Dans la première partie de cet article (MISC n°85) nous avons présenté la Threat Intelligence, ses concepts, ses outils. Dans cette seconde et dernière partie, nous passons à la pratique. Nous allons voir comment la Threat Intelligence opérationnelle peut aider et comment elle s'insère dans les activités de réponse aux incidents et d'investigation numérique (DFIR).
1. Et le DFIR dans tout ça ?
Les plus intello-sceptiques d’entre vous doivent être en train de se dire : « c’est bien beau, toutes ces notions, mais concrètement, comment je m’en sers pour améliorer ma réponse aux incidents ? ». Ce qui suit est un florilège d’exemples qui répondent très précisément à cette question, en s’aidant assez souvent de quelques modèles : la « Pyramid of Pain », le modèle F3EAD, ou encore la boucle OODA.
1.1 Le process IR classique
Cela ne fait jamais de mal de se rafraîchir les idées. Le processus de réponse aux incidents de sécurité informatique le plus connu est celui de la US Navy (encore ces militaires !), décrit en détail dans leur document « Computer Incident Response Guidebook ». C’est ce même modèle qui sera repris par l’institut SANS ou le NIST quelques années plus tard. Si ces reprises possèdent quelques différences sémantiques avec l’original, l’idée transmise est globalement la...
