Qu'est-ce qu'un moteur de détection ?
La Cyber Threat Intelligence (CTI), perçue comme moteur de la lutte contre les cybermenaces en entreprise, n'est pourtant qu'un des carburants et ne fonctionne que grâce aux moteurs de détection.
Dans un monde toujours plus interconnecté, la multiplication des systèmes et environnements numériques a entraîné un risque accru d’atteintes à la sécurité des organisations et des identités personnelles, et de vol de données, notamment du fait de la prolifération d’outils malveillants disponibles en ligne.
C’est dans cette course au suivi des attaquants que la Cyber Threat Intelligence (CTI) a gagné ses lettres de noblesse et est devenue un maillon essentiel de la lutte contre les cybermenaces en entreprise.
Désignant l’activité opérationnelle palpitante par laquelle des équipes dédiées de chercheurs-euses produisent du renseignement, la composante CTI est souvent perçue comme un processus clé dans l’identification et l'analyse des cybermenaces. Pour autant, la TI n’est qu’un des carburants et ne fonctionne que grâce au travail des moteurs de détection.
Concrètement, ces moteurs sont des briques logicielles qui se nourrissent des données générées par le système d’information à protéger et qui visent à détecter, selon plusieurs approches et à plusieurs niveaux, des comportements inhabituels au sein du système d’informations de l’entreprise.
De façon encore plus pragmatique et en particulier dans un système d’information équipé d’un XDR (eXtended Detection & Response), la CTI désigne une composante de sécurité capable de collecter des données télémétriques de sécurité auprès de plusieurs sources, notamment les postes de travail, les serveurs ou encore les flux cloud et réseau.
Voici comment distinguer, au sein d’un XDR, les moteurs qui permettent à une équipe de TI de dégager des enseignements sur les menaces ou les acteurs de la menace, et de détecter les attaques. Partons du principe qu’il existe quatre types de moteurs distincts :
Le moteur de CTI (Cyber Threat Intelligence)
Si la CTI est l’activité qui permet de rechercher, contextualiser et modéliser la menace et ses acteurs, en vue de prévenir et détecter les attaques, c’est bien à l’aide de son moteur de CTI que le système de détection centralisé (XDR) cherche des éléments “anormaux” fixes (appelés indicateur de compromission ou IOC) dans les journaux d’événements (comme une adresse IP, une URL, une empreinte quelconque). Si cette anomalie est présente, le moteur est en mesure de lever une alerte sur ce point donné avec le contexte associé (à quelle menace, malware ou acteur malveillant est associé cet indicateur de compromission).
Les règles de corrélation SIGMA
Fonctionnant indépendamment de la CTI, les règles SIGMA[1], prédéfinies dans un langage unifié et ouvert, et conçues dès l’origine pour la détection d’incidents, permettent d’établir des liens de corrélations entre différents types d’événements et paramètres et d’en déduire une levée d’alerte. Il s’agit d’un enchaînement d’événements ou signaux observables grâce à un schéma déterminé, avec inconnues ou variables, qui s’il est confirmé, déclenche une alerte. Par exemple, si la règle de corrélation SIGMA détecte que l’événement X+X ou Y+Y a lieu en moins de 30 secondes et sur 2 machines différentes, cela justifie qu’une alerte soit levée.
Ces règles SIGMA, normalisées pour être comprises de tous, constituent un formidable outil collaboratif pour les équipes SOC, indépendamment de la solution de détection ou du XDR utilisé.
l’IA ou plus exactement le machine learning ou ML
Un moteur de règles de détection, conçu en amont de son déploiement, permet d'obtenir des résultats rapidement sans déployer d'IA, mais un investissement en ML peut accélérer certaines détections complexes.
Avec le ML, le processus de détection n’est pas développé manuellement, mais en sélectionnant un modèle d'IA approprié et en l'entraînant avec un très large volume de données. Ce modèle apprend à partir des informations à sa disposition, créant ainsi une relation cohérente entre des données passées et futures. On est alors capable de comparer comment le système s’est comporté dans le passé et d’en déduire ou prédire un comportement attendu. S’il y a un écart constaté, le système lève une alerte.
Le retrohunt
C’est certainement le plus important et pourtant celui dont de nombreux RSSI ignorent la présence dans leur XDR : chaque fois qu’un nouvel élément (règle, ou IOC) est confirmé comme malveillant, le moteur de retrohunt a cette capacité à chercher automatiquement dans le passé sans qu’une action humaine ne soit requise.
Ce n’est pas toujours le jour de la détection de l’élément malveillant qui compte mais plutôt le jour où il a été activé ou utilisé dans le système ciblé. Une fois ce nouvel élément intégré dans la plateforme XDR, le système va chercher automatiquement, sur plusieurs mois, sa présence dans les journaux du système d’information à défendre. Nul besoin pour l’équipe de CTI de lancer une recherche d’antériorité de ce cet élément.
A ce titre, le retrohunt automatique est une phase indispensable pour la détection d’attaque et particulièrement efficace pour les rançongiciels. Les groupes d’attaquants, toujours plus nombreux, n’ont plus intérêt à attendre longtemps après l’intrusion pour attaquer. La tendance est désormais au “ransomware flash”, où l’attaquant rentre et chiffre dans la journée.
C’est la combinaison de ces différents moteurs de détection, pour certains alimentés par des données qualifiées de Threat Intelligence, qui permet une détection efficace, rapide et pertinente. Ces différentes méthodes et capacités permettent ainsi de couvrir et superviser l’ensemble des composants d’un système d’information à protéger.
[1] Les règles SIGMA sont un langage unifié pour la détection des incidents, qui standardise les règles de détection peu importe le système utilisé.