Conférence du FIRST Cyber Threat Intelligence 2022 à Berlin

Date : 07 Octobre 2022

Le Cert-IST a participé à la conférence du FIRST sur la Cyber Threat Intelligence (CTI) du 1 au 3 novembre 2022 à Berlin. Nous résumons ci-dessous quelques-unes des conférences que nous avons sélectionnées comme étant les plus intéressantes et que nous voulions partager avec nos adhérents.

Le programme complet de l’ensemble des conférences se trouve ici : https://www.first.org/events/symposium/berlin2022/program.
Aussi, tous les contenus TLP:CLEAR ont été enregistrés et sont disponibles sur la chaîne YouTube du FIRST.
Le premier jour était réservé aux sessions de "Trainings" et les 2 jours suivants aux conférences proprement dites.

Chaque titre ci-dessous renvoit vers une description de la présentation sur le site de la conférence, et inclut la plupart du temps le support de présentations qui a été utilisé.

 

Cyber Threat Intelligence Sharing Platforms: A Comprehensive Analysis of Software Vendors and Research Perspectives
Clemens Sauerwein (University of Innsbruck, Department of Computer Science, AT)
[TLP:AMBER]

Cette conférence porte sur le premier vrai travail scientifique d’analyse, de comparaison et d’évaluation des différents plateformes de partage d’information, appelées TIP (Threat Intelligence Platforms).

M. Sauerwein a identifié que le cycle d’information (the Dempsey Intelligence Cycle) n’était pas considéré assez précisément lors de précédents travaux effectués par le passé. Ce cycle qui définit le besoin, la collecte, le raffinage, l’analyse et la dissémination de l’information est donc mis véritablement au cœur de cette étude.

L’orateur nous a alors présenté sa méthodologie : il a d’abord extrait 13 rapports scientifiques pertinents parmi une première sélection de 420 articles. Il a sélectionné 13 TIP et identifié une liste de fonctions que chaque plateforme est en mesure de proposer. Enfin, il a interviewé plus de 80 experts, de différents domaines de la Threat Intelligence, pour sélectionner les critères de l’évaluation.

Cette étude sera publiée début 2023 et de nombreux vendeurs de TIPs se sont manifestés afin d’obtenir un accès à cette étude.

Outre le classement final de ces plateformes – anonymisées - qui a vu seulement 3 TIP parmi 13 être classées fortement fonctionnelles, M. Sauerwein nous partage quelques éléments intéressants. De manière générale, les TIP proposent toutes de bonnes fonctionnalités concernant l’analyse des données et implémentent des mesures de protection de données (i.e. GDPR). Cependant, l’évaluation de la qualité des données ainsi que des mesures pour augmenter la confiance dans les IOC ne sont pas suffisamment adressées. Enfin, il y a un manque de productions scientifiques concernant le processus de « Planification et de Direction » du cycle de l’information.

 

Let's Make Needles Glow in Timesketch
Thomas Chopitea (Google, CH), Alexander Jäger (Google, CH)
[TLP:CLEAR]

La problématique soulevée par les auteurs de cette conférence est le nombre très élevé d’évènements à analyser lors de l’analyse forensique d’un système potentiellement compromis ; à titre d’exemple, un système Windows possède déjà plus de 4 millions d’évènements à sa création !

Leur idée est donc simple mais pertinente: amener la CTI au sein de l’analyse forensique afin de se concentrer sur les évènements vraiment malveillants. Pour se faire, ils ont détaillé leur processus, qui combine donc Threat Intelligence, au travers d’indicateurs de compromissions par exemple, et Timesketch, un outil open-source d’analyse forensique chronologique.

La première étape consiste à se débarrasser du bruit (i.e. ignorer tous les fichiers propres au système d’exploitation) : pour cela, ils vont produire un hash pour chacun des fichiers présents sur le système (outil utilisé : hashr), les envoyer en détection sur VirusTotal et ignorer tout ceux renvoyant un score de menace nul. Ensuite, en combinant des règles Yara (afin de classer les fichiers par type), des règles Sigma (pour explorer les fichiers de logs) et un module tiers afin d’avoir une source d’indicateurs de compromissions (YETI), les chercheurs sont en mesure de proposer un processus d’investigation, répétables et automatisables. Par exemple, pour répondre à la question « y a-t-il signe de mouvement latéral, ou bien de persistance ? », ils sont en capacité de créer des requêtes prédéfinies, qui faciliteront le travail d’un analyste lors de l’investigation d’un système.

Finalement, ils pointent quelques axes d’améliorations pour le futur, comme le fait de pouvoir anonymiser une chronologie d’évènements (timeline) afin de la partager avec la communauté.

 

ORKL: Building an Archive for Threat Intelligence History
Robert Haist (TeamViewer, DE)
[TLP:CLEAR]

L’orateur nous présente ici un outil de sa création (ORKL) qui a vocation à être une véritable banque de données de rapports de Threat Intelligence. Son objectif est de créer un gestionnaire de bibliothèque (Library Manager) de rapports de Threat Intelligence, accessible depuis un site web.

Pour un rapport donné, l’outil va sauvegarder des exemplaires en .PDF et .TXT ainsi que la page de couverture pour l’aspect visuel. Ensuite, ORKL extrait certaines metadata comme la date de parution du rapport, son auteur, son titre, sa source ou encore l’URL. A l’heure actuelle, sept sources d’information sont utilisées comme Malpedia, Alienvault ou encore CyberMonitor.

En plus de ces metadata, l’outil est utilisé pour acquérir, stocker et mettre à jour les profils des groupes d’attaquants, en utilisant ces mêmes sources. Pour ces groupes, on trouvera dans l’outil son nom et ses alias. Il est à noter que certains alias semblent être filtrés par l’outil, s’ils sont peu utilisés dans les rapports. Il en va de même pour les outils utilisés par ces groupes d’attaquants.

Enfin, une fonctionnalité intéressante de cet outil est la recherche en plein texte (Full-text search). Celle-ci permet de chercher très rapidement, au sein des versions textes de l’ensemble des rapports, l’occurrence de certains mots ou par exemple de techniques MITRE ATT&CK ou d’indicateurs de compromissions tels que des adresses IPs.

Pour le futur, l’auteur a partagé quelques pistes, comme le fait de laisser la communauté déposer et associer les metadata de rapports de Threat Intelligence.

Cette conférence a été très bien accueillie par l’audience, qui s’est empressée d’aller suivre le projet sur Twitter (https://twitter.com/orkleu) ou sur son site Web (https://orkl.eu/).

Précedent Précedent Suivant Suivant Imprimer Imprimer