L’avenir de la Détection des Menaces est Communautaire

S’appuyer sur des sources d’information publiques

Pensez-y – chaque fois que nous ouvrons un article de blog avec la dernière analyse de malware, en le parcourant à la recherche des IoC dont nos équipes de menace ont tant besoin, cela ne semble-t-il pas un peu léthargique?

Espérons que notre fournisseur de sécurité préféré a déjà fait de même, et que les flux de renseignements sur les menaces ont été mis à jour avec les hachages, les noms de fichiers, et les adresses IP malveillantes connues.

Mais cela ne semble-t-il pas au moins un peu gênant que nous ne puissions pas survivre sans le travail hautement technique et hautement opportuniste que certaines équipes de réponse ont la chance (le privilège ?) de réaliser sur les derniers échantillons de malware ? Si peu de chercheurs en sécurité obtiennent de décomposer un bug qui il y a à peine 12 heures a coupé la moitié du réseau électrique en Europe de l’Est, pourtant nous avons tous besoin des résultats de cette analyse.

Contenu de détection stock inutile

Êtes-vous suffisamment « chanceux » pour vous souvenir de l’efficacité de la détection des menaces avant le CTI? À l’époque, voir un trafic réseau vers une adresse IP CC de botnet bien connue était la première fois que nous savions de manière certaine qu’un compromis avait eu lieu. Inutile de dire que c’était moins qu’exact.

Le contenu SIEM standard était aspirationnel au mieux. Je me souviens encore avec honte avoir renommé les règles ArcSight à la fin des années 2000 de quelque chose comme « Hôte compromis » pour être plus en ligne avec « Activité potentiellement suspecte ». L’industrie a parcouru un long chemin depuis que les concepts d’« alerte » et « incident » signifiaient la même chose. Aujourd’hui, nous sommes heureux de nous contenter d’un « signal » suivi d’un triage automatisé ou même d’un regroupement.

En fin de compte — les règles comportementales d’hier ont généralement échoué à livrer. Pourquoi ? La principale raison pourrait être le fait que les fournisseurs de logiciels de sécurité ne sont PAS, en fait, dans le domaine de la recherche sur les menaces. Ils sont dans le domaine de la fabrication et de la vente de logiciels (choquant, je sais). Pour être juste, la plupart des fournisseurs de SIEM ont développé une véritable expertise du domaine en interne, mais en pratique, la plupart des contenus de détection standard ont échoué à répondre aux besoins du monde réel. Les règles des fournisseurs ont rapidement été éliminées par les équipes SecOps et remplacées par celles développées en interne.

Tentatives échouées de collaboration communautaire

Dans une tentative de résoudre ce problème, la plupart des fournisseurs ont lancé leurs propres « portails communautaires », où les clients pouvaient partager leurs « cas d’utilisation ». D’ArcSight Protect247 à SplunkBase, l’idée que les utilisateurs se réunissent en communauté et contribuent leurs dernières et meilleures réalisations a semblé attractive, si ce n’est éminemment évidente.

Malheureusement, on peut dire avec confiance qu’à ce jour, aucune de ces tentatives n’a été fructueuse. Je sais par expérience personnelle que faire croître une communauté à partir de zéro est extrêmement difficile (quelqu’un se souvient-il @SIEMguru?). Mais peut-être plus important, pour paraphraser Jon Stewart, la « durée de vie » du contenu de détection des menaces est proche de celle d’un sandwich aux œufs. Et sans soin et alimentation réellement motivés, il est presque impossible de maintenir le flux régulier des nouvelles règles.

Cela n’aide pas non plus que ces efforts soient spécifiques à chaque fournisseur. Ainsi, pendant que les utilisateurs de QRadar construisaient des règles pour Mimikatz, leurs collègues utilisant Elastic devaient faire de même, mais avec une syntaxe différente. Il a fallu le standard Sigma de Florian Roth et Thomas Patzke pour enfin formaliser les règles de détection sur toutes les plateformes SIEM et EDR/XDR.

La bonne approche

Admettons-le, le standard Sigma n’est pas parfait. Soutenir la traduction des règles dans tous les langages de requête de détection est simplement irréaliste. Mais encore une fois, peut-être que les détections par correspondance inversée to d’un standard commun n’est pas si importante. Si les chercheurs en cybersécurité peuvent adopter Sigma pour les règles de détection de menace comportementale, les rendre disponibles une fois, et ensuite être capables de traduire automatiquement les règles et les requêtes précisément dans la bonne syntaxe, alors pourquoi pas ? Les avantages de cette approche sont évidents — quelle que soit la technologie, votre équipe interne de détection des menaces vient de gagner un nouveau superpouvoir.

Et aussi cool que soit Sigma, il a fallu le Threat Detection Marketplace, d’une source publique et neutre vis-à-vis des fournisseurs de SOC Prime, pour aligner enfin les étoiles sur l’analytique comportementale. Et aujourd’hui, tout praticien en cybersécurité dans le monde peut bénéficier des résultats du travail des meilleurs chercheurs, dès sa publication. C’est le pouvoir de la communauté mondiale, et c’est pourquoi la détection des menaces comportementales est enfin arrivée au point d’être une capacité indispensable dans l’arsenal de tout défenseur cyber.

Aller à la plateforme Rejoindre Threat Bounty