Comment la mutualisation du renseignement cyber améliore la lutte contre les attaques

Comment la mutualisation du renseignement cyber améliore la lutte contre les attaques

La DGSI (Direction Générale de la Sécurité Intérieure, qui dépend du Ministère de l’Intérieur) a installé depuis 2020 un stand de recrutement au salon FIC (Forum International de la Cybersécurité) de Lille. Une façon claire de montrer que les services de renseignement sont toujours à la recherche de compétences en matière de sécurité informatique. Mais les services de renseignement sont aussi présents au SSTIC de Rennes (Symposium sur la Sécurité des Technologies de l’Information et des Communications) ou d’autres conférences techniques. La DGSI et la DGSE sont en effet de grands acteurs R&D en cybersécurité, tout comme l’ANSSI. La CTI (Cyber Threat Intelligence), discipline dédiée à la connaissance, la défense et l’anticipation des risques cyber, est donc l’affaire des organisations étatiques telles que le NIST, au même titre que les éditeurs de sécurité informatique ou d’associations spécialisées comme MITRE.

Des outils standardisés

N’importe quel cyberattaquant laisse des traces de ses activités malveillantes. C’est le principe d’échange de Locard. Ces traces peuvent permettre de déduire les techniques d’attaque qu’il a employées, comprendre le fonctionnement d’une vulnérabilité. Lorsque mises bout-à-bout, ces données peuvent permettre de savoir quel groupe de pirates utilise quel modus operandi (on parle de Tactiques, Techniques et Procédures, ou TTPs), voire parfois de pouvoir attribuer l’origine de l’attaque. Il est par exemple possible de détecter que des groupes de cybercriminels de Corée du Nord attaquent des casinos en Amérique du Sud ou des banques en Asie avec certains types d’outils comme DarkComet.

Pour aider à normaliser ces méthodes d’enquêtes, le MITRE a développé un framework, MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge), qui permet de classifier les différentes tactiques et techniques associées employées par les cybercriminels. L’association a aussi contribué à la création d’un format d’échanges standard (STIX, Structured Threat Information eXpression) sur les menaces.

Notons également la naissance d’initiatives collaboratives et open source telles que MISP et OpenCTI (initié par l’ANSSI) permettant de partager ces indicateurs / marqueurs et renseignements autour des attaquants et leurs méthodes.

La communauté et les différents contributeurs tendent donc à standardiser les outils afin de faciliter les échanges mais également de réduire les temps de détection et d’améliorer la compréhension des chaînes d’évènements des cybermalveillances.

Les structures d’État ouvertes au partage d’information

L’objectif de ces initiatives de normalisation est de faciliter la communication entre tous les acteurs de la lutte contre la cybercriminalité. Si les éditeurs et les associations, notamment dans le monde de l’open-source, participent de longue date à ces actions de partage, les structures d’état ont longtemps été plus discrètes.

Aujourd’hui, elles contribuent de plus en plus aux échanges en redescendant leurs informations à la communauté. Elles communiquent aussi publiquement sur leurs actions. Par exemple, l’ANSSI, qui scrute de près les attaques sur les OIV (Opérateurs d’Importance Vitale), publie dans une certaine mesure le résultat de ses recherches au travers des avis du CERT-FR. Elles sont disponibles avec différents niveaux de confidentialité : à destination du grand public mais aussi à destination des entreprises cibles et des acteurs de la lutte contre la cybercriminalité. On peut également trouver sur Internet, des challenges proposés par les services de renseignement aux spécialistes de la cybersécurité tels que celui de la DGSE (https://ctf.404ctf.fr/) ou encore celui de la DGA (http://www.dghack.fr/).

Cette capitalisation permet notamment à un analyste forensique d’orienter ses recherches. Par exemple, si une entreprise de Santé se voit subir une exploitation de la vulnérabilité CVE-2020-10189, l’analyste peut émettre l’hypothèse d’investigation suivante : le groupe attaquant pourrait être APT41. Il peut donc chercher des traces d’exécutions de Mimikatz mais également de Windows Credential Editor qui sont les techniques de récupération d’identifiants utilisées par le groupe.

Des initiatives qui viennent compléter les solutions de sécurité

Toutes les plateformes de CTI sont compatibles avec le format STIX. Les grands éditeurs contribuent à la lutte contre la cybercriminalité, en collectant et diffusant les informations critiques réunies à partir de leurs propres recherches, qui peuvent d’ailleurs s’inspirer des techniques utilisées par les services de renseignement. Dans le même esprit, les éditeurs de solution réseau, présentes dans la plupart des entreprises, collectent des informations et participent à la CTI.

Les renseignements partagés par ces acteurs toujours plus nombreux, sur des attaques toujours en hausse ont un effet positif : il est possible de capitaliser sur les incidents pour mieux analyser des tendances et anticiper les risques. Ainsi, le « Ransomware as a Service », aujourd’hui très à la mode chez les cybercriminels, va évoluer sur d’autres types de techniques. Reste qu’identifier les prochaines menaces ne signifie pas qu’on peut y échapper. Les attaques par ransomwares sur les hôpitaux en sont un parfait exemple : on sait la menace croissante depuis plusieurs années, mais leur manque de moyen en matière de solution de cybersécurité – leur priorité étant plus d’obtenir des lits de réanimation que des firewalls – en font des cibles de choix pour les pirates. La CTI est donc indissociable de la mise en place d’outils de sécurité avancés et à jour.

Tristan PINCEAUX – Lead CERT CWATCH Almond

CATEGORIES