GSM : Quel état faites-vous des menaces en France et dans le monde ?

Xavier Mertens : Etant basé en Belgique francophone, je pense faire face aux mêmes menaces que les Français. Elles ne diffèrent pas trop de ce que l’on peut rencontrer au niveau mondial mais simplement elles sont mieux préparées et s’adapte à leur « cible ». Cela signifie que le contexte sera adapté : la langue bien entendu, dans un Français parfait, mais aussi les outils plus ou les marques commerciales ayant une bonne visibilité en France. Une des menaces principales reste depuis pas mal de temps les attaques par ransomware. Aujourd’hui, elles sont plus ciblées, plus techniques et implémentent des scénarios qui les rendent bien plus effectives (d’un point de vue de l’attaquant). Par exemple, des données sont exfiltrées afin de renforcer la pression sur la victime. Plutôt que de chiffrer des millions de fichiers, les attaquant ciblent les hyperviseurs (virtualisation) et chiffrer le disques virtuels. Une autre technique qui a le vent en poupe : abuser de la « supply chain » c’est-à-dire que l’on attaque plus la cible directement mais via des partenaires, des contractants ou bien des fournisseurs (de services, de software). L’attaque contre « Solarwinds » est un parfait cas d’école. Finalement, tout étant connecté, les cibles se diversifient : Internet des Objects, 5G, Informatique industrielle, … D’une manière générale, si auparavant un attaquant cherchait à détruire, aujourd’hui, il essaiera de limiter les dégâts direct, de cacher sa présence mais cherchera à abuser des données de l’entreprise visée.

GSM : Quels sont les programmes de formation de SANS Institute qui permettent de mieux sensibiliser les équipes à ces menaces ?

Xavier Mertens : Ce n’est pas une question simple car la mise en place et le contrôle de la sécurité d’un système d’information fait appel à de nombreux métiers et compétences bien différents : sécurité offensive, défensive, architecture, compliance, gestion d’incidents, threat hunting, … Aujourd’hui, de nombreuses nouvelles formations sont orientées vers le « cloud » car plus aucune entreprise ne peut se passer de ces services. Il nécessite des contrôles spécifiques. Par exemple : SEC588 (Cloud Penetration Testing) ou SEC541 (Cloud Security Monitoring and Threat Detection). D’un point de vue individuel, il me semble utile de se construire un curriculum basé sur ses besoins et/ou ses centres d’intérêt (SANS Course Roadmap ). Pour une entreprise, cela dépent directement des services que vous désirez déployer en interne.

GSM : Pouvez-vous nous présenter la formation FOR610 ?

Xavier Mertens : La formation « FOR610 » fait partie de la roadmap « DFIR » (Digical Forensic & Incident Response). Elle s’intitule « Reverse-Engineering Malware : Malware Analysis Tools and Techniques ». Basée sur six jours de cours, son but est de fournir aux étudiants les bases nécessaires pour analyse du code malicieux (malware, trojan, documents malicieux – Word, PDF, …). Pourquoi cette formation est-elle intéressante dans un contexte d’entreprise ? Avoir une bonne connaissance à propos du comportement d’un malware découvert sur un poste de travail ou un réseau est très important afin de pouvoir réagir correctement pour stopper l’attaque de manière efficace. En analysant le malware, nous pouvons découvrir comment il se comporte, comment il se protège, quelles sont les informations ciblées, etc. L’extraction d’informations (« Indicator of Compromise ») comme des noms de fichiers, des noms de domaines, adresses permet ensuite de travailler main dans la main avec d’autres équipes. Par exemple, si l’analyse d’un malware révèle une communication vers une adresse IP particulière, communiquer cette information aux personnes responsable du réseau leur permettra de chercher toutes les machines qui ont échangé des information avec cette IP et avoir une vue globale de l’incident. La formation met le focus sur les malwares ciblant les systèmes tournant sous Microsoft Windows avec une journée dédiée aux fichiers malicieux et les technologies web. Des nombreux exercices pratiques sont prévus avec la mise en place d’un labo virtual et d’une boîte à outils permettant d’effectuer les analyses de base.

GSM : Quel type de population cible-elle ?

Xavier Mertens : La formation « FOR610 » s’adresse :
• aux personnes impliquées dans la gestion d’incidents et qui désirent apprendre la bonne approche pour analyser un malware.
• aux personnes désireuses d’approfondir leur connaissance des codes malicieux.
• aux personnes effectuant de la réponse sur incident (consultants, forces de l’ordre, les personnes travaillant dans un SOC)

GSM : A quelle période se déroulera-t-elle ?

Xavier Mertens : La prochaine formation est planifiée la semaine du 8 mars lors de SANS Paris. Autrement vous avez d’autres possibilités tout au long de l’année avec différents fuseaux horaire. Les prochains en Europe seront lors de SANS Brussel en avril et de SANS Paris en juin.

GSM : Pouvez-vous nous présenter le programme SANS Internet Storm Center ?

Xavier Mertens : L’Internet Storm Center ou « ISC » a été créé en 2001( !) pour faire face aux menaces de plus en plus présentes sur Internet. Qui se souvient du worm « Li0n » ? Encore aujourd’hui, l’ISC offre différents services gratuits à des milliers de personnes et entreprises à travers le monde. Lors de la propagation du worm « LiOn » en mars 2001, un groupe d’experts a analysé l’impact sur Internet et une de leurs conclusions fut qu’il serait utile de mettre en place un service de « veille de la sécurité sur Internet ». L’ISC était né !
Aujourd’hui encore, l’ISC collecte des millions de logs par jour à partir de sondes déployées partout sur Internet par des particuliers ou entreprises. Ce projet s’appelle « DShield ». Des sondes couvrent environ 500.000 adresses IP réparties sur 50 pays. Les informations collectées aident à la détection de nouvelles attaques. Elles sont consultable en temps réel sur le site web. Une fois par jour, un « diary » (l’équivalent d’un article ou un blog post) est posté et parle d’un sujet ou l’autre (analyze d’un nouveau malware, une nouvelle attaque, un outil spécifique, etc). Les sources de données sont nombreuses et diversifiées (par exemple, listes d’adresses IP malicieuses, noms de domains)

L’ISC est basé sur une équipe de +/- 30 personnes bénévoles (les « Handlers) qui gardent un œil sur ces données en permanence. Ces bénévoles sont répartis dans le monde entier (par exemple, nous sommes deux en Belgique) et proviennent de domaines de compétence différents (management, opérations, réseau, software), ce qui en fait la force.

L’ISC propose aussi un service appelé « Infocon » qui propose un indicateur (de vert à rouge) pour refléter le niveau global de sécurité sur Internet. Une API gratuite est également disponible afin d’interroger nos bases de données (ex : réputation d’adresses IP).

Finalement, il est possible de soumettre des fichiers ou sites malicious, de rapporter tout comportement suspicieux via un formulaire online.

Lien utile :
https://isc.sans.edu/
https://dshield.org/

GSM : Quel type de population cible-il ?

Xavier Mertens : Tout le monde peut bénéficier des informations et données fournies par l’ISC. Majoritairement, ce sont des entreprises, des chercheurs en sécurité, des étudiants.
Attention : Le contenu est exclusivement en Anglais car les services sont consultés par de nombreux pays.

GSM : Pour conclure, quel serait votre message à nos lecteurs ?

Xavier Mertens : Aujourd’hui, la sécurité sur Internet ou la sécurité de nos équipements n’est pas réservée à une élite de techniciens. Si tout le monde, quelque soit son niveau de connaissance des outils informatiques, participe au respect des bonnes pratiques, nous pourrons améliorer la sécurité de tous !

Pour les entreprises, plus particulièrement, ne pas baisser la garde et pense que cela n’arrive qu’aux autres. Vous êtes une petite structure ? Vous avez peut-être de gros client intéressants. Vous pouvez être victime d’une cyber-attaque sans être la cible principale, vous servirez juste de « rebond » pour cibler votre client qui est, lui, la cible !