Opinions

RSSI, servez-vous du rapport Mandiant !

Par La rédaction, publié le 26 février 2013

La semaine dernière, la société Mandiant a publié un rapport révélant l’existence d’une des plus grandes équipes dédiées aux attaques ciblées. Une mine d’informations pour les RSSI.

La semaine dernière, la société Mandiant, spécialisée dans les investigations suite aux incidents de sécurité, a publié un rapport extrêmement détaillé. Il met en lumière ce que Mandiant présente comme la plus importante des équipes dédiées aux attaques ciblées. Il donne de nombreuses informations sur son organisation, ses méthodes, ses objectifs et sa localisation présumée : la Chine.

Comme prévu par la société, le rapport a provoqué de nombreux remous dans différentes communautés. Diplomates, acteurs de la défense, de la sécurité… tous ces interlocuteurs sont concernés par les informations. Sans vouloir rentrer dans le débat de l’intérêt de ces révélations ou de leur solidité, il est évident que les informations techniques communiquées sont fiables et vont être d’une très grande utilité pour les RSSI.

C’est une chance sans pareil pour les équipes sécurité qui vont pouvoir vérifier si elles ont été victimes d’attaques, ou de tentatives d’attaques dans les mois précédents. Nous avons d’ailleurs entamé ce travail d’analyse auprès de certains de nos clients. Attention cependant ! Les équipes d’attaquants vont forcément modifier leurs méthodologies rapidement et ces informations seront surtout utiles pour vérifier le passé plutôt que pour se protéger dans le futur.

Toutes ces analyses peuvent, heureusement, être automatisées, soit en utilisant les outils et les services dont vous disposez – MSSP, pare-feu, centralisation des journaux, antivirus… –, soit grâce à des outils additionnels. Mandiant propose lui-même un outil gratuit, Redline, certes perfectible mais qui permet l’investigation sur les postes de travail directement en utilisant les IOCs fournis. Tenable, éditeur de Nessus, propose également de nombreuses solutions.

Les consoles des éditeurs d’antivirus peuvent également être utilisées pour identifier les malwares. Symantec fournit par exemple une liste de correspondance entre les empreintes données par Mandiant et les noms dans les alertes générées. De nombreux autres outils, dont de l’open source, peuvent être utilisés.

Si aucun élément est détecté – c’est plutôt une très bonne nouvelle –, ce rapport reste une source de qualité pour sensibiliser la direction générale à la situation de la menace aujourd’hui. Le temps des attaques pour la gloire est révolue, nous parlons ici clairement de guerre économique. Et ce sujet doit être traité directement au niveau de la direction générale avec les acteurs concernés.