Reconnaitre les risques d’intelligence

Souvent, dans le monde de la sécurité de l’information et de la gestion des risques, la question qui se pose aux équipes de renseignement sur les menaces se situe au milieu de cette mer de divulgations de vulnérabilités, lesquelles comptent le plus pour mon organisation? Qu’est-ce qui peut nous affecter le plus? Et comment expliquer au mieux les menaces aux parties prenantes internes de manière à minimiser les risques?

Réduire les risques grâce à une bonne gestion des correctifs n’est pas toujours simple. Toutes les vulnérabilités et expositions courantes (CVE) ne sont pas toutes aussi importantes. En juillet 2020, par exemple, le département américain de la Sécurité intérieure a publié plusieurs avis de première priorité. L’un couvrait les exploits connus contre certains systèmes de fourniture d’applications (CVE-2020-5902) et un autre couvrait les vulnérabilités détectées dans un serveur de système de noms de domaine (DNS) (CVE-2020-1350). Bien que les deux soient des priorités absolues, comment s’appliquent-ils au réseau que vous utilisez? Quelles menaces sont les plus susceptibles d’avoir un impact sur votre cœur de métier?

Pour mieux répondre à cela, nous devons être en mesure d’identifier les menaces pertinentes avant de commencer à traiter les correctifs ou gérer les risques. Entrez l’identification des menaces: un processus nécessaire qui est devenu de plus en plus compliqué.

Pourquoi repérer les menaces est-il plus complexe aujourd’hui?
L’identification des menaces est aujourd’hui beaucoup plus complexe qu’à aucun autre moment dans le passé. D’une part, l’infrastructure devient plus complexe à mesure que de plus en plus de groupes adoptent la transformation numérique. De l’autre, nous constatons que le nombre de bogues signalés augmente d’année en année. Le rapport 2020 sur le coût d’une violation de données récemment publié met en évidence ce défi, car 41% des professionnels des technologies de l’information (TI) et de la sécurité signalent une vulnérabilité ou une mauvaise configuration comme étant à l’origine d’une violation de données malveillantes.

Ces facteurs présentent un nombre croissant de surfaces d’attaque. Pour construire un programme efficace d’identification des menaces pour ce domaine complexe, adoptez une approche précise et réfléchie. Sinon, vous risquez d’inonder votre public avec trop de données, ce qui entraînerait une paralysie de la sécurité.

Examinons les piliers de la création d’une identification des menaces plan qui peut être rentable en temps et en argent économisés sur toute la ligne.

Étape 1: Dressez la liste de vos parties prenantes de Threat Intelligence
Pour fournir la valeur la plus élevée, plusieurs équipes et parties du groupe doivent consulter les cyber-menaces. Chaque équipe peut avoir un objectif ou un avantage légèrement différent. Pour un rapport efficace avec les actionnaires et le conseil d’administration, la C-suite peut exiger des rapports de renseignements sur les menaces afin de comprendre, à un niveau élevé, les cyberrisques pour le groupe.

En outre, les équipes des opérations de sécurité (SecOps) peuvent consommer des données sur les menaces pour mieux comprendre quels types d’attaques sont susceptibles de se produire. Cela leur permet d’ajuster leurs contrôles ou d’exécuter des exercices, puis de valider les contrôles et d’identifier les domaines qui peuvent être améliorés. Les équipes de gestion des vulnérabilités utilisent ces données pour choisir les CVE qu’elles doivent traiter et dans quel ordre. Selon le type d’entreprise, cette étape peut également empêcher la fraude ou détecter les fuites de données.

Étape 2: définir le processus et les objectifs de Threat Intelligence
Savoir qui est aller voir et utiliser vos données sur les cybermenaces vous indique comment les examiner et structurer les rapports pour chaque service.

Les rapports pour les groupes non techniques peuvent être de simples graphiques de feux tricolores avec des puces de base. Pour les utilisateurs plus techniques, les rapports peuvent contenir plus d’informations sur les étapes de correction ou une analyse plus avancée. Considérez les questions suivantes pour chaque type:

Comment différenciez-vous l’intelligence en fonction des personas?
Quelles sont leurs principales préoccupations?
Quelles données leur sont utiles?
Que leur fournissez-vous et à quelle fréquence?
Comment pouvons-nous leur donner les moyens d’agir sur les données qu’ils reçoivent?
Les réponses à ces questions façonneront les objectifs de votre programme. Définissez clairement ces objectifs, en les intégrant dans un flux de travail qui couvre l’ensemble du processus. Les étapes du cycle de vie du renseignement sur les menaces sont les suivantes:

Planifiez vos besoins et créez des orientations claires vers les résultats et les objectifs.
Recueillez ce que vous devez savoir pour atteindre ces résultats et objectifs.
Traitez les informations pour faciliter leur analyse.
Analyser données et produire des informations exploitables.
Distribuez les données dans un format facile à lire.
Étape 3: créer une méthodologie d’identification et de renseignement sur les menaces
Commencez par définir vos besoins en intelligence. Ces besoins sont à la base de la gestion du renseignement. Plus précisément, demandez-vous: «Qu’est-ce qui est important pour mon groupe?» et traduisez les réponses en besoins spécifiques.

Ces exigences devraient varier en fonction du groupe. Une banque ou une compagnie d’assurance peut avoir un ensemble de préoccupations qui pourraient ne pas avoir d’incidence sur un service public ou une équipe de soins de santé. Gardez à l’esprit que les attaquants passent plus souvent d’un secteur à un autre car ils se rendent compte qu’un secteur spécifique est plus susceptible de céder à leurs demandes. Par exemple, les attaques de ransomwares ciblaient initialement de nombreuses petites entreprises et les gouvernements des États et locaux. Les attaquants ont rapidement identifié les organisations qui avaient plus d’urgence à reprendre leurs opérations et pourraient potentiellement payer plus en rançon, comme les soins de santé, les organisations industrielles et les cabinets d’avocats, pour exemple.

À partir de là, vous pouvez passer à la définition des besoins techniques pour la collecte d’informations sur les menaces. Cela peut impliquer des paramètres de fichier journal, des flux entrants de services et de plates-formes de renseignement sur les menaces et des résultats de services continus de simulation de violation et d’attaque.

L’Université Carnegie Mellon a publié une excellente série de guides sur la façon de penser à la cyber-intelligence et aux menaces. Ces guides fournissent à la fois des cadres et du matériel sur la façon de développer une méthodologie.

Étape 4: définir les zones de collecte
Une fois que votre méthodologie est présentée à un niveau élevé, vous pouvez ajouter des détails à votre cadre pour affiner les informations de renseignement sur les menaces que votre équipe doit traiter, analyser et recevoir des rapports. Trois aspects clés sont le secteur; ce que veut l’attaquant; et tactiques, techniques et procédures probables (TTP).

Secteur
De nos jours, de nombreuses organisations couvrent plusieurs secteurs. Par conséquent, ils doivent prendre en compte des risques plus importants. Par exemple, les grandes banques sont également des services en ligne fournisseurs avec leurs services de vente au détail. Les fournisseurs de télécommunications gèrent non seulement des réseaux de communication et de données, mais traitent également les paiements des clients, vendent des produits en ligne et stockent des informations client sensibles, y compris l’activité et l’emplacement en ligne. En conséquence, les attaquants se déplacent souvent rapidement d’un secteur à un autre pour atteindre leurs objectifs via des cibles plus souples – pensez aux attaquants de ransomware ciblant les établissements de santé, qui ne peuvent pas supporter même de brèves interruptions et encourent des sanctions beaucoup plus lourdes pour perte de données que les gouvernements municipaux.

Motivation
Ce que veut l’attaquant peut différer selon l’acteur de la menace. Les acteurs des États-nations peuvent chercher à exfiltrer des données sensibles. Les fraudeurs peuvent chercher à reprendre des comptes pour accéder à de l’argent ou à des points de fidélité pour les revendre. Les gangs de ransomwares recherchent des paiements importants et rapides en crypto-monnaies. Des attaques de déni de service distribuées peuvent être menées pour extorquer des victimes, détruire des sites rivaux, faire pression pour protester ou se venger. Les motivations sont souvent floues. Les APT d’acteurs étatiques peuvent à la fois chercher à voler des données sensibles et à commettre des délits financiers.

Ces besoins peuvent également être superposés. Un gang de ransomwares peut d’abord chercher à y accéder via des logiciels malveillants ou des attaques de phishing, puis se déplacer dans les systèmes de la victime pour implanter des ransomwares à des points clés. Comprendre les motivations des attaquants potentiels permet de définir les principales modalités d’attaque potentielles et les TTP auxquels se préparer.

Cibles
Après avoir défini les paramètres de secteur et de motivation, les programmes d’identification des menaces peuvent se concentrer plus étroitement sur les systèmes cibles préférés et les playbooks d’attaque courants et les TTP des acteurs de menace les plus probables. Les équipes de renseignement sur les menaces doivent connaître toutes les surfaces d’attaque de leurs employeurs et concentrer leurs efforts sur les systèmes dont elles disposent.

Par exemple, si votre employeur a des contrôleurs de livraison d’applications (ADC) Citrix Netscaler mais pas des ADC F5, alors la principale préoccupation concerne les menaces pesant sur les équipements Citrix. Les menaces pesant sur l’équipement F5 peuvent être considérées comme faisant partie l’intelligence situationnelle mais laissée en dehors des suggestions exploitables.

En outre, les tactiques d’identification des menaces doivent tenir compte de la probabilité que les systèmes soient exposés et exploités. Si une entreprise utilise les services Microsoft DNS pour le routage interne au sein des systèmes Microsoft mais n’expose pas Microsoft DNS à l’Internet public, les risques pour Microsoft DNS peuvent recevoir une priorité inférieure à celle des menaces sur la surface d’attaque exposée publiquement.

Les équipes de renseignement sur les menaces doivent également mettre l’accent sur les nouveaux types d’attaques qui sont moins susceptibles d’être corrigés ou atténués avec des paramètres de contrôle de sécurité supplémentaires ou des contrôles de compensation autour des systèmes applicables. Nous devons accorder une importance particulière aux types d’attaques qui accordent un accès privilégié et peuvent contourner les défenses de périmètre. La montée en flèche des ouvertures de réseaux privés virtuels et des exploits observés au cours des six derniers mois correspond à ce type.

En gardant ces considérations et objectifs à l’esprit, une équipe de renseignement sur les menaces peut mettre en place une formule de notation des risques pour créer un système numérique, défendable et méthodologie reproductible pour l’identification des menaces. Cette évaluation des risques doit guider la gestion des vulnérabilités sur la priorisation des correctifs et des remédiations et les équipes SecOps pour des domaines d’intérêt spécifiques dans leur travail de surveillance et de sécurité au jour le jour. Le cadre méthodologique du risque binaire peut être une bonne base de référence pour permettre des discussions structurées et rapides sur les risques.

Étape 5: Parlez aux autres parties prenantes
Une fois en place, le programme d’identification des menaces doit être résumé et distribué dans un format pratique et lisible pour les parties prenantes qui ont besoin de détails.

Les graphiques «Stoplight» ou autres graphiques simples à base de couleurs avec une seule ligne de description sont simples et faciles à lire. Au-delà de ce traitement de base, les rapports d’identification des menaces doivent également fournir des conseils détaillés aux parties prenantes plus techniques en fonction des exploits et des risques commerciaux:

Les équipes de gestion des vulnérabilités doivent recevoir une liste pondérée en fonction des risques des correctifs à utiliser.
Les équipes SecOps doivent recevoir une liste des types d’attaques à surveiller. Aussi fournissez-leur une description de la façon dont ces types peuvent se manifester dans les fichiers journaux ou d’autres données de télémétrie et analyses.
Les rapports d’identification des menaces peuvent également guider le déploiement de la simulation de violation et d’attaque et suggérer quels playbooks doivent être chargés pour les simulations et quels contrôles de sécurité doivent être validés contre des attaques plus récentes ou émergentes.
Chaque version du rapport doit comporter les prochaines étapes personnalisées en fonction du lecteur et de son rôle. Au mieux, cette structure de rapport modulaire prendra une forme simple de messages imbriqués qui permet un zoom avant et un zoom arrière faciles pour toute partie prenante.
La création d’un programme d’identification des menaces est une base essentielle pour une cybersécurité proactive. Le faire de la bonne manière peut rapporter des dividendes pour les années à venir. Le programme peut créer des plans, des normes et des modèles de communication clairs et cohérents qui améliorent la sensibilisation et la sécurité.

SEO AGENCE est une agence d’audit SEO