Nous nous consacrons cet article à l’OSINT et à son application stratégique. Pour mieux comprendre, vous pouvez également consulter la première partie de notre dossier consacré à l’OSINT.
Partie 1 : Méthode OSINT : mieux maîtriser son environnement et son exposition
Cadrer son besoin d’information et mettre en place une veille ciblée
Avant de se lancer dans la phase de collecte et d’analyse d’informations dans le cadre d’une investigation, il convient de définir les questions auxquelles cette démarche doit permettre de répondre.
Plusieurs questions peuvent être identifiées par un décideur dans le cas spécifique d’une stratégie OSINT appliquée au renseignement sur la menace :
Évaluer son niveau d’exposition
- Mon entreprise expose-t-elle sur Internet des services sensibles recherchés par les pirates ?
- Mon entreprise a-t-elle perdu le contrôle sur certaines informations sensibles abusivement partagées par des employés ou partenaires ?
- Quelles données personnelles me concernant ont été compromises et pourraient être utilisées à mes dépends par un attaquant ?
Identifier sa vulnérabilité à une faille connue
- Mon entreprise est-elle affectée par la dernière faille du moment, massivement exploitée par des attaquants opportunistes ?
Connaître sa surface d’attaque
- L’identité de mon entreprise est-elle réutilisée frauduleusement par des attaquants pour tromper la vigilance de mes collaborateurs ou clients ?
- Comment un utilisateur malveillant pourrait détourner mon produit à son avantage ?
Une fois l’objectif défini, il est nécessaire d’identifier les sources et les méthodes qui pourront être utilisées pour collecter et analyser les informations recueillies.
Les matrices CTI : un outil de cadrage pour les recherches OSINT
Bien qu’il ne s’agisse que d’un exemple parmi d’autres, le chercheur Jason Haddix a publié une présentation de référence détaillant la méthodologie qu’il utilise personnellement ainsi que les sources et les outils qu’il est amené à utiliser lorsqu’il recherche des vulnérabilités dans le cadre des programmes de Bug Bounty auxquels il participe.
Cette présentation intitulée « The Bug Hunter’s Methodology » illustre bien la variété des sources et la diversités des outils disponibles.
L’un des outils les plus connus et utilisés par les professionnels en matière de CTI est sans doute la matrice Mitre Att&ck. Proposée par la Mitre Corporation, une organisation à but non lucratif basée aux États-Unis, cette matrice permet de cartographier les différentes méthodes et techniques utilisées par les attaquants pour cibler des organisations. Réparties en grandes catégories, l’identification de ces techniques permet de dégager les modes opératoires des criminels ainsi que les vecteurs d’attaque qu’ils utilisent.
Cette matrice n’est évidemment pas la seule et il convient notamment d’évoquer la Cyber Kill Chain ou encore la Diamond matrix qui figurent, toutes deux, parmi les plus connues.
Également orientée sur les techniques d’identification des cibles et des failles, la matrice PRE-ATT&CK aussi diffusée par la Mitre Corporation se focalise principalement sur les étapes préalables à l’attaque. Ces techniques, notamment utilisées par des attaquants pour collecter toutes les informations sur leurs cibles et préparer leurs actions sont réparties dans deux catégories que sont les phases de « reconnaissance » et de « développement des ressources ». Ces étapes primordiales dans le déroulement d’une attaque sont rendues exploitables par les informations disponibles en sources ouvertes sur de nombreux sites, on peut ainsi penser à certains éléments comme les adresses IP et les noms de domaine, le contenu d’un enregistrement Whois, un certificat SSL, une adresse email ou encore une adresse de wallet bitcoin.
Cas concret : anticiper les futures attaques grâce à l’OSINT
Parmi les priorités des RSSI ou dirigeants, on peut notamment citer la maitrise de leur niveau de risque et donc d’exposition aux menaces. Afin d’avoir un regard clair sur ces niveaux, il est indispensable de disposer de données de sécurité fiables et contextualisées, qu’elles soient internes ou externes à l’organisation. L’identification des vecteurs d’attaques externes est l’un des principaux axes d’analyse permis par le renseignement sur les menaces. En disposant d’une cartographie du périmètre exposé et en surveillant son évolution, l’organisation est en capacité d’anticiper l’exploitation de ses vulnérabilités ou d’identifier celles ayant déjà été exploitées.
Identifier son périmètre exposé
De nombreux dirigeants, RSSI et DSI n’ont qu’une vision parcellaire de leur périmètre exposé. Le shadow IT, les sites test publiés par mégarde par des sous-traitants, la démocratisation du télétravail ou encore le BYOD (Bring Your Own Device) sont autant de pratiques à risque qui peuvent exposer les actifs d’une organisation mais qui passent souvent sous leur radar.
L’enjeu est donc d’incorporer dans l’évaluation de son niveau de risque des éléments qui n’étaient pas identifiés jusqu’alors. En scannant le web à la recherche d’informations techniques en sources ouvertes, il est possible de dresser un état des lieux de l’exposition de l’organisation.
De la même manière que ces informations pourraient être utilisées par des attaquants pour identifier un port ouvert, un serveur non sécurisé ou une interface d’administration exposant des données sensibles, elles peuvent bien sûr permettre d’anticiper des attaques en remédiant aux risques avant même que l’organisation ait été ciblée.
Une grande partie des organisations ont aujourd’hui une bonne connaissance et un bon suivi des données internes cependant une brèche se créée souvent au moment où ces données sortent de ce périmètre. Au-delà des enjeux de sécurité sur l’échanges des informations, il s’agit surtout d’identifier toutes les « fissures » existantes et pouvant amener à une exposition externe de données n’ayant pas vocation à être échangées ou exposées hors du périmètre de l’organisation.
Surveiller son exposition aux menaces
Une fois les vulnérabilités et failles identifiées, un plan d’actions est lancé afin de remédier aux risques soulevés. En plus de ce suivi ponctuel et contextualisé, une surveillance globale et continue est également nécessaire afin de maintenir son niveau d’exposition aux menaces le plus bas possible et ainsi réduire drastiquement son risque.
En plus des éléments techniques surveillés servant principalement à l’anticipation des attaques, il est impératif d’évaluer son niveau d’exposition en prenant en considération les informations et données déjà en possession des attaquants. La surveillance des forums de criminels ou encore des comptes twitter de groupes hacktivistes permettent notamment d’identifier les leviers d’actions que les attaquants pourraient utiliser ou auraient déjà utilisé pour cibler l’organisation. La mise à disposition sur un forum de criminels d’une base de données contenant des identifiants de connexion pourrait par exemple permettre à des attaquants de s’introduire dans le système d’information de l’organisation ciblée. Une fois attaquée et dans le meilleur des cas, l’organisation détecterait l’intrusion et pourrait y réagir. Cependant, en ayant eu accès à une notification de menace liée aux informations disponibles dans la base de données, l’organisation aurait pris des mesures correctives sans délai et aurait ainsi eu de grandes chances d’éviter l’intrusion.
Dans le cadre d’attaques par phishing ou ingénierie sociale, cette démarche permettrait par exemple de répondre à des questions telles que :
- Suis-je ciblé par la campagne d’ingénierie sociale en cours (arnaque au président, phishing, …) ?
- Des domaines frauduleux proches de mes domaines légitimes ont-ils été déposés par des pirates ?
Le renseignement sur les menaces permet donc aux organisations et experts de sécurité de mieux comprendre leur environnement de risque et d’identifier les leviers d’attaques que les criminels pourraient utiliser pour les cibler.
Ces méthodologies sont d’ailleurs récurrentes pour nos analystes du CERT-XMCO, dans le cadre des services fournis à nos clients abonnés aux services de Cyber Threat Intelligence : Serenety ou de notre service de Veille Cyber Yuno.