La cybersécurité basée sur le renseignement est proactive. Et la cybersécurité proactive améliore les défenses en améliorant la capacité à anticiper les menaces, à accroître la connaissance de la situation et à réduire les surfaces d'attaque.
Le paysage actuel des cybermenaces est confronté à des menaces plus complexes et diverses que jamais. Se plonger dans les tactiques, techniques et procédures (TTP) utilisées par les adversaires est une source précieuse de renseignements sur les cybermenaces pour toute entreprise. Découvrez comment devenir plus proactif avec les TTP des acteurs de la menace et les renseignements sur les cybermenaces.
Les TTP en cybersécurité : une brève introduction
Les TTP décrivent essentiellement le modus operandi d'un acteur ou d'un groupe de menaces particulier. Mais cela vaut la peine de clarifier ce que signifie réellement chaque partie de l'acronyme et de les différencier clairement :
- Tactique— ce sont les descriptions de haut niveau des comportements associés aux cyber-attaquants. Les tactiques sont souvent des déclarations assez générales, telles que "effectuer un mouvement latéral dans un réseau" ou "exfiltrer des données sensibles dans le but de rançonner les victimes".
- Techniques— ce sont les différentes actions qui décrivent comment les pirates atteignent leurs objectifs tactiques. Considérez les techniques comme fournissant des données plus détaillées sur le comportement dans le contexte d'une tactique spécifique. Des exemples de techniques incluent la manipulation de jetons d'accès ou l'enregistrement de dispositifs contrôlés par des pirates sur un réseau.
- Procédures— considérez les procédures comme une série d'étapes documentées qui décrivent le comportement de manière plus détaillée dans le contexte d'une technique et d'une tactique particulières. C'est lorsque ces étapes deviennent caractéristiques de la façon dont les pirates parviennent à des tactiques spécifiques ou mettent en œuvre des techniques qu'elles sont appelées procédures. Une procédure peut impliquer l'utilisation de Wireshark pour renifler le trafic réseau et compromettre un compte d'utilisateur, puis Cobalt Strike pour exfiltrer les données.
Chaque élément des TTP est important, mais leur véritable pouvoir réside dans leur étude conjointe pour acquérir une solide compréhension du comportement des acteurs menaçants. Cette compréhension (renseignements sur les menaces) peut vous permettre de mieux chasser les menaces sans avoir l'impression d'être à la poursuite d'une oie sauvage.
Comment les TTP aident la cybersécurité
Les TTP ont le potentiel d'offrir d'énormes avantages en termes d'amélioration de la détection des menaces qui se cachent dans votre réseau. Les activités de chasse aux menaces qui tournent uniquement autour de la recherche d'indicateurs de compromission (IoC) statiques et basés sur des signatures ne parviennent pas à capturer les menaces nouvelles ou adaptables. La recherche de simples anomalies à partir d'une ligne de base donnée s'accompagne du problème des faux positifs élevés qui submergent les équipes de sécurité.
La chasse aux menaces basée sur le TTP implique la recherche des techniques courantes utilisées par les adversaires dans leurs attaques. Il s'agit sans doute d'une approche plus robuste car les techniques ont tendance à être communes à différents adversaires en raison des contraintes du système ciblé. Par exemple, il n'y a qu'un nombre limité de façons d'élever les privilèges sur les systèmes Windows, et leur recherche peut améliorer la détection des menaces par rapport à d'autres méthodes.
Quelles sont les sources utiles de TTP ?
Étant donné que l'objectif des TTP est d'identifier des modèles de comportement, il convient de souligner certaines sources qui pourraient fournir des données utiles sur le fonctionnement des acteurs de la menace.
Honeypots
Les pots de miel sont des outils précieux et sous-utilisés en cybersécurité pour examiner le fonctionnement des pirates. Ces environnements leurres attirent les attaquants loin de vos systèmes légitimes et vers des systèmes spécifiques connectés au réseau à partir desquels vous pouvez observer leur comportement. Habituellement, le pot de miel contient une sorte de défaut évident qui attire les intrus potentiels qui ont tendance à rechercher le chemin de moindre résistance lors de la réalisation d'attaques.
Intégrez en 30 minutes la base de données sur la cybercriminalité la plus accessible et complète au monde dans votre programme de cybersécurité.
Forums Web clairs et sombres
Les forums en ligne regorgent d'informations sur les TTP des attaquants. En particulier, les forums louches sur le dark web voient des acteurs loups solitaires et des groupes de menaces se rassembler pour discuter de tactiques et de techniques pour atteindre leurs objectifs. Alors que la surveillance manuelle de ces sources accapare beaucoup de ressources de sécurité, de nouvelles solutions automatisées émergent qui peuvent les analyser automatiquement.
Fournisseurs
Les sources de TTP disponibles dans le commerce proviennent de solutions de fournisseurs prédéfinies dans lesquelles un tiers consacre ses propres ressources à la collecte de renseignements et à leur revente. Une source potentielle est la télémétrie client, que les fournisseurs collectent de manière anonyme auprès des clients de divers services, des solutions antivirus à l'infrastructure cloud. La visibilité à grande échelle sur des milliers, voire des millions d'appareils hôtes fait de la télémétrie une bonne source de TTP.
Traitement des logiciels malveillants
Alors que les logiciels malveillants ont tendance à générer davantage d'indicateurs de compromission via des hachages de fichiers et d'autres signatures, il est également possible d'obtenir des informations TTP exploitables à partir du traitement des logiciels malveillants. Une méthode pour dériver des TTP à partir de logiciels malveillants consiste à utiliser des environnements virtuels en bac à sable et à générer un grand nombre de fichiers malveillants dans ces environnements.
Vous pouvez collecter des métadonnées à partir de ce traitement de logiciels malveillants et utiliser diverses techniques d'analyse pour interroger les données et découvrir de nouveaux TTP. Par exemple, la recherche de chaînes dans une telle base de données a le potentiel de révéler une technique ou des informations sur une procédure.
Exploration de données non structurées
Une énorme quantité d'informations sur les TTP existe sous la forme de données de menaces non structurées provenant de rapports PDF, de sites Web de sécurité et d'autres sources. La conversion manuelle de ces descriptions en langage naturel en TTP reconnaissables était traditionnellement une tâche quelque peu ardue. Cependant, les progrès de l'analyse des mégadonnées ont rendu possible l'exploitation de ces sources de données sur les menaces non structurées pour obtenir des renseignements exploitables sous la forme de TTP. Pour avoir une idée de la façon dont vous pourriez implémenter un tel cadre de minage, lisez ceci papier intéressant.
Réseautage humain
Le bouche à oreille issu des relations humaines reste une source précieuse de tous les types de renseignements sur les cybermenaces. À l'opposé des informations open source disponibles gratuitement sur le Web, le réseautage avec d'autres personnes de la communauté de la sécurité est une source fermée d'informations qui nécessite généralement à la fois de la confiance et des contributions précieuses. Bien que les TTP puissent être partagés de manière informelle entre les personnes lors d'appels téléphoniques et d'e-mails, il existe également des communautés de réseautage dédiées où des personnes de confiance se rassemblent et partagent leurs connaissances et leurs observations.
Renforcez vos défenses dès aujourd'hui avec Cyber Threat Intelligence
De nombreuses sources, y compris des experts de l'industrie, des chercheurs de MITRE et des expériences gouvernementales, ont amassé un grand nombre de preuves qui valident l'efficacité de l'utilisation des tactiques, techniques et procédures (TTP) de l'adversaire comme base de collecte et de filtrage des données pour détecter les activités malveillantes, réduire les surfaces d'attaque et favoriser davantage d'améliorations de la sécurité axées sur l'intelligence.
Il est important de tirer parti d'un large éventail de sources pour découvrir les TTP des acteurs de la menace. Les informations sur les menaces du dark web sont une excellente source de données, mais elles sont souvent inaccessibles en raison des contraintes de ressources de sécurité qui empêchent la collecte manuelle de ces données.
Flare alimente les renseignements sur les cybermenaces et aide à découvrir les TTP en analysant automatiquement les sources Web sombres et claires. Vous bénéficiez d'une surveillance sur les forums Web sombres, les chaînes Telegram, les blogs de rançongiciels, les sites de collage, etc. Flare est une solution simple, flexible et puissante déployée en tant que système SaaS.