Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sources OSINT : comment s’y prendre ?

décembre 2020 par Yann Le Borgne, directeur Technique Europe chez Threatquotient

Quand on bâtit une bibliothèque de connaissance de Threat Intelligence, il est important de définir une méthodologie afin de couvrir tous les aspects du renseignement, et ainsi de s’assurer que ce que l’on va créer pourra effectivement être utilisé à la fois d’un point de vue opérationnel, tactique et stratégique.

Pour cela une des méthodes consiste à utiliser un schéma de pensée qui s’appuie sur la « pyramid of pains ». En commençant par la vision stratégique, en descendant vers les aspects les plus opérationnels et en gardant à l’esprit que chaque étape devra être reliée à l’étape précédente afin d’avoir un contexte global homogène et pouvoir comprendre les liens entre ces différentes couches.

La plupart des professionnels de cybersécurité utilisent des sources commerciales ainsi que des sources OSINT pour alimenter ce processus. Voici un aperçu des sources OSINT les plus connues :

Adversary reader - APT Groups and Operations : il s’agit ici de permettre la création d’une bibliothèque de documentation et d’un référentiel sur les principaux adversaires recensés. Ce document libre va permettre de peupler le premier niveau de la bibliothèque avec un référentiel publique et une grande quantité de documentation téléchargeable pour stockage local dans la bibliothèque.

MITRE ATT&CK : le MITRE met à disposition deux types d’informations pour la communauté cyber autour de son framework ATT&CK.

Tout d’abord, il s’agit d’une matrice des techniques utilisées aux différentes étapes d’une attaque par les adversaires. Chacune de ces techniques est décrite en détails et accompagnée d’informations importantes comme les sources de données à surveiller pour la détection, les systèmes cibles et aussi des “Course Of Actions” afin de palier au risque représenté. La première matrice “Enterprise” a été complétée par les matrices “Mobile” et “Pre Attack” afin de couvrir le scope de la phase de reconnaissance et l’environnement IOT. Cette première partie de la donnée est utile dans le cadre de la modélisation des attaques, la mise en place de contre-mesures efficaces dans un travail de blue teaming ou encore pour l’évaluation de solutions de sécurité.
En plus de ce framework d’analyse et de modélisation, le MITRE fournit aussi une base de connaissances sur un certain nombre d’adversaires. On trouvera ici, l’analyse selon le framework des techniques et tactiques utilisées par ces adversaires. Il s’agit d’un premier jeu de données très intéressant afin de se constituer une base de connaissances minimales d’un certain nombre de groupes. Ces données peuvent également être très utiles pour des exercices de blue/red teaming et peuvent aussi permettre l’évaluation des défenses d’un point de vue fonctionnel contre les adversaires répertoriés.

MALPEDIA : ce service gratuit est focalisé sur l’identification et la fourniture de contexte autour des familles de malwares. MALPEDIA fournit des informations de différents niveaux : adversaires, malwares, samples, règles YARA et contexte. L’intérêt de cette source est de permettre un lien depuis le haut niveau (les adversaires) jusqu’à des capacités d’actions (règles YARA) en articulant ce lien autour des familles de malwares.

NVD : cette source est publiée par le NIST (National Institute of Standards and Technology - US Department of Commerce). Il s’agit ici d’offrir la possibilité à la bibliothèque de couvrir les cas d’usages associés à la gestion des vulnérabilités au sens large.

ExploiDB : couplée à la source précédente, il s’agit d’obtenir à la fois des informations supplémentaires sur des vulnérabilités, mais aussi des informations sur l’exploitabilité de celles-ci, et ainsi de faire un lien vers des outils et malwares collectés auprès des sources précédentes.

AlienVault Pulse : on en arrive à cette étape à la première apparition d’indicateurs techniques actionnables dans les défenses de l’organisation. En effet, OTX Pulse permet, sur un mode collaboratif, de partager des informations au sein de leur plateforme. Le choix des événements Pulse à intégrer localement dans la bibliothèque se fait en « suivant » des utilisateurs ou des pulses en particulier. L’intérêt de ces « pulses » est qu’ils apportent à la fois les indicateurs techniques et le lien avec les couches supérieures de notre modèle, les familles de malwares, les adversaires… Il faut toutefois apporter un soin particulier au choix de ce que l’on souhaite importer automatiquement, car en multipliant les sélections on peut rapidement se retrouver débordé par la masse d’informations disponibles.

MISP CIRCL : évidemment, la plateforme de partage par excellence, MISP, apporte aussi son cercle de confiance de partage : celui du CIRCL. On trouvera ici, encore une fois, un très bon mix entre les informations actionnables (indicateurs techniques) et les données de haut niveau fournies dans MISP sous le concept de galaxies. Est également disponible la notion de framework, notamment celui du MITRE présenté sous forme de Galaxy.

Phishtank et Bambenek : ces sources couramment utilisées par nos clients fournissent des indicateurs actionnables dans les défenses. Elles permettent également de faire le lien avec les couches supérieures du modèle grâce au contexte véhiculé (familles de malwares notamment).

En intégrant correctement ces sources, on peut rapidement faire le lien entre la donnée technique et le haut de la « pyramid of pains », adversaires, techniques, tactiques …

Il est important (notamment concernant le choix des sources émettrices de marqueurs actionnables) de sélectionner celles-ci en fonction du risque cyber géré par l’entreprise. Les sources “techniques” sont bien souvent focalisées sur certains risques et devront donc être choisies en fonction de l’objectif visé.


Voir les articles précédents

    

Voir les articles suivants