Cyber threat intelligence

Cyber Threat Intelligence
Initiation
Agence Nationale de la Sécurité Informatique - tunCERT
SMII Mondher
Cyber Security Analyst | Pentester | Bug Hunter
Information Sharing & Analysis Center – ISAC
ISO 27001 LI | ISO 22301 LI | Penetration Testing and Ethical Hacking
smii.mondher@ansi.tn

Click to edit Master title style
CYBER SECURITY

• Absence d’une définiton universelle
• Différence selon les pays, organismes, …
“ Le Cyberespace est défini comme étant l’environnement résultant de
l’interconnexion des différentes infrastructures TIC comprenant ainsi
Internet, les réseaux de télécommunications, les systèmes informatiques, les
processeurs et contrôleurs embarqués, les réseaux SCADA “
Contexte Tunisien
• 7 Millions d’adresses IP => Stratégie
• Plusieurs Acteurs :
- TT
- Ooredoo
- Orange
- TOPNET
- Hexabyte
- Globalnet
- FSI Publics [CIMS, CCK, CNTE]
- …
CyberEspace
Source : http://bgp.he.net/country/TN

Click to edit Master title style« la connaissance fondée sur des preuves, y compris le contexte, les mécanismes, les
indicateurs, les implications et des conseils concrets, concernant une menace nouvelle ou
existante ou un risque pour les actifs d’une organisation qui peuvent être utilisés afin
d’éclairer les décisions concernant la réponse du sujet à cette menace ou un danger »
Source : Gartner

• CTI : Un panorama de services très différents :
- Un marché de $1,4 Milliard en 2018 selon IDC (Worldwide Threat Intelligence Security
Services 2014)

• Manque de compétences des équipes : 53% pointent la difficulté à recruter des
compétences hautement spécialisées (parfaite maîtrise des schémas d’attaques, des
indicateurs de compromission (IOC), analyse des renseignements, lréponse aux incidents,
connaissance des comportements normaux et anormaux)
• Manque de budget : pour la moitié des entreprises, la difficulté majeure est le manque de
moyens financiers
• Manque de temps pour implémenter de nouveaux processus (42%)
• Manque de moyens techniques pour intégrer la CTI
• Soutien limité de la part de la direction puisqu’un tiers des équipes ne bénéficie pas du
soutien de la direction
=> L’objectif est de renforcer la formation renforcée, de mettre en place des outils et
processus simples et intuitifs.
Obsatacles
Source : SANS Institute

• Threat Intelligence = Le renseignement sur la menace
• 2 Approches :
- Observer les attaquants pour savoir s’ils prévoient une attaque
• Suis-je une cible pour des attaquants en préparation ?
• Surveiller les lieux fréquentés par « les attaquants » (Réseau sociaux, Darkweb, …)
• Surveiller les fuites de données accidentelles (par les utilisateurs) ou publications underground (par les
attaquants)
- Observer les attaques passées pour apprendre les techniques des attaquants
• Mes défenses sont-elles suffisantes pour détecter et repousser une attaque
• Apprendre les technique utilisées par les attaquants
- TTP Technique , Tactique, Procédures
• Diagnostiquer si la même attaque nous a aussi touchée ou la bloquer dès qu’elle apparait
- IOC : Indicator Of Compromise (marqueurs ou observables)
Approches

• Exemples de TTP :
- Attaque par un mail piégé
- Infection d’un premier poste et vol des mots de passe
- Propagation à d’autres machines grâce aux mots de passe
- Compromission de l ’Active Directory
• Les marqueurs IOC sont à chercher dans :
- les logs réseaux : Adresses IP et nom de domaines contactés
• ipv4_addr=192.168.10.1
• domain=some.bab.domain.com
- Sur les machines compromises : Nom de fichiers, MD5
• hash_md5=9F15F0B426862768690CBE9B205ACA66
Indicator of compromise

• Modèle proposé par le CERT UK :
- Modèle récent 2015
- Vision structurée de l’activité : 4 blocs
Modèle CERT UK
• Technique :
 Identification des IOC
 Permet de détecter/stopper les attaques le
plus tôt possible
• Tactique :
 Identification des TTP
 Permet de comprendre le mode opératoire
• Opérationnel :
 Veille, média …
 Permet de se préparer aux attaques
• Stratégique :
 Décision politique face à la menace
 S’adresse aux dirigeants

CTI : Standards
Source : ENISA
Certains sont fondamentaux
pour la CTI :
- STIX + CybOX (standards)
- MISP (outil)

• STIX : Structured Threat Information eXpression
• Initiative des USA (DHS) développée par MITRE.org
- S’impose comme standard
- Mais très complexe
• STIX : le composant principal
- Modélise complètement un incident
- Indicateur, TTP, campaign, ThreatActor, …
• CybOX : Cyber Observable eXpression
- Dictionnaire des observables
- Décrit les IOC
- STIX utilise CybOX
• TAXII : Trusted Automated eXchange of Indicator Information
- Permet de transporter du STIX
- Décrit l’échange d’information STIX
- Implémente des modèles d’échanges comme la source centrale, Hub de partage, Peer to Peer
CTI : Standards

STIX : Architecture

STIX : Architecture
• L’observation correspond à la caractéristique unitaire de la
concrétisation d’une attaque sur le système d’information (ie :
création d’une clé dans la base de registre).
• What activity are we seeing ?

STIX : Architecture
• L’indicateur correspond à un ensemble d’observations qui attestent
d’un comportement propre d’une attaque. L’indicateur peut être
borné dans le temps ou bien encore associé à une sensibilité
particulière.
• What threats should I look for on my networks and systems and
why ?

STIX : Architecture
• TTP (Tactics, Techniques and Procedures) est un acronyme
revenant souvent en threat intelligence et décrivant les modes
opératoires de l’attaquant. C’est le point d’articulation majeur
menant à l’attribution.
• What does it do ?

STIX : Architecture
• La campagne correspond à une instance d’attaque opérée par
l’attaquant et associée à certaines caractéristiques de son mode
opératoire.
• Why does it do this ?

STIX : Architecture
• L’incident correspond à ce à quoi est confrontée la victime lorsque
l’attaquant vise son système d’information lors d’une campagne
particulière.
• Where has this threat been seen ?

STIX : Architecture
• L’attaquant est utilisé pour décrire l’agresseur, celui-ci pouvant être
un acteur individuel ou une structure étatique particulièrement
complexe.
• Who is responsible for this threat ?

STIX : Architecture
• Exploit Target : Décrire les vulnérabilités, les faiblesses ou les
configurations qui pourraient être exploitées
• What weaknesses does this threat exploit ?

STIX : Architecture
• Le plan d’action correspond à une stratégie opérationnelle que la
victime peut déployer lorsqu’un incident avec certaines
caractéristiques se produit.
• What can I do about it ?

Format OpenIOC
• Créé par MANDIANT pour partager des IOC
- Mandiant est l’inventeur du terme IOC
- OpenIOC est le format en xml utilisé par les outils MANDIANT
• Un fichier « openioc » décrit les symptômes à rechercher pour
identifier une menace
• C’est le standard historique pour échanger des IOC
- C’est une alternative à STIX si on se limite à l’aspect IOC

Format OpenIOC
• https://www.fireeye.com/services/freeware.html

Tools CTI
• MISP : Malware Information & Analysis Center
- http://www.misp-project.org/
• STAXX : Free STIX/TAXII Tool - Anomali
- https://www.anomali.com/platform/staxx
• TARDIS : Threat Analysis, Reconnaissance, and Data Intelligence System
- https://github.com/tripwire/tardis
• YETI : Your Everyday Threat Intelligence
- https://github.com/yeti-platform/yeti
• CRITs : Collaborative Research Into Threats
- https://crits.github.io
• OSTIP : Threat Data Platform
- https://github.com/kx499/ostip
• IntelMQ : IntelMQ is a solution for CERTs for collecting and processing security feeds
- https://github.com/certtools/intelmq
• MANTIS : Model-based Analysis of Threat Intelligence Sources
- http://django-mantis.readthedocs.io/en/latest/

Cyber threat intelligence

Contenu connexe

Tendances

Similaire à Cyber threat intelligence

Cyber threat intelligence