Ce billet est le premier d’une (longue) série de billets qui aura pour thème la Threat Intelligence. En France, le sujet reste assez confidentiel, méconnu mais surtout, je pense, mal compris. Certains le voient simplement sous l’angle du « buzzword » décrié (à l’image de l’IA, de la blockchain ou encore du machine learning). Ils n’ont pas forcément tort car, comme souvent, le « marketing » s’est trop rapidement approprié ce terme en le détournant pour vendre tout et n’importe quoi sous cette bannière.
Mais avant de vous proposer prochainement une définition de la Threat Intelligence (j’ai décidé d’arrêter de rajouter le préfixe c**** pour le moment) et de détailler à quoi ça peut bien servir, intéressons-nous aujourd’hui à ce que n’est pas la Threat Intelligence.
La Threat Intelligence ce n’est pas de la veille 3.0
Certains « mauvais esprits » ont tendance à assimiler Threat Intelligence et veille en minimisant la valeur ajoutée de cette nouvelle discipline, qui ne serait donc qu’un énième buzz marketing américain. On peut penser que généralement le concept reste surtout mal compris car mal défini. Quand on parle de Threat Intelligence, on a tendance généralement à lier ce sujet aux APT – ces cyberattaques ciblées, sophistiquées (parfois), persistantes (souvent). Quand on traite d’APT, on pense aux (très) nombreux rapports et billets de blog de FireEye, Kaspersky Labs, CrowdStrike et Cie. Et donc à toute cette très intéressante littérature « cyber » qui s’est démocratisée (pas en France je vous rassure mais on y reviendra).
Oui, la Threat Intel nécessite une veille permanente sur les cybermenaces et les groupes d’attaquants et tout ce qui peut les définir et les discriminer (on y reviendra également dans un prochain billet). Mais faire de la veille comme tout professionnel sérieux de la cybersécurité en fait quotidiennement, ce n’est pas faire de la Threat Intelligence.
La Threat Intelligence ce n’est pas (seulement) un flux d’indicateurs de compromission (IoC)
On entend beaucoup parler de ces fameux IoC (indicateurs de compromission), ces éléments techniques qui prennent généralement la forme d’une adresse IP (appartenant à un serveur de Command & Control d’un attaquant, par exemple) ou d’une empreinte (hash) de logiciel malveillant (malware).
Mais ces flux d’IoC, souvent dénués de contexte (temporel ? à quel groupe est-il lié ? dans quelle campagne a-t-il été observé ? à quel secteur la victime appartenait ? à quelle date a eu lieu l’attaque ?), ne représentent que la dimension technique de la Threat Intelligence. Ils sont assez faciles à trouver, souvent gratuitement, parfois très chers et peu compliqués à consommer (et encore ça dépend de la maturité de l’organisation).
Les IoC peuvent en effet être intéressants pour détecter, a posteriori dans le cadre d’une recherche de compromission (hunting), un incident de sécurité. Mais ces indicateurs techniques restent généralement des informations très volatiles (beaucoup de faux-positifs) et pertinentes seulement pendant une durée très limitée. Difficile d’anticiper une cyberattaque ou d’adapter sa cyberdéfense avec une liste d’IP malveillantes.
La Threat Intelligence ce n’est pas un service de surveillance des fuites de données (leaks)
Parcourir (crawler) Internet, pastebin (et cie) et autre Darknet (voire l’infiltrer – wow ça fait peur) à la recherche de documents ou d’informations confidentielles (mot de passe, par exemple) qui auraient fuité, ce type de service s’est fortement développé ces dernières années, que ça soit par des startups spécialisées ou des acteurs plus classiques de la cybersécurité qui en ont développé une offre spécifique, à côté de leurs prestations de conseil ou de pentest.
Ce sont évidemment des services très utiles pour de nombreuses d’organisations, notamment les grands groupes disposant de nombreuses filiales aux quatre coins du monde et de centaines de sous-traitants qui traitent les données de leurs donneurs d’ordres de façon parfois négligente. Tout comme surveiller le typosquatting de ses noms de domaine / marques ou ce qui se dit sur les réseaux sociaux.
Mais personnellement, je ne considère pas ces offres de cyber surveillance comme de la Threat Intelligence. Les deux disciplines sont néanmoins complémentaires. Malheureusement, de nombreuses sociétés de cybersécurité étrangères mais également françaises présentent leurs offres de cyber surveillance comme de la Threat Intel… Ce qui contribue à brouiller d’autant plus le message autour de ce qu’est vraiment un service de Threat Intelligence.
Dans le prochain billet, je vous propose l’interview (sûrement en deux parties) d’un chercheur en sécurité informatique, devenu expert en Threat Intel, qui nous en donnera une première définition et nous expliquera en quoi ça consiste concrètement !