Tirer parti de MISP et TheHive lors de la création de sa pratique CTI
De nombreux responsables de la sécurité des systèmes d'information (RSSI) travaillant à travers l'Europe affirment que leurs équipes de cybersécurité s'appuient sur deux principales plateformes open source pour leurs opérations de sécurité (SecOps).
La première est MISP (Malware Information Sharing Platform), qui permet de stocker les indicateurs de compromission (IoC) et de les partager avec les autres utilisateurs de MISP.
La seconde est TheHive, conçue pour la réponse aux incidents de sécurité. Ces deux solutions sont étroitement intégrées afin que les centres d'opérations de sécurité (SOC), les équipes de CERT et tout praticien de la sécurité puissent intervenir plus rapidement lorsque des incidents se produisent.
Pour les entreprises disposant de ressources limitées ou commençant tout juste à mettre en place une pratique SecOps, MISP et TheHive sont des outils faciles à utiliser lorsqu'il s'agit d'aider les équipes à réagir aux menaces malveillantes. L'étape, permettant d'atténuer de manière proactive les risques liés à l'ensemble des menaces auxquelles une entreprise est confrontée, consiste à tirer parti de MISP et de TheHive pour créer une pratique de renseignement sur les cybermenaces (CTI). Pour ce faire, il convient d'envisager une troisième plateforme qui s'intègre à ces deux solutions et assure cinq fonctions essentielles pour une pratique CTI afin que les équipes puissent devancer les menaces.
1> Rassembler toutes les données nécessaires
Pour avoir une vision complète des menaces auxquelles il est possible d'être confronté, il faut rassembler les données internes provenant de l'ensemble de l'écosystème : la télémétrie, le contenu et les données créés par chaque couche de l'architecture de sécurité, sur site et dans le Cloud. Une fois que les données internes appropriées sur les menaces et les événements ont été regroupées dans une plateforme qui sert de référentiel central, il est nécessaire de les augmenter et les enrichir avec des données externes sur les menaces provenant des multiples sources auxquelles l'organisation a souscrit - open source (MISP et autres), commerciales, gouvernementales, sectorielles, fournisseurs de sécurité existants - ainsi que de frameworks comme MITRE ATT&CK. Les connecteurs prêts à l'emploi facilitent cette étape.
Il faut également recourir à des connecteurs personnalisés qui peuvent être écrits et déployés en quelques heures pour ingérer des données provenant de nouvelles sources de données sur les menaces et ce au fur et à mesure de l'émergence de nouvelles crises, telles que la violation de sécurité SolarWinds Orion.
La possibilité d'organiser et de structurer les relations sur l'ensemble des éléments constituant le renseignement, des indicateurs de base jusqu'aux groupes et campagnes de logiciels malveillants, sans oublier les tactiques, techniques et procédures (TTP), permet aux équipes de sécurité de tirer des renseignements pertinents sur les menaces pour correctement comprendre l'adversaire.
2> Rendre les données sur les menaces utilisables pour l'analyse et l'action
Une fois toutes les données sur les menaces réunies en un seul endroit facile à gérer, il faut comprendre où concentrer les ressources pour atténuer les risques. Pour commencer, la plateforme doit être capable de dédupliquer et normaliser automatiquement les données afin qu'elles soient disponibles dans un format uniforme pour l'analyse et l'action. Étant donné que ces flux d'informations sur les menaces contiendront inévitablement certaines données sans intérêt pour une entreprise, il faut également pouvoir noter et hiérarchiser les données sur les menaces à partir d'une définition des priorités propre à l'entreprise, pouvant filtrer automatiquement le bruit.
Les stratégies d'expiration qui tiennent compte du fait que les différents renseignements ont des cycles de vie différents garantissent que les renseignements sur les menaces restent précis et d'actualité. Il est ainsi possible pour un analyste de se concentrer sur les informations qui lui importe et d'envoyer des renseignements pertinents sur les menaces directement à sa solution de détection (pare-feu, IPS/IDS, routeurs, terminaux et sécurité du Web et de la messagerie) afin de renforcer les contrôles de sécurité et donc sa posture défensive.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
3> Construire une mémoire organisationnelle
Ce référentiel central est en fait une bibliothèque structurée qui sert également de mémoire organisationnelle pour l'apprentissage et l'amélioration. Au fur et à mesure que de nouvelles données et de nouveaux apprentissages sont ajoutés à la bibliothèque, en provenance de la communauté MISP, de TheHive, des outils internes à l'entreprise, de ses analystes et d'autres sources fiables, les renseignements sont automatiquement réévalués et re-priorisés.
Le programme CTI continue de s'améliorer en maintenant des informations fiables et à jour et la bibliothèque contribue à accélérer les passages à l'action.
Par exemple, un analyste qui découvre une menace ou une campagne spécifique peut bénéficier de ces connaissances partagées et des techniques ayant précédemment fonctionné afin d'accélérer son analyse, sa prise de décision et ses actions.
4> Prendre en charge des cas d'utilisation supplémentaires.
Les renseignements sur les menaces sont l'élément moteur des opérations de sécurité. Au-delà du cas d'utilisation évident de la gestion des renseignements sur les menaces, un programme de CTI permet d'aborder d'autres cas d'utilisation importants. TheHive aide les organisations à soutenir la réponse aux incidents et leur donne accès à un écosystème d'outils permettant la prise en charge d'autres cas d'utilisation.
Ces cas d'usage sont notamment le spear phishing, le threat hunting, le triage des alertes et la gestion des vulnérabilités. Dans chacun de ces cas, le contexte est essentiel pour comprendre les facteurs « qui ? quoi ? où ? quand ? pourquoi ? et comment ? » d'une attaque. Du fait de la possibilité d'analyser les renseignements provenant de sources multiples et d'établir leur pertinence et leur priorité, le RSSI ou ses équipes peuvent déterminer les bonnes mesures à prendre et agir plus rapidement.
5> Améliorer les rapports
Au sein de la plateforme, des tableaux de bord en temps réel fournissent les données, les mesures et les mises à jour de statut qu'il est capital de surveiller pour chaque partie prenante spécifique. Le responsable de la sécurité du système peut donc fournir des rapports réguliers aux dirigeants avec les indicateurs clés de performance qui leur paraissent importants. Le RSSI dispose ainsi également d'un accès immédiat aux renseignements pertinents, organisés en un seul endroit pour la production de rapports ad hoc sur la dernière menace. Lorsqu'une attaque se produit, le RSSI a en main de précieuses informations sur les personnes qui attaquent l'entreprise et les mesures à prendre pour limiter les dégâts.
MISP est une excellente source pour le partage d'informations. La connexion avec TheHive accélère la réponse aux incidents, ce qui est une priorité pour de nombreuses entreprises.
En tirant parti de ces deux solutions pour créer un programme de CTI, les SecOps améliorent grandement leur niveau de sécurisation et d'anticipation. Munies d'une plate-forme qui exploite les deux solutions et qui est spécialement conçue pour les opérations de sécurité centrées sur les menaces, les équipes de sécurité d'une organisation ne se contentent pas de réagir aux menaces : elles atténuent les risques de manière proactive, voire anticipent certains types d'attaques
Sur le même thème
Voir tous les articles Cybersécurité