Toy soldiers + binary code / wargames / cyberwarfare

Le lien entre risque et renseignement : comment la recherche basée sur la vulnérabilité révèle ce qui manque à tout le reste

Lucas Morel

Lorsque vous traitez les vulnérabilités comme des indices plutôt que comme des tâches, vous découvrez des menaces, corrigez les angles morts et rendez enfin votre programme de sécurité plus intelligent.

Pendant des années, j’ai vu des organisations traiter les données de vulnérabilité comme une tâche de conformité. C’était quelque chose à analyser, trier et corriger dans les délais. Pourtant, enfouie dans ces rapports se trouve une sorte de carte au trésor, où un attaquant est susceptible de frapper en premier. Dans mes précédents rôles d’équipe rouge et de réponse aux incidents, à moins une fuite d’informations d’identification ou une menace interne, chaque attaque était perpétrée via une vulnérabilité. Cette perspective m’a guidé dans l’élaboration de cette stratégie. Chaque CVE ne représente pas seulement une faiblesse mais une opportunité de comprendre le comportement, l’exposition et l’intention. Lorsque mes équipes ont commencé à associer la gestion des vulnérabilités à la chasse aux menaces, nous avons transformé les listes statiques en informations dynamiques.

La recherche tenant compte des vulnérabilités est le point où la gestion des risques rencontre l’ingénierie de détection. En utilisant les données de vulnérabilité pour guider les recherches et combler les lacunes de visibilité, nous pouvons révéler les compromissions en cours, prioriser le travail de détection là où cela est important et affiner continuellement la journalisation et la surveillance. À chaque étape du processus, les audits de conformité autrefois détestés se sont transformés en missiles à la recherche de l’adversaire. Pour moi, c’est devenu le pont opérationnel entre théorie et pratique. C’est le lien entre le risque et le renseignement.

Les vulnérabilités comme une lentille, pas une liste

Au début de ma carrière, les analyses de vulnérabilités étaient traitées comme des listes de contrôle. Les systèmes ont été analysés, les résultats triés par score CVSS et les équipes se sont précipitées pour corriger les plus critiques. Le résultat était un travail tactique intense avec peu de connaissances opérationnelles. J’ai appris qu’une meilleure approche consiste à traiter les vulnérabilités comme des indicateurs comportementaux, des signes indiquant où les adversaires peuvent ou opèrent déjà.

Lorsque nous avons enrichi les données de vulnérabilité avec le contexte des actifs tels que la fonction commerciale, le niveau d’exposition et la criticité, elles sont devenues une perspective de menace. Par exemple, une faille d’exécution de code à distance sur un serveur d’applications public lié à un portail client n’était pas seulement une CVE critique. Il s’agissait d’un point d’entrée potentiel pour le vol d’identifiants, les mouvements latéraux ou l’exfiltration de données. En priorisant les chasses basées sur cette vue enrichie, notre programme est passé d’un cycle de correctifs réactif à une posture de défense proactive.

Cet état d’esprit centré sur le risque concentre les efforts là où un compromis serait le plus préjudiciable. Cela nous permet de partir de ce qui est probable plutôt que de ce qui est simplement possible. Au lieu de poursuivre tous les exploits théoriques, nous traçons des chemins d’attaque réels ancrés dans notre propre infrastructure et notre propre modèle de risque.

Les équipes qui examinent les vulnérabilités sous un angle contextuel peuvent anticiper le comportement des attaquants. Par exemple, les actifs exposés sur Internet avec des versions logicielles obsolètes sont plus susceptibles d’attirer des tentatives d’analyse et d’exploitation. La cartographie de ces vulnérabilités et de leur impact sur l’entreprise clarifie non seulement les éléments à corriger, mais aussi les éléments à surveiller. Plus nous apportons de contexte aux données de vulnérabilité, plus leur valeur en tant que signal opérationnel est grande.

Transformer les données de vulnérabilité en intelligence

Une fois les vulnérabilités contextualisées, elles peuvent être transformées en renseignements exploitables. Chaque CVE important raconte une histoire : activité d’exploitation connue, intérêt des acteurs, code de preuve de concept ou liens vers les techniques MITRE ATT&CK. Ces renseignements externes nous indiquent qui et comment se cachent derrière une éventuelle exploitation.

Par exemple, lorsqu’une vulnérabilité d’élévation de privilèges sous Linux (CVE-2023-0386) a commencé à circuler, nous avons surveillé les renseignements open source et constaté des exploits dans les référentiels et des discussions sur les forums du Dark Web. Notre SOC a enrichi ses données de vulnérabilité internes avec ces informations, étiqueté les actifs concernés et créé des recherches ciblées pour les comportements inhabituels du setuid ou le chargement des modules du noyau.

La corrélation entre les données de vulnérabilité internes et les renseignements sur les menaces externes est essentielle. Les flux et cadres de renseignements sur les menaces tels que l’Exploit Prediction Scoring System (EPSS), le CISA KEV (Known Exploited Vulnerabilities) et le NVD fournissent un aperçu de la probabilité d’exploitation, de la prévalence des attaques et des capacités des acteurs. L’enrichissement automatisé nous permet de connecter les CVE de notre environnement avec des tactiques adverses en direct, faisant rapidement apparaître les vulnérabilités les plus importantes.

Les données sur les vulnérabilités aident également à prévoir les tendances émergentes en matière d’attaques. Le suivi des CVE les plus discutés ou les plus militarisés nous permet de prédire les vecteurs d’attaque probables des semaines avant qu’une exploitation à grande échelle ne se produise. En combinant les résultats de l’analyse interne avec la télémétrie externe, nous convertissons efficacement notre base de données de vulnérabilités en un flux de menaces personnalisé.

Ce mélange de renseignements sur les vulnérabilités et sur les menaces permet d’établir des priorités au-delà des scores CVSS. Par exemple, deux vulnérabilités critiques peuvent exister dans notre environnement, mais si une seule est activement exploitée dans la nature selon CISA KEV ou des rapports open source, la décision sur où concentrer l’attention devient claire. Cette approche aligne la gestion des risques sur le comportement réel des adversaires et réduit le bruit pour nos équipes SOC et de détection.

De l’information à la chasse : détecter ce qui est exploitable

Une fois que les vulnérabilités sont associées au comportement de l’adversaire, elles peuvent alimenter des chasses ciblées. La logique est simple : si une vulnérabilité existe, nous recherchons les traces de son exploitation ou de son activité associée. Cela fonde la chasse aux menaces sur des risques mesurables plutôt que sur une spéculation illimitée.

Chaque vulnérabilité suggère des comportements d’attaquant spécifiques qui devraient laisser des traces observables. Par exemple:

  • Log4Shell (CVE-2021-44228) : Recherchez les chaînes de recherche JNDI suspectes, les appels LDAP ou HTTP sortants provenant de processus Java ou les preuves d’une activité d’exécution de code à distance.
  • ProxyShell (CVE-2021-34473) : Recherchez les processus enfants w3wp.exe anormaux, les activités PowerShell inattendues ou les exportations de boîtes aux lettres suspectes sur les serveurs Exchange.
  • Zérologon (CVE-2020-1472) : Consultez les journaux du contrôleur de domaine pour détecter les réinitialisations anormales du mot de passe du compte d’ordinateur ou les tentatives d’authentification NTLM provenant d’hôtes inhabituels.

Ces chasses ont deux objectifs : la détection et la validation. Si une activité est découverte, il s’agit d’une preuve potentielle d’exploitation ou du moins de tentative d’exploitation. Dans le cas contraire, la chasse fournit toujours un aperçu des lacunes de visibilité telles que des journaux manquants, une analyse incorrecte, une télémétrie absente ou une mauvaise référence.

Une chasse efficace aux menaces basée sur les données de vulnérabilité nécessite une collaboration étroite entre la gestion des vulnérabilités, l’ingénierie de détection et le SOC. Mes équipes s’appuient sur un accès rapide aux résultats d’analyse, aux inventaires d’actifs et au contexte commercial pour aligner leurs efforts. Les ingénieurs de détection utilisent ensuite les résultats des chasses pour affiner la collecte des journaux, développer de nouveaux contenus de détection et automatiser la surveillance. Le résultat est une boucle collaborative qui maximise à la fois l’expertise humaine et la technologie.

Ce processus s’aligne également sur des frameworks tels que MITRE ATT&CK et D3FEND. En associant chaque vulnérabilité à ses TTP et atténuations pertinents, nous pouvons mesurer quels comportements sont détectables aujourd’hui et lesquels nécessitent une nouvelle ingénierie. Les chasses basées sur les vulnérabilités servent donc également d’évaluations de la couverture de détection, nous permettant d’améliorer systématiquement à la fois notre technologie et nos processus.

Combler les lacunes : l’ingénierie de détection par la chasse

Les recherches basées sur les vulnérabilités révèlent souvent quelque chose de plus précieux qu’une activité malveillante : des angles morts en matière de télémétrie et de couverture. Une recherche peut montrer que certaines sources de télémétrie sont incomplètes ou indisponibles. Il se peut que des journaux du noyau, des journaux d’applications ou des enregistrements DNS soient manquants. Ces résultats sont de l’or pour les ingénieurs en détection.

Par exemple, la recherche de l’activité Log4Shell m’a révélé un jour que les journaux d’applications Java n’étaient pas envoyés au SIEM et que certains serveurs Web manquaient de couverture des points de terminaison. Chaque lacune découverte définit une amélioration concrète : permettez une journalisation détaillée des processus en ligne de commande, centralisez les journaux d’application ou déployez des agents de point de terminaison sur des systèmes négligés. En transformant les chasses en audits de visibilité, nous avons construit une carte vivante de l’endroit où se termine la couverture de détection.

L’ingénierie de détection opérationnalise ensuite ces résultats. Une chasse ponctuelle aux modèles d’exploitation devient une détection récurrente. Au fil du temps, ces détections évoluent en contenu SIEM, règles de corrélation ou alertes EDR. La boucle est continue et auto-améliorable :

  1. Les vulnérabilités révèlent des risques.
  2. Cartes de renseignement qui risquent d’influencer le comportement de l’adversaire.
  3. Les chasses valident la capacité de détection et exposent les lacunes.
  4. L’ingénierie de détection comble ces lacunes.
  5. Les améliorations de la couverture éclairent le prochain cycle de chasse.

Le résultat est une résilience mesurable. Au lieu d’appliquer des correctifs de manière réactive ou de déployer des détections arbitraires, notre organisation évolue en fonction des faiblesses réelles observées et des efforts de renforcement. Les retours d’information issus des chasses tenant compte des vulnérabilités garantissent que la stratégie de surveillance suit à la fois l’évolution du paysage des menaces et les conditions réelles de l’environnement.

Cette approche soutient également les efforts de conformité et d’audit en fournissant des preuves d’amélioration continue. La documentation des traques, le développement de la détection et l’amélioration de la visibilité démontrent que notre programme de sécurité est non seulement conscient de ses faiblesses, mais qu’il y remédie activement par le biais d’opérations structurées et axées sur le renseignement.

Il est temps d’aller au-delà des correctifs et de l’oubli

La chasse aux menaces basée sur les vulnérabilités fusionne la gestion des risques avec une défense basée sur le renseignement. La gestion traditionnelle des vulnérabilités s’arrête à l’application de correctifs, mais cette approche va plus loin. En transformant les données de vulnérabilité en une arme opérationnelle et en nous concentrant sur les faiblesses les plus importantes, nous obtenons une posture de détection qui s’améliore continuellement.

Je pense que vous en conviendrez, ce changement est logique en théorie. Cela a fait ses preuves à maintes reprises dans ma réalité. En allant au-delà de l’état d’esprit « patcher et oublier » et en utilisant les données de vulnérabilité pour piloter la chasse aux menaces, j’ai vu des équipes découvrir des menaces actives, combler les angles morts dangereux et améliorer continuellement la détection et la réponse. Chaque fois que nous avons abordé la gestion des vulnérabilités comme une source de renseignements, plutôt que comme une simple liste de contrôle, nos défenses sont devenues plus fortes et notre capacité à anticiper les adversaires s’est améliorée. La différence est tangible : il ne s’agit pas simplement d’une stratégie ; c’est un état d’esprit qui révèle ce qui manque à tout le reste.

Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Gemini, Google, Smartphone
Gemini pour Chrome dispose d’un deuxième agent IA pour le surveiller
Cyberattaques contre les universités | Chouette noire
Cyberattaques contre les universités | Chouette noire
Ermittler kappen Tausende Nummern von mutmaßlichen Betrügern
Ermittler kappen Tausende Nummern von mutmaßlichen Betrügern