Le concept de CTI (Cyber Threat Intelligence) est issu du monde du renseignement. Il vise à collecter les informations idoines pour identifier les menaces cyber, par exemple des indicateurs de compromission, des alertes ou des techniques d’attaques. L’objectif est d’améliorer l’efficacité de sa réponse aux incidents de sécurité en dotant les parties prenantes, en particulier les SOC et les CSIRT,  d’outils facilitant le partage d’informations. Comme dans le monde du renseignement, il ne suffit pas de collecter et partager des informations, il faut aussi les traiter pour prendre rapidement les bonnes décisions. Rappelons à ce sujet les normes ISO 27035 qui donnent un cadre pour améliorer son processus de qualification et de décision des événements et incidents de cybersécurité. Le CTI est de plus en plus intégré dans le référentiels de bonnes pratiques de cybersécurité, comme le référentiel CIS en particulier.

Quels types d’informations

Les indices de compromission (IoC - Indicator of Compromise) sont les marqueurs qui indiquent l’imminence d’une attaque ou une compromission avérée d’un système d’information. Par exemple une liste des adresses IP utilisées par un serveur contrôlant une attaque de type DDoS (Distributed Denial of Service), des noms de domaines suspects, des URL menant à des contenus malveillants, des empreintes numériques d’un programme exécuté au début d’une attaque ciblée, une partie d’email de type « spear-phishing » ou encore des informations de type Passive DNS.

Les TTP (Tactics techniques, and procedures) décrivent les modes d’actions des attaquants. Par exemple une attaque de type « water holing » consiste à compromettre un site WEB tierce peu sécurisé pour rebondir sur l’ordinateur d’un employé ciblé. La base du MITRE ATT&CK propose une classification des techniques. Des rapports synthétiques d’analyse des menaces, basés sur ces TTP sont particulièrement intéressants pour améliorer le processus de décision.

Les alertes de sécurité récapitulent les vulnérabilités publiques (identifiées par leur CVE – Common Vulnerability Exposures et leurs notes de criticité CVSS- Common Vulnerability Scoring System, basiques et temporelles). Ces alertes peuvent aussi inclure un rapport indiquant une recrudescence d’activité de type Ransomware. Il est aussi possible d’incorporer les CWE-Common Weakness Enumeration pour les failles de développement et les CCE-Common Configuration Enumeration pour les faiblesses de durcissement. SCAP propose une normalisation des échanges.

Les informations de configuration des outils de sécurité pour détecter et bloquer des attaques. Par exemple une règle Suricata pour détecter ou bloquer une attaque, une ACL-Access Control List sur un routeur BGP dans le cadre d’une attaque réseau, une règles de firewall ou une signature YARA pour rechercher la présence d’un malware.

Exemples de plate-formes

Les TIP-Threat Intelligence Platform sont des outils qui facilitent la mise en place d’un programme CTI par des fonctions de collecte, de normalisation, d’enrichissement, de corrélation, d’analyse et de partage d’informations liées aux cybermenaces. Citons par exemple les projets Open Source CRIT soutenu par le MITRE américain, MISP cofinancé par l’Union Européenne et le CERT luxembourgeois ou encore Yeti. Plusieurs plateformes commerciales sont disponibles, par exemple ThreatQuotient aux Etats-Unis ou Sekoia en France. STIX est un langage basé sur JSON pour formater les échanges CTI. TAXII est le protocole d’échanges pour définir les API (en mode Restful par requêtes HTTPS) pour échanger les informations CTI.

Outre les analystes CTI, les professionnels de la sécurité qui peuvent bénéficier de ces plateformes sont les analystes des SOC, les équipes de réponses à incident, les enquêteurs (investigations numériques) et les décideurs (responsables SOC, responsables de la sécurité opérationnelle).

Ces plate-formes sont souvent complétées par la mise en oeuvre d'outils de type SOAR.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :