Threat Intelligence : pourquoi la standardisation est clé dans la lutte contre les menaces

Pour tirer pleinement partie des informations issues du renseignement sur les menaces, il est urgent d'accélérer l'adoption de standards. Explications.

Les acteurs de la communauté des (cyber-)défenseurs ont bien compris l'importance de s’appuyer sur les informations issues du renseignement sur les menaces. Mais dans l’objectif d’en tirer pleinement partie, il est urgent d'accélérer l’adoption de standards.

L'approche consistant à utiliser le renseignement d’intérêt cyber (threat intelligence) pour bâtir une stratégie de cybersécurité est devenue une évidence pour la majorité des acteurs du domaine. Il s’agit ici d’un constat parfaitement logique :  une meilleure connaissance de son adversaire permet une protection accrue ainsi qu’une défense plus efficace.

Une activité récente

Le renseignement sur les menaces cyber est une discipline relativement jeune dont les fondations ont été érigées il y a une quinzaine d’années. Le plus souvent, les recherches et les analyses sont publiées sous la forme de rapports écrits, associés dans certains cas à des tableaux d’éléments techniques. Conçus par des analystes à destination d’autres analystes ou spécialistes du domaine (CERT, SOC, éditeurs de logiciel, etc.), ces rapports suivent une méthodologie précise qui se veut à la fois démonstrative et explicative.

Au départ limité, le volume de rapports et d’articles à propos de cybermenaces s’est fortement accru ces dernières années, de par la multiplication du nombre d’acteurs et d’entreprises spécialisées mais également en raison du progrès des méthodes d’analyse et des outils associés. Cet accroissement des informations à la disposition des analystes n’était qu’une problématique limitée tant, au départ, le champ de la threat intelligence demeurait limité à un cercle restreint de spécialistes et que les enjeux pour les organisations s’avéraient essentiellement techniques : listes noires d’adresses IP ou de nom de domaine, règles de détection réseau basiques, etc.

L’augmentation de la complexité des cyberattaques et du niveau de maturité des acteurs malveillants ainsi que le développement rapide de nouveaux outils et méthodes de détection et de réponse a placé le renseignement sur les menaces au cœur des enjeux de cybersécurité opérationnelles et stratégiques des entreprises. Les informations sur les menaces utiles à l’adaptation de la posture de sécurité d’une organisation ne sont plus seulement techniques mais sont également liées aux techniques utilisées, à la victimologie, etc.

Ce basculement a fait apparaître une nécessité d'interopérabilité sur des données non-techniques et le besoin de taxonomies communes permettant aux équipes de contextualiser les alertes et de se montrer proactives face aux menaces émergentes. Par exemple, lors de la détection d’un flux réseau malveillant, le fait de pouvoir déterminer s’il s’agit d’un scan de reconnaissance, d’un mouvement latéral ou d’une exfiltration de données détermine en grande partie la réponse à apporter et la conduite à suivre des équipes de cybersécurité. Au-delà de la contextualisation, la nécessité croissante de partager et d’échanger du renseignement entre les organisations qui sont ciblées par des menaces similaires entraîne également un besoin fort de standardisation et de classification. Les acteurs de la cyberdéfense sont dorénavant convaincus qu’adopter une approche commune permet une meilleure protection et que partager des informations sur un incident est plus efficace que de conserver un haut degré de confidentialité.

Les trois dimensions de la standardisation

Lorsque l’on aborde le sujet des standards en matière d'échange d’information sur la menace cyber, il y a principalement trois dimensions à prendre en considération :

  • Le format et l’encodage de ces données : types d'entités, de relations, propriétés utilisées, versionnage, etc.
  • La taxonomie et les classifications utilisées : champ lexical et vocabulaire utilisé pour décrire un type de menace ou de code malveillant, phases d’une attaque, etc.
  • Les référentiels : bases de connaissance partagées sur les techniques utilisées comme MITRE ATT&CK, modélisation des tactiques, etc.

Ainsi, utiliser un format, une terminologie et des référentiels communs va permettre une compréhension plus rapide lors de la réception d’une information mais également une capacité accrue à utiliser immédiatement cette connaissance dans des systèmes de traitement automatisé dédiés à la détection, la prévention ou l’analyse de risques cyber. Dès lors qu’il s’agit de mettre en place une communauté de partage, cette nécessité d’interopérabilité s’impose. Par ailleurs, le nombre de cercles d’échange d’information sur les cybermenaces s’est considérablement accru ces dernières années, mettant en lumière deux enjeux majeurs.

Tout d’abord, il s’agit de partager de la manière la plus large possible des données dites actionnables et immédiatement intelligibles, c’est-à-dire qu’elle doivent permettre de faciliter la prise de décision et de guider les processus de sécurité dans une direction qui permette une meilleure anticipation des risques liés à une menace. L’automatisation des flux d’informations et l’adoption des standards permettent de relever ce défi.

Enfin, il est essentiel de prendre en compte la célérité des attaques sur des systèmes numériques et donc la capacité des organisations à accélérer significativement  ces échanges. L’usage de l’intelligence artificielle par les attaquants permet de créer du contenu voire certaines composantes de programmes malveillants dans un temps compressé. Seule une circulation d’information rapide et automatisée permet à ces communautés d’adopter des mesures proactives face aux menaces émergentes.

Développement des standards et des outils

A l’heure actuelle, les organisations publiques et privées adoptent massivement ces standards, les éditeurs spécialisés accompagnent leurs productions d’exports structurés permettant une ingestion plus rapide dans des outils compatibles tels que la plateforme OpenCTI.

Le monde de la cybersécurité n’est pas différent d’autres industries et plusieurs standards sont en compétition. Néanmoins, l’un d’entre eux, le format “STIX”, majoritaire et répandu, est en passe de devenir la référence internationale en la matière. Son adoption est croissante mais encore malheureusement limitée, notamment chez les éditeurs qui se doivent de faire un effort particulier d’adaptation de leurs outils.

Enfin, il est important de rappeler également que l’adoption de standards et de vocabulaires partagés par une vaste communauté de spécialistes permet à l’ensemble du domaine une montée en compétences et en maturité plus rapide et plus homogène. Les analystes apprennent ainsi à utiliser ces nouveaux standards, remettant parfois en cause les approches et méthodologies utilisées jusqu’alors en s’appuyant sur les possibilités de modélisations créées grâce à une meilleure optimisation des données collectées.