Flare a récemment organisé son premier atelier sur le renseignement sur les menaces avec Tammy Harper, chercheuse principale spécialisée dans ce domaine. Vous trouverez ci-dessous quelques-unes des questions abordées par Tammy concernant l'amélioration des pratiques de collecte de renseignements sur les menaces.
1. Comment la perturbation de Telegram affecte-t-elle les acteurs malveillants ?
Après l'arrestation de PDG de Telegram en août 2024La plateforme de messagerie prisée des acteurs malveillants a commencé à collaborer avec les forces de l'ordre afin de réduire les activités criminelles sur l'application.
Ces dernières années, les acteurs malveillants ont déplacé leurs opérations des forums traditionnels du dark web vers d'autres plateformes. Telegram sert de complément ou d'alternative populaireMaintenant que Telegram collabore avec les forces de l'ordre, comment cela modifie-t-il le paysage de la cybercriminalité ?
Les acteurs malveillants se tournent vers d'autres plateformes comme Signal, Sessions, Matrix, Simplex, etc., mais l'expérience utilisateur n'y est pas comparable à celle de Telegram. Par exemple, Telegram, contrairement à Signal, est davantage axé sur les forums communautaires, ce qui facilite la mise en relation des participants et propose des fonctionnalités sociales, comme les stickers, qui renforcent les liens au sein de la communauté. Du point de vue des acteurs malveillants, la prise en charge des fichiers simplifie également le partage et le stockage d'informations volées. Par ailleurs, l'analyse de Matrix révèle un potentiel plus élevé pour le honeypot, une technique susceptible de dissuader les cybercriminels.
D'autres questions se posent quant aux conséquences de ce changement : Telegram renforcera-t-il réellement sa coopération avec les autorités ? Deviendra-t-il une application plus modérée ? Mais pour l'instant, il est peut-être trop tôt pour apporter des réponses définitives.
2. L’infrastructure et les indicateurs de compromission (IoC) que vous collectez sont-ils souvent aussi « bruités » ? Souvent, les IoC collectés par notre équipe sont propres et ne présentent aucun rapport, ce qui rend leur détection plus difficile pendant la phase de surveillance.
Les équipes de sécurité utilisent les indicateurs de compromission (IoC) de deux manières différentes :
- Chasse aux menaces: rechercher des informations médico-légales spécifiques ou enquêter sur un incident
- Collecte de renseignements sur les menaces: recherche d'informations sur le dark web pouvant être liées à l'infrastructure informatique de l'organisation
Lorsque les équipes de sécurité collectent des indicateurs de compromission (IoC) à des fins de réponse aux incidents et d'analyse forensique, elles adoptent une approche ciblée et réactive en posant des questions sur :
- Quelle machine a été compromise ?
- Des informations ont-elles été exfiltrées ?
- Quels réseaux l'attaquant a-t-il traversés ?
- Quelles vulnérabilités l'attaquant a-t-il exploitées ?
Le Données IoC est également simplifié, car il se concentre davantage sur les preuves que les équipes peuvent observer ou recueillir à partir de leurs systèmes, comme :
- Trafic et activité réseau anormaux détectés par les outils de surveillance réseau
- Activité suspecte sur des ordinateurs ou systèmes spécifiques détectée par les outils de détection et de réponse aux terminaux (EDR).
- Modifications de fichiers indiquant la présence de fichiers malveillants ou de logiciels malveillants détectés par des outils d'analyse de fichiers
- Comportements anormaux des utilisateurs ou des entités détectés par les outils de gestion des identités et des accès (IAM) ou d'analyse du comportement des utilisateurs et des entités (UEBA).
Lors de la collecte de données sur le dark web Renseignements sur les menaces pour les équipes rougesLes analystes de sécurité recherchent des indices pour identifier les menaces de manière proactive. Dans un but plus large, les informations précieuses sont plus variées et peuvent inclure :
- Informations sur les attaques ciblant des individus, des organisations, des secteurs d'activité ou des régions géographiques spécifiques.
- Identifiants exposés liés à des utilisateurs ou à des organisations, y compris de fichiers cleptogiciels à partir de courtiers en accès initial
- Données relatives aux attaques ciblant les vulnérabilités zero-day
- Listes d'appareils compromis faisant partie de botnets à vendre
Dans l'exemple présenté lors de l'atelier, nous avons analysé un journal d'activité spécifique appartenant à un acteur malveillant. L'objectif étant l'identification proactive au sein d'un système, toutes les informations étaient pertinentes.
3. Combien de temps consacrez-vous à la recherche de chaque menace ?
La collecte de renseignements sur les menaces au cours du processus de chasse aux menaces doit être axée sur la question centrale : « Et alors ? »
Avec la grande quantité de renseignements sur les menaces disponibles sur le dark web, les analystes de sécurité doivent adopter une approche structurée de leur collecte et de leur analyse afin de rester productifs sans se perdre dans des impasses.
Collecte de renseignements exploitables sur les menaces L'analyse permet de transformer les données en informations exploitables qui améliorent la gestion des risques en permettant aux équipes de sécurité de mettre en œuvre des mesures proactives contre les attaques potentielles. Pour chaque enquête, les principales questions que les analystes de sécurité devraient se poser sont les suivantes :
- Que m’apprend cette information sur les dommages potentiels que l’attaquant peut causer à mon organisation ?
- Comment ces informations m'aident-elles à comprendre la probabilité d'une attaque contre mon organisation ?
- Comment ces informations m'aident-elles à allouer les ressources nécessaires pour atténuer les risques ?
Poser la question « et alors ? » peut paraître brutal, mais cela aide les chercheurs à rester concentrés sur leur objectif principal afin de s'assurer qu'ils trouvent des informations pertinentes qui font progresser l'enquête.
4. Comment déterminez-vous quoi, qui et où vous allez effectuer vos recherches ? Est-ce en réponse à une enquête, un incident, un événement ou par intérêt personnel ?
Les chercheurs en sécurité construisent généralement exigences de renseignement efficaces qui demandent :
- De quelles informations ai-je besoin ?
- Pourquoi ai-je besoin de ces informations ?
- Comment cela va-t-il faciliter la prise de décision ?
Lors de la définition de leurs besoins, ils devraient prendre en compte ces trois composantes essentielles :
- SujetQuel domaine d'intérêt spécifique correspond le mieux aux objectifs de l'entreprise ?
- InteretPourquoi cette information est-elle importante pour les objectifs stratégiques de l'organisation ?
- JustificationComment cette exigence contribue-t-elle à améliorer les efforts de cybersécurité de manière à en faire une priorité ?
Chez Flare, nous suivons le même processus, déclenchant des investigations en fonction des besoins de nos clients. Pour anticiper les tendances, nous adaptons nos recherches afin de fournir des informations sur les activités significatives du dark web qui contribuent à améliorer la cybersécurité et les résultats stratégiques des entreprises, comme :
- Évolution de l'écosystème des Rançongicielss, notamment parce que les activités des forces de l'ordre perturbent les grandes organisations cybercriminelles comme LockBit
- Tendances des Rançongicielsscomme le passage à une troisième forme d'extorsion où les cybercriminels ciblent les personnes dont les données ont été volées.
- Évolution des stratégies de marchandisation et de monétisation des attaques, comme une attaque DDoS financée par le crowdsourcing
5. Surveillez-vous également les fuites de données de cartes bancaires ? Comment cartographiez-vous les TTP ou les IoC observés ? Par exemple, comment différenciez-vous les comportements légitimes ?
Le recueil de renseignements sur les menaces et la chasse aux menaces reposent sur deux piliers :
- Utilisez autant de sources que possible
- Suivez les preuves pour réduire le biais de confirmation
Intelligence Open Source (OSINT) il s'agit d'informations accessibles au public qui peuvent être classées comme suit :
- Revenu: facilement accessible au public, généralement sur le web classique
- ActifAccessible publiquement, mais moins facilement, comme l'infiltration de forums du dark web nécessitant un accès, des autorisations ou des compétences spécifiques.
Les chercheurs en sécurité ont accès à des données OSINT (Open Source Information) en clair sur le Web, notamment des données connues :
- vulnérabilités
- Attaque tactiques, techniques et procédures (TTP)
- violations de données chez les fournisseurs tiers
- Les alertes de sécurité, comme celles provenant de la Cybersécurité and Infrastructure Security Agency (CISA) ou du Federal Bureau of Investigation (FBI)
Le renseignement sur les menaces du dark web fournit un aperçu contextuel sur :
- Activités illicites et tendances actuelles
- Nouvelles TTP
- Motivations de l'attaquant
En combinant ces différentes données, les chercheurs en sécurité peuvent établir des profils autour de ces adresses IP afin de déterminer lesquelles sont susceptibles d'être associées aux activités observées.
6. Surveillez-vous les fuites de cartes ? Comment les nouvelles sources sont-elles fiables/validées ?
Flare possède une fonctionnalité intégrée permettant de détecter les fuites de données de cartes bancaires.
Chez Flare, nous évaluons les sources de renseignements sur les menaces comme le ferait une équipe de recherche en sécurité, en examinant leur intérêt et leur valeur pour l'enquête. Voici quelques éléments à prendre en compte :
- Combien de participants actifs compte un forum, un marché ou une chaîne Telegram illicite ?
- Combien de transactions ont lieu sur un forum, un marché ou un canal Telegram illicite ?
- Que les administrateurs ou les modérateurs soient liés à d'autres forums, marchés ou chaînes Telegram illicites de premier plan.
- La dernière activité était-elle récente ?
- À quelle fréquence les autres cybercriminels discutent-ils d'un nouveau forum, marché ou canal Telegram illicite ?
Approfondissez vos connaissances en matière de renseignements sur les menaces avec Flare Academy
Vous souhaitez en savoir plus sur la recherche en cybercriminalité ? Découvrez les formations de Flare Academy, animées par des chercheurs en cybersécurité. Consultez ici les prochaines sessions.
Nous offrons aussi la Communauté Discord de Flare Academy, où vous pouvez échanger avec vos pairs et accéder aux ressources de formation de la Flare Academy.
J'ai hâte de vous y voir!
