Le renseignement sur les cybermenaces est désormais utilisé par des organisations de toutes tailles, dans tous les secteurs et toutes les zones géographiques. En fait, 85 % des personnes interrogées dans le cadre de l'enquête SANS 2021 sur le renseignement sur les cybermenaces (CTI) indiquent qu'elles produisent ou consomment du renseignement, les 15 % restants prévoyant de le faire. Plus particulièrement, pour la première fois, le nombre de répondants n'ayant pas l'intention de consommer ou de produire des renseignements est de 0 %, contre 5,5 % en 2020.
Mais il reste encore beaucoup de travail à faire. Un exemple concret : plusieurs mois après la brèche de sécurité de SolarWinds Orion, 63 % des organisations interrogées restent très inquiètes, 60 % de celles qui ont été directement touchées essaient encore de déterminer si elles ont été victimes d'une brèche, et 16 % des organisations se demandent encore si elles ont même été touchées. Peu d'organisations ont fait évoluer leurs opérations de sécurité (SecOps) au point d'intégrer une pratique complète de CTI.
Les entreprises qui souhaitent améliorer leurs SecOps (Opérations de sécurité) doivent intégrer une pratique de CTI au cœur de leurs opérations.
De nombreuses entreprises font appel à des fournisseurs de services de sécurité gérés (MSSP) ou à des services de détection et de réponse gérés (MDR) pour la partie détection de leurs SecOps, en mettant en place des processus et en faisant office d'analystes SOC de niveau 1 et 2. Ces contrats SOC sont généralement signés pour une période minimale de trois ans, les définitions des services SOC et les accords de niveau de service associés restant relativement statiques pendant cette période. Bien que ces contrats puissent spécifier la nécessité d'une amélioration continue, il peut être extrêmement difficile d'apporter des changements significatifs et de mettre à jour les SLA (Service Level Agreement) une fois le contrat en place.
Cette limitation est devenue encore plus problématique compte tenu de l'année de perturbations que chaque client a connue. Près de 20 % des personnes interrogées ont déclaré à SANS que la pandémie avait modifié leur façon d'utiliser les renseignements sur les menaces en raison du volume toujours très important d’ attaques de phishing, de ransomware et des menaces liées au télétravail. En outre, la découverte récente des attaques contre la chaîne d'approvisionnement mondiale a véritablement changé la donne pour les défenseurs. Cependant, les changements stratégiques visant à faire mûrir les SecOps et à faire évoluer l’utilisation des renseignements sur les menaces en mettant en oeuvre une pratique de renseignement sont difficiles à réaliser lorsque l’entreprise est en dehors d'une fenêtre de renouvellement de contrat. C'est pourquoi il est essentiel pour les entreprises de réfléchir à l'avance à leurs besoins en matière de maturité SecOps et de travailler avec leur MSSP/MDR lors du renouvellement du contrat ou pendant le processus d'appel d'offres afin de synchroniser les évolutions des processus d’exploitation de sécurité. C'est le seul moyen de s'assurer qu’elle sera en mesure d'embarquer une plateforme de Threat Intelligence lorsqu’elle sera prête et de bénéficier du partage, de l'orchestration et de la collaboration en matière de renseignements sur les menaces. Voici quelques-unes des clés de la réussite d'un projet global lorsqu'on s'appuie sur un processus contractuel SOC MSSP/MDR.
Ne pas laisser la fenêtre se refermer : il est temps de passer de la réactivité à l'anticipation.
Les perturbations font partie de la vie, et les acteurs de la menace continueront à en tirer parti. Une plateforme de renseignement permet d'adopter une approche proactive, voire anticipative, des opérations de sécurité en établissant le profil non seulement de l'attaque, mais aussi des attaquants qui modifient rapidement leurs outils, techniques et procédures (TTP) pour échapper aux technologies défensives. Grâce à des workflow basés sur le renseignement, les opérateurs de sécurité peuvent ensuite utiliser ces informations sur les adversaires et leur évolution pour enrichir la surveillance interne, en se concentrant sur les menaces pertinentes et hautement prioritaires et en réduisant au minimum les alertes qui ne sont que du bruit ou des faux positifs. Les équipes de sécurité peuvent renforcer leurs défenses en envoyant automatiquement des renseignements pertinents sur les menaces directement à la grille de capteurs, au SIEM, aux registres, ..., afin de protéger de manière proactive l'organisation contre les menaces futures. Dans une telle configuration, les équipes SecOps du client peuvent créer des politiques de détection en temps réel et collaborer activement avec le MSSP/MDR pour effectuer la gestion de crise lorsqu'une nouvelle menace massive apparaît.
Les équipes de sécurité peuvent renforcer leurs défenses en envoyant automatiquement des renseignements pertinents sur les menaces directement à la grille de capteurs, au SIEM, aux journaux et aux systèmes de gestion des tickets, afin de protéger de manière proactive l'organisation contre les menaces futures.
Le CTI sert et est alimenté par les quatre fonctions des SecOps
Les opérations de sécurité se composent généralement de quatre fonctions principales : l'équipe de défense, la gestion des risques, le SOC pour la détection et l'équipe de réponse aux incidents (Figure 1). Avec une plateforme de CTI, l’entreprise peut exploiter les renseignements sur les menaces à travers ces fonctions pour mieux comprendre ses adversaires et leurs tactiques, techniques et procédures (TTP) afin de pouvoir renforcer les défenses, atténuer les risques et accélérer la détection et la réponse de manière homogène et efficace. Au fur et à mesure que les outils et les équipes dans chacun de ces quatre domaines recueillent des données supplémentaires sur les menaces, des apprentissages et des observations, ils peuvent alimenter cette information dans la plateforme CTI pour créer une mémoire organisationnelle. Les renseignements sont automatiquement réévalués et redéfinis en fonction de ces nouvelles informations, de sorte que la pratique de la CTI continue de s'améliorer en exploitant des informations fiables et opportunes qui aident à accélérer les bonnes pratiques et permettent une orchestration basée sur des données réelles sur les menaces dans tous les outils SecOps.
Figure 1
Une pratique de CTI nécessite quelques modifications des quatre fonctions, y compris le contrat SOC MSSP/MDR
Lorsque l’entreprise introduit une pratique de CTI au cœur de ses opérations de sécurité (Figure 2), chaque fonction doit s'adapter pour travailler avec une plateforme de CTI afin de bénéficier de la collaboration et de la communication (SIEM, SOAR, EDR, etc.). Certains fournisseurs de services sont en mesure d'accélérer le processus car ils offrent une capacité de CTI dans le cadre de leur pratique. Pour d'autres, un peu plus de travail doit être fait sur leurs processus et SLAs pour assurer une intégration réussie d'une plateforme de CTI. Dans les deux cas, les modifications sont plus simples et plus rapides lorsqu'elles sont initiées au moment du contrat. Sinon, l’entreprise risque de ne pas profiter de toute la valeur qu'une pratique de CTI peut apporter.
Figure 2
La pratique de CTI peut être activée lorsque l’entreprise est prête.
Si l’entreprise travaille avec un MSSP/MDR qui a déjà une offre de pratique de CTI, il peut fournir une plateforme de CTI pour l’environnement et, au fil du temps, transférer les compétences à l’équipe qui gère la pratique de CTI. Si l’entreprise décide que le prestataire de services continue de gérer la pratique de CTI pour elle, la mémoire des menaces appartient à l’entreprise et reste sur son site pour être réutilisée afin de continuer à améliorer la prévention, le blocage et l'analyse globale. C'est le modèle de mise en œuvre le plus vu au cours des 12 derniers mois, mais il est encore trop tôt et les fournisseurs de services collaborent avec les équipes SecOps de leurs clients pour optimiser la voie à suivre. Si le MSSP/MDR n'a pas d'offre de pratique de CTI (ce qui est peu probable de nos jours), l’entreprise doit alors rechercher une plateforme de CTI qui exploite un modèle de données flexible et prend en charge des normes ouvertes de partage de renseignements pour assurer une connectivité et une communication efficaces et efficientes. L'objectif est d'être "prêt pour la pratique de CTI", même si elle n’est pas prête à activer le programme tout de suite.
Le volume toujours aussi importants des cyberattaques au cours des derniers mois nous a montré qu'il n'y a pas de temps à perdre dans la maturation des programmes SecOps. Une posture de sécurité réactive, où l’entreprise est dans un cycle de détection et de réponse uniquement, n'est plus une option viable. Elle doit s’assurer qu’elle exploite les renseignements sur les menaces dans l'ensemble de ses opérations de sécurité pour comprendre ses adversaires, renforcer ses défenses et accélérer la détection et la réponse en transformant son SecOps en un programme d'anticipation. Lorsqu’elle travaille avec son SOC MSSP/MDR au moment de la signature du contrat, l’entreprise garde le contrôle du calendrier et n’est pas obligé d'attendre trois ans de plus le prochain cycle de négociation du contrat pour bénéficier de toute la valeur d'une pratique et d'une plateforme de CTI.