menaces les plus dangereuses et de les traiter en priorité. Définir les éléments clés de votre programme de threat intelligence peut être une tâche extrêmement difficile.
Quête du graal
Pour parvenir à déjouer les menaces de cyberattaque, les entreprises doivent adopter une approche de threat intelligence qui identifie à temps et avec exactitude les données pertinentes sur ces menaces. Le véritable graal pour la TI est l’automatisation. La suppression de toute intervention humaine dans le processus renforce considérablement la défense du réseau informatique. Grossir les rangs des analystes sécurité n’est plus une stratégie efficace pour contrer des cyberattaques toujours plus fréquentes et complexes. En optant pour l’automatisation, l’entreprise accélère ses délais de détection, et réduit d’autant les dommages potentiels que peut lui causer un adversaire.
Elle doit aussi adapter sa stratégie de collecte des données de threat intelligence en fonction des composants essentiels de l’activité (par ex. les systèmes et infrastructures critiques, la propriété intellectuelle et les données sensibles). Or, souvent l’équipe en charge de la sécurité IT n’a pas une vision claire de ces composants.
Mettre en oeuvre sur le terrain la stratégie de threat intelligence de l’entreprise peut représenter une tâche colossale pour des équipes de sécurité IT souvent débordées et en sous-effectif. Lorsque vous évaluez vos besoins de threat intelligence, veillez à :
définir ce que la threat intelligence signifie pour votre entreprise et les composants critiques à protéger ;
déterminer comment exploiter la threat intelligence pour gérer les risques et réagir aux incidents ;
renforcer votre capacité d’analyse en achetant des flux de renseignements en rapport avec l’infrastructure, les systèmes, les failles, l’implantation géographique et le secteur d’activité de votre entreprise ; et
créer une plate-forme de threat intelligence qui rassemble les données de toutes les sources disponibles et permet d’analyser la sécurité en temps réel.
Même si cela peut sembler parfois peine perdue d’essayer de bâtir une solution de threat intelligence efficace, la technologie et les fonctionnalités nécessaires sont bel et bien là et le graal est à portée de main. C’est pourquoi les entreprises doivent agir en commençant par définir leurs besoins et leur stratégie dans ce domaine.