Le renseignement de Recorded Future permet à Nkom EkomCERT d'aider Norwegian Telecoms à garder une longueur d'avance sur les menaces propres à l'industrie

Nkom EkomCERT

Le renseignement de Recorded Future permet à Nkom EkomCERT d'aider Norwegian Telecoms à garder une longueur d'avance sur les menaces propres à l'industrie

Cas d’utilisation :

Défi :

Une petite équipe de sécurité avait besoin d’accéder à un large éventail de renseignements issus du web ouvert et du dark web, filtrés pour un secteur spécifique (télécommunications) et une région précise (Scandinavie).

Solution :

Résultats :

Les agences gouvernementales utilisent le renseignement pour hiérarchiser les vulnérabilités et suivre l'évolution du paysage des menaces pour les entreprises de communication

Protéger l’industrie des télécoms en Norvège

L’Autorité norvégienne des communications (Nasjonal kommunikasjonsmyndighet, ou Nkom) est une agence gouvernementale qui supervise et accompagne les organisations fournissant des services de communications électroniques en Norvège, principalement les entreprises de télécommunications. L’une de ses principales responsabilités est d’assurer la sécurité et la résilience des réseaux de communication électronique.

Ole Kristoffer Apeland est ingénieur sécurité principal et responsable d’équipe chez Nkom EkomCERT. L’équipe qu’il dirige travaille avec les entreprises norvégiennes de télécommunications et de communication numérique pour les aider à prévenir les cyberattaques et à se préparer aux menaces émergentes.

L’équipe d’Ole avait pour mission d’identifier les acteurs malveillants ciblant les entreprises de télécommunications et d’e-commerce en Norvège, et de déterminer quelles vulnérabilités ils exploitent généralement pour voler des données, commettre des fraudes ou perturber les réseaux. L’équipe devait aller au-delà des tendances générales et des scores basiques de vulnérabilités pour repérer les attaques actives spécifiquement dans le secteur des télécoms en Scandinavie, ou susceptibles de se produire bientôt. Ce n’est qu’armées de ces informations que les entreprises clientes de Nkom EkomCERT pouvaient prioriser et atténuer les vulnérabilités réellement menaçantes pour leur activité.

Ce petit groupe faisait face à un défi similaire : offrir une visibilité sur un paysage de menaces en constante évolution pour les entreprises de télécoms norvégiennes. Il devait surveiller les développements liés au phishing, aux ransomwares, aux attaques par déni de service distribué (DDoS), aux menaces persistantes avancées (APT), à la fraude grand public et à d’autres menaces, puis fournir des informations permettant aux entreprises norvégiennes de télécommunications et de communication numérique de planifier leurs investissements en personnel et en technologies de sécurité.

Ole et son équipe ont réalisé qu'ils ne disposaient pas des ressources nécessaires pour obtenir les renseignements sectoriels approfondis et en temps réel dont ils avaient besoin pour accomplir leur mission. Après avoir évalué les offres de renseignement de plusieurs entreprises, ils ont sélectionné Recorded Future comme l'entreprise capable de fournir les meilleurs renseignements et le meilleur support.

Les renseignements fournis par Recorded Future nous permettent de distinguer les vulnérabilités qui représentent un danger immédiat pour les opérateurs télécom norvégiens de celles qui ne représentent que des risques théoriques ou à long terme.

Ole Kristoffer Apeland

Ingénieur en chef de la sécurité et chef d'équipe, Nkom EkomCERT

Enrichir les données sur les vulnérabilités pour des correctifs basés sur les risques

Nkom EkomCERT reçoit un flux continu de vulnérabilités nouvellement découvertes provenant de différents fournisseurs technologiques et de sources industrielles comme la base de données CVE. Avant d’utiliser le renseignement de Recorded Future, la difficulté consistait à déterminer quelles vulnérabilités représentaient des menaces immédiates pour les entreprises norvégiennes des télécoms et des communications numériques, et quelle était la meilleure approche pour atténuer les attaques exploitant ces vulnérabilités.

L’équipe d’Ole utilise le module Vulnerability Intelligence de Recorded Future et l’intégration Recorded Future–Splunk Enterprise pour enrichir ses données de vulnérabilité dans Splunk. Cela lui permet d’obtenir une vision claire du risque associé à chaque vulnérabilité, basée sur la probabilité qu’elle soit exploitée. Dans une interface unique, les données enrichies fournies par l’intégration de Recorded Future et Splunk Enterprise fournissent à Nkom EkomCERT les éléments nécessaires pour prioriser les vulnérabilités qui comptent le plus.

« L’intégration Splunk de Recorded Future nous permet de prioriser efficacement et efficacement et d’agir en urgence sur les bonnes vulnérabilités. » Elle nous aide à déterminer où notre temps doit être investi en priorité, car il y a souvent plus de travail que de personnes. Grâce à l’enrichissement des vulnérabilités fourni par l’intégration Splunk de Recorded Future, nous savons que nous concentrons nos efforts là où cela compte », explique Ole.

Par le passé, l’équipe d’Ole s’appuyait sur d’autres sources d’information pour enrichir les vulnérabilités, mais ces fournisseurs n’offraient pas le niveau de qualité nécessaire. Ole raconte : « Nous avons déjà eu recours à d’autres fournisseurs pour contextualiser nos vulnérabilités, mais leurs données et services ne répondaient pas à nos standards de qualité. Nous utilisons Recorded Future Vulnerability Intelligence et l’intégration Splunk depuis de nombreuses années maintenant, et c’est devenu un élément central de notre fonctionnement. »

En plus de s’appuyer sur les données enrichies fournies par Recorded Future, accessibles directement dans leur instance Splunk, ils utilisent aussi le module Vulnerability Intelligence de la plateforme Intelligence de Recorded Future pour évaluer le risque réel. Grâce à ces renseignements, Ole et son équipe ont accès au contexte de chaque vulnérabilité : exemples d’exploitation antérieure, liens avec certains types d’attaques et acteurs malveillants, et un score de risque. Pour l’équipe d’Ole, l’une des priorités est d’identifier les vulnérabilités qui touchent les produits couramment utilisés dans les entreprises de télécommunications, puis d’en informer leurs parties prenantes. Lorsqu’une vulnérabilité potentiellement importante est repérée, l’équipe utilise les informations de Recorded Future pour l’évaluer selon des indicateurs temporels, notamment son stade dans le cycle des vulnérabilités.

Utilisation du cycle de vie des vulnérabilités

Les vulnérabilités suivent un cycle de vie. Elles évoluent au fil du temps : depuis la découverte et l’annonce (lorsque les exploits sont théoriques), jusqu’au développement du code de validation conceptuelle (qui démontre que l’exploitation est possible, sans être immédiatement utilisable dans une attaque), puis du code d’exploit fonctionnel (exploit utilisable par des pirates compétents), jusqu’aux kits d’exploitation disponibles sur le dark web (qui facilitent l’exploitation par des acteurs moins qualifiés), puis enfin jusqu’à l’exploitation active « dans la nature ».

Les vulnérabilités situées en fin de cycle sont plus susceptibles d’être exploitées et doivent être corrigées immédiatement. Celles qui se situent à un stade plus précoce représentent un risque futur, mais elles ne devraient être traitées qu’après les vulnérabilités prioritaires.

Le renseignement de Recorded Future permet à Nkom EkomCERT d’évaluer les vulnérabilités en fonction de leur stade d’évolution. Nkom EkomCERT partage ces évaluations avec les entreprises de télécommunications et les agences gouvernementales norvégiennes, afin qu’elles puissent trier les vulnérabilités et prioriser les plus susceptibles d’être exploitées prochainement.

Offrir une connaissance situationnelle des attaques imminentes

Les entreprises de télécommunications sont exposées à une grande variété de cybermenaces : attaques DDoS sur leurs réseaux, APT, phishing, attaques par ransomware sur leurs activités et campagnes de fraude contre leurs clients. L'une des responsabilités de Nkom EkomCERT est de fournir aux opérateurs de télécommunications norvégiens des alertes précoces sur les activités dans ces domaines afin qu'ils puissent se préparer à la prochaine vague de menaces.

L’équipe d’Ole s’appuie sur Recorded Future pour découvrir des indicateurs d’attaques imminentes et en cours. Pour fournir des alertes précoces, Recorded Future :

Comme les entreprises de télécommunications proposent désormais une grande variété de services, les données fournies par Recorded Future à Nkom EkomCERT couvrent un large éventail de segments et de technologies : services mobiles et lignes fixes, applications de messagerie et de collaboration, services Internet, médias en streaming et divertissement.

Cartographier le paysage des menaces pour la planification à long terme

Nkom EkomCERT joue un rôle essentiel dans la cartographie du paysage des menaces pour les entreprises télécoms et d’autres agences gouvernementales norvégiennes. Pour remplir cette mission, l’équipe d’Ole utilise le renseignement de Recorded Future pour surveiller l’évolution des activités des acteurs malveillants et fournir une visibilité en temps réel sur les tendances liées au phishing, aux ransomwares, aux attaques par déni de service distribué (DDoS), aux APT, à la fraude grand public et à d’autres menaces pertinentes pour le secteur des télécoms. L’étendue et la profondeur de la couverture de Recorded Future, sur le web ouvert comme le dark web, combinées à un contexte et à une analyse des attaques, permettent à Nkom EkomCERT ainsi qu’aux entreprises norvégiennes de télécommunications et de communication numérique d’anticiper et de planifier face aux menaces les plus susceptibles de perturber leurs opérations.

L’équipe d’Ole s’appuie également largement sur les analyses et informations fournies par la division Insikt Group de Recorded Future, une équipe de chercheurs expérimentés qui propose des services Analyst on Demand et des recherches ciblées sur les menaces aux clients de Recorded Future. L’expertise de Nkom EkomCERT en matière de cybersécurité, renforcée par les informations et analyses de Recorded Future, a aidé les entreprises télécoms et les agences gouvernementales norvégiennes à prendre des décisions éclairées concernant l’allocation de leurs ressources et le renforcement progressif de leurs programmes de sécurité.

Comment Recorded Future contribue au succès de Nkom EkomCERT

Ole et son équipe estiment que le renseignement fourni par Recorded Future a considérablement renforcé leur capacité à guider le secteur norvégien des télécoms. Ils apprécient particulièrement les capacités de Recorded Future suivantes :

Recorded Future nous a énormément aidés, et le support que nous avons reçu nous a été d’une grande utilité. Nous sommes une petite équipe. Les analyses et les capacités de l’Insikt Group nous ont permis de déléguer une partie du travail analytique. Nous avons pu poser autant de questions que nécessaire. L’Insikt Group a considérablement augmenté la productivité et l’impact de notre équipe.

Ole Kristoffer Apeland

Ingénieur en chef de la sécurité et chef d'équipe, Nkom EkomCERT