Quels compromis oser pour la cyber attribution ?

 L'attribution est importante, mais dans quelle mesure ? Souvent perçue comme une question simple et binaire, où l'activité de la menace est attribuée ou non, il s'agit généralement pourtant d'un processus plus complexe qui implique régulièrement des arbitrages difficiles.

Les différentes formes d'attribution, qui vont de la simple mise en relation de groupes de menaces à l'identification des noms et des visages d'un adversaire, présentent des défis et des besoins en ressources très différents. Les analystes qui portent des jugements d'attribution doivent également tenir compte des délais fixés par les parties prenantes, l'exhaustivité des données et le niveau de confiance de leurs évaluations.

Les trois niveaux d'analyse des acteurs de la menace et de l'attribution

L'attribution consiste à regrouper des indicateurs discrets, tels que des adresses IP ou des domaines, qui sont d’une certaine manière liée. C'est ce que l'on appelle l'attribution tactique. Une fois l'attribution tactique réalisée, les chercheurs peuvent commencer à extrapoler les caractéristiques de ces groupes d'activités pour établir un profil opérationnel. Ainsi les chercheurs peuvent devancer la menace car ils peuvent anticiper si, comment et pourquoi un acteur peut agir.

Une fois l'attribution opérationnelle réalisée, les chercheurs peuvent chercher à établir une attribution stratégique. Il peut s'agir du nom d'un individu ou de ses associations, ou bien cette identité peut être définie uniquement par le commanditaire, ou le bénéficiaire ultime, des opérations de menace.

Les équipes de sécurité doivent se demander s'il est utile de continuer à investir du temps et des ressources pour établir un niveau d'attribution plus élevé. Cette décision doit reposer sur la question sous-jacente suivante : quel niveau d'attribution est nécessaire pour protéger au mieux mon réseau et/ou atteindre mes objectifs de sécurité ?

Les inconvénients de l'attribution

L'évaluation de l'attribution s'accompagne de plusieurs contreparties et de décisions épineuses pour les responsables de la sécurité :

1.     L’allocation des ressources : Les différents niveaux d'attribution nécessitent des niveaux de ressources très différents. Alors que de nombreuses fonctions CTI peuvent, de manière réaliste, se détacher de l'infrastructure de l'attaquant pour effectuer une attribution tactique, l'attribution stratégique nécessite beaucoup plus de ressources, notamment :

 o   Des effectifs et du temps d'analyse supplémentaires.

 o   Une visibilité précise des menaces et des données de collecte de haute qualité.

 o   Un grand besoin de modèles de process et de workflow officiels pour garantir un process cohérent.

Les petites organisations qui se concentrent sur la détection et le blocage des activités malveillantes n'auront peut-être jamais besoin d'aller au-delà de l'attribution tactique. En revanche, les organisations disposant de solides équipes de recherche et de renseignement peuvent souhaiter développer une aptitude à établir des profils opérationnels afin d'identifier de manière proactive les groupes de menaces préoccupants et de prendre des mesures de protection contre leurs TTP. Enfin, les acteurs gouvernementaux peuvent être préoccupés par l'attribution stratégique afin de prendre des mesures politiques contre les menaces identifiées, elles-mêmes. Dans tous les cas, il est crucial que les équipes de sécurité comprennent d'abord leurs propres exigences et limites avant de décider du niveau d'attribution à poursuivre, car cela permet une approche agile de la sécurité « tout juste suffisante ».

2.     L’indépendance analytique : Diverses instances se prononcent sur l'attribution, notamment les fournisseurs de CTI, les agences gouvernementales et les chercheurs indépendants. Cela pose la question de savoir dans quelle mesure nous devons faire confiance aux autres ? Ignorer tous les renseignements fournis par des tiers dans la recherche d'une indépendance totale reviendrait à négliger des informations précieuses. À l'inverse, un regroupement bâclé entre de cybercriminels suivis par différentes entités peut rapidement conduire à la confusion et à l'imprécision. Par exemple, le hacker surnommé "Winnti" est devenu de plus en plus imprécis en raison de méthodologies incohérentes, de regroupements douteux et d'un manque de collaboration entre les différentes entreprises de sécurité.

Mandiant prête naturellement attention aux recherches sur les menaces publiées par une grande variété d'entités. Cependant, Mandiant s’engage également à élaborer des jugements d'attribution solidement fondés sur son analyse indépendante et sur les données de collecte de source primaire.

3.     Les niveaux de confiance : Les fonctions CTI doivent éviter de porter des jugements d'attribution hâtifs, mais une approche trop prudente peut bloquer le processus. En fin de compte, si la barre est trop haute pour fusionner les groupes de menaces, les parties prenantes auront du mal à s'attaquer aux menaces clés en temps voulu.

Mandiant Intelligence adopte une approche flexible en utilisant des groupes de menaces non catégorisés (appelés groupes UNC). Cela lui permet de révéler rapidement des informations utiles sur les menaces, sans avoir à suivre immédiatement un long processus d'attribution. Mandiant expose les jugements d'attribution de moindre confiance dans Mandiant Advantage, où sont détaillés à la fois les groupes de menaces fusionnés et ceux pour lesquels il existe un lien suspect. Les clients peuvent ainsi suivre l'évolution des évaluations d'attribution de Mandiant au fil du temps. Les équipes de renseignement sur les menaces doivent également faire la distinction entre les niveaux de confiance et la spécificité.

4.     Les publications : Bien que tout le monde aime un article de blog CTI juteux qui lève le voile sur la dernière campagne APT, la publication de la recherche sur les menaces implique de nombreux facteurs, notamment : la sensibilité des sources, la réaction de la victime, le contexte géopolitique actuel, les implications pour les engagements de réponse en cours et la réaction potentielle d'un acteur de la menace. En fin de compte, qu'il s'agisse d'un gouvernement qui publie des cyber-sanctions ou d'un fournisseur CTI qui dénonce un groupe APT, il est essentiel d'adopter une approche réfléchie.

5.     Les techniques d'analyse : Les techniques structurées jouent un rôle important dans l'amélioration de la rigueur et de la qualité des évaluations analytiques. Cependant, elles peuvent également être coûteuses, longues et exigeantes en ressources. Il est donc préférable de considérer le rôle des techniques analytiques comme une échelle mobile qui peut être augmentée ou réduite en conséquence. Par exemple, les fonctions CTI peuvent vouloir augmenter leur utilisation des techniques analytiques pour les jugements d'attribution importants ayant des implications significatives pour leur organisation ou pour faire face à une mauvaise qualité de collecte.

Quel type d'attribution vous convient le mieux ?

L'attribution présente de nombreuses décisions difficiles et des compromis complexes à réaliser. Mais l'attribution d'une cyberactivité doit toujours être considérée comme un moyen d'action et non comme un carcan. Les compromis d'attribution peuvent poser des questions délicates pour une fonction de sécurité, mais la réponse est généralement évidente si l'on se demande simplement : qu'est-ce qui est le mieux pour notre organisation ? En effet, le processus d'attribution se développe mieux lorsqu'il est lié à des exigences organisationnelles, des cas d'utilisation et des résultats clairs. Ce n'est peut-être pas aussi glamour que d'essayer de tenter de copier les agences de renseignement, mais c'est beaucoup plus efficace pour votre organisation et vos parties prenantes.