Threat Intelligence & The Cyber ​​Kill Chain : Le guide complet

Fond bleu dégradé. Il y a un ovale orange clair avec le texte blanc "BLOG" à l'intérieur. En dessous, il y a un texte blanc : « Threat Intelligence & The Cyber ​​Kill Chain : The Complete Guide ». Il y a un texte blanc sous celui qui dit "En savoir plus" avec une flèche orange clair pointant vers le bas.

Chaque jour où vous prévenez une attaque est une bonne journée. Des adversaires sophistiqués disposent de l'argent, des compétences et des technologies nécessaires pour contrecarrer les capacités défensives de la plupart des organisations. Avec l'essor du Ransomware-as-a-Service (RaaS), les attaquants moins sophistiqués ont accès aux charges utiles et aux représentants du service client pour les aider à déployer des attaques réussies. En comprenant les motivations et les objectifs des attaquants, vous pouvez trouver des opportunités pour les empêcher d'atteindre leurs objectifs. 

Lorsque les défenseurs utilisent les renseignements sur les menaces pour détecter les activités tout au long de la chaîne de cyber-attaque, ils atténuent les risques de manière plus efficace et efficiente.

Qu'est-ce que la Cyber ​​Kill Chain ?

La chaîne de destruction cybernétique se compose des sept étapes que les acteurs de la menace doivent suivre pour réussir une attaque. Les organisations combinent les renseignements sur les menaces avec les étapes de la chaîne de destruction cybernétique pour minimiser l'impact d'une cyberattaque.

L'arrêt des attaquants à l'une des étapes suivantes réduit les dommages potentiels aux données et aux systèmes :

  1. Reconnaissance: mener des recherches pour comprendre quelles cibles leur permettent d'atteindre leurs objectifs
  2. Armement: préparation et mise en scène de l'opération
  3. Livraison: lancement de l'opération en véhiculant le malware vers la cible
  4. Exploitation: identifiant les vulnérabilités connues ou inconnues qu'ils peuvent utiliser pour obtenir un accès non autorisé
  5. Installation: créer un chemin persistant dans l'environnement de la victime pour maintenir un accès continu
  6. Commandement et contrôle (C2): ouverture d'un canal de communication bidirectionnel pour manipuler à distance l'environnement de la victime
  7. Actions sur les objectifs : utiliser des tactiques de clavier pratiques pour atteindre des objectifs, tels que la collecte d'informations d'identification, l'augmentation des privilèges, le déplacement latéral dans les systèmes, le vol de données

En comprenant les tactiques, les techniques et les procédures des adversaires (TTP), les défenseurs peuvent atténuer les risques découlant de :

Les renseignements sur les cybermenaces permettent aux équipes de sécurité d'atténuer les risques découlant des menaces persistantes avancées (APT), définies comme des acteurs malveillants ciblés, coordonnés et délibérés avec une intention, une opportunité et une capacité. 

MITRE ATT & CK

MITRE ATT & CK est un système d'organisation des tactiques et techniques de l'adversaire basé sur des observations du monde réel. Bien que de nombreuses personnes la confondent avec la cyber kill chain, MITRE ATT&CK se concentre sur des activités spécifiques des attaquants tandis que la cyber kill chain se concentre sur les phases générales d'une attaque. 

Bien que les deux modèles incluent la reconnaissance et le C2, le modèle MITRE ATT&CK détaille principalement les activités qui se déroulent dans chacune des phases de la chaîne de destruction cybernétique. Par exemple, la phase des actions de la cyber kill chain sur les objectifs comprend les éléments suivants Tactiques MITRE ATT&CK tactique:

  • Elévation de Privilèges
  • Évasion défensive
  • Accès aux informations d'identification
  • Découverte
  • Mouvement latéral
  • exfiltration

Chaîne de destruction cybernétique unifiée 

Reconnaissant l'importance à la fois de la cyber kill chain et du framework ATT&CK MITRE, Paul Pols a combiné les deux modèles pour créer le Chaîne de mise à mort unifiée.

Le modèle Unified Kill Chain identifie les trois phases d'une attaque comme In, Through et Out. 

Pendant la phase In, les adversaires tentent d'accéder aux systèmes et emploient les tactiques suivantes :

  • Reconnaissance
  • Développement des ressources
  • Livrer
  • Ingénierie sociale
  • Exploitation
  • Persistence
  • Évasion de la défense
  • Commander et contrôler

Au cours de la phase de passage, les adversaires tentent de se déplacer à travers et au sein du réseau et des systèmes, en utilisant les tactiques suivantes :

  • Pivotant
  • Découverte
  • Elévation de privilèges
  • Internationaux
  • Accès aux informations d'identification
  • Mouvement latéral
Automate Your Threat Exposure Management

Integrate the world’s easiest to use and most comprehensive cybercrime database into your security program in 30 minutes.

Enfin, la phase de sortie se produit lorsque les adversaires ont effectué leurs actions sur les objectifs. Cette phase est définie par :

  • Collection
  • exfiltration
  • Influence
  • Objectifs

Application de la Threat Intelligence à la Cyber ​​Kill Chain

Les renseignements sur les cybermenaces donnent un aperçu des motivations, des objectifs, des tactiques et des techniques de l'adversaire. Plus vous avez d'informations, mieux vous serez préparé. 

Renseignements techniques sur les menaces

Les renseignements techniques sur les menaces identifient les miettes de pain laissées par les pirates dans les systèmes, notamment :

Ces informations donnent un aperçu des phases suivantes de la chaîne de destruction cyber :

  • Livraison: les IoC et les signatures de logiciels malveillants donnent un aperçu du logiciel malveillant utilisé par l'adversaire lors de l'attaque.
  • exploitation: L'identification des vulnérabilités connues et inconnues exploitées par les pirates permet aux défenseurs d'appliquer des mises à jour de sécurité ou de rechercher des activités suspectes sur ces appareils ou réseaux. 
  • C2: L'identification des canaux C2 et des adresses IP malveillantes permet de tracer les interactions à distance avec l'environnement de l'organisation.

Renseignements sur les menaces tactiques

Intelligence tactique des menaces fournit des informations sur les TTP utilisés par les adversaires dans les attaques, notamment :

  • Modèles de trafic réseau
  • Fichiers journaux des attaques connues
  • Les escroqueries par phishing
  • Listes de blocage d'URL et d'IP

Ces informations donnent un aperçu des phases suivantes de la chaîne de destruction cyber :

  • Livraison: L'identification des escroqueries par hameçonnage connues peut aider à empêcher les acteurs malveillants d'utiliser le courrier électronique comme méthode de livraison.
  • Installation: Les fichiers journaux des attaques connues donnent un aperçu de la façon dont les adversaires utilisent et continuent d'accéder aux ressources. 
  • C2: Les modèles de trafic réseau et les listes de blocage permettent aux défenseurs d'identifier les communications suspectes et d'empêcher l'accès à partir d'emplacements malveillants.

Renseignements sur les menaces opérationnelles

Renseignements sur les menaces opérationnelles est une information exploitable sur la nature, le motif, le moment et les méthodes des acteurs de la menace. Normalement trouvées sur le Web profond ou sombre, les informations sur les menaces opérationnelles proviennent des communications de l'adversaire à travers chaînes Telegram illicites, marchés d'appareils infectés et la forums cybercriminels, contenant souvent des informations telles que :

  • Organisations qu'ils souhaitent cibler
  • Identifiants compromis à vendre
  • Ransomwares ou variantes de malwares à vendre
  • Listes d'appareils compromis pouvant être utilisés comme portes d'entrée lors d'attaques

Ces informations donnent un aperçu des phases suivantes de la chaîne de destruction cyber :

  • Reconnaissance: Les organisations ciblées, les informations d'identification compromises et les appareils compromis aident une organisation à identifier si des adversaires planifient une attaque. 
  • Livraison: Les variantes de ransomwares et de malwares disponibles à la vente fournissent des informations que les défenseurs peuvent utiliser pour empêcher ou détecter le code dans leurs environnements. 
  • Exploitation: La recherche des appareils de l'organisation sur une liste d'appareils compromis donne aux défenseurs un moyen d'empêcher l'exploitation des appareils. 

Renseignements sur les menaces unifiés et exploitables avec Flare

Avec la plate-forme facile à utiliser de Flare, vous obtenez des informations simples et exploitables sur les menaces qui font apparaître les événements en quelques secondes, et non en plusieurs jours. Notre plate-forme permet à tous les professionnels de la sécurité, en permettant aux analystes débutants de faire des recherches et en donnant aux analystes expérimentés des informations techniques détaillées. 

Utilisation de Flare Assistant alimenté par l'IA, vous surmontez les difficultés de bruit et de langage inhérentes à la surveillance des sources illicites critiques qui aide à détecter les activités de reconnaissance de l'adversaire. Notre linguiste automatisé de renseignements sur les cybermenaces traduit de manière transparente les messages du forum russe, arabe, espagnol, français et d'autres acteurs de la menace en résumés en anglais transparents qui fournissent un contexte riche. 

Commencez votre essai gratuit dès aujourd'hui.

Partagez cet article

Contenu similaire