Joey D., superviseur d’une équipe de détection au Centre canadien pour la cybersécurité du gouvernement fédéral, présente les défis majeurs auxquels fait face son organisation dans la gestion de la cybersécurité à l’échelle nationale. Lors de sa présentation à NorthSec, il a abordé un problème critique : la pollution causée par le bruit dans les systèmes de détection.

Le centre canadien traite un volume impressionnant de données : plus de 200 000 événements par seconde provenant de 167 clients (et plus), couvrant l’ensemble du territoire canadien. Cette télémétrie massive est corrélée avec un grand volume d’indicateurs de compromission provenant de diverses sources et partenariats internationaux. Si cette richesse d’informations constitue un atout considérable, elle génère également un défi majeur : le bruit.

La combinaison de ces deux éléments - volume important de télémétrie et grand nombre d’indicateurs - crée une pollution informationnelle qui peut submerger les analystes. Les faux positifs et les mauvaises détections prolifèrent, risquant de masquer de véritables menaces ou de mobiliser inutilement les ressources d’analyse.

Pour résoudre ce problème, Joey et son équipe ont développé une approche basée sur l’identification et la caractérisation de ce qui est “non malicieux”. Plutôt que de simplement bloquer automatiquement les alertes, ils créent des filtres informatifs qui aident les analystes dans leur processus de triage. Cette méthode permet d’éviter les faux négatifs, où un véritable compromis pourrait être filtré par erreur.

L’équipe préfère maintenir un niveau de prudence élevé. Comme l’explique Joey : “À un moment donné, nous, on n’aime pas prendre ce risque-là de manquer un vrai événement de compromission.” Les filtres automatisés sont donc principalement informatifs, bien que certains, lorsque l’équipe a une confiance élevée, puissent déclencher des actions automatisées.

Un exemple particulièrement intéressant concerne les administrateurs système. Ces professionnels, dotés de privilèges élevés sur les réseaux, font parfois preuve d’une créativité remarquable dans l’accomplissement de leur travail. Ils peuvent utiliser des outils ou des techniques habituellement associés à des acteurs malveillants, mais dans un contexte parfaitement légitime.

Cette créativité administrative pose un défi constant : comment distinguer une technique légitime d’une utilisation malveillante ? L’équipe de Joey a développé plusieurs approches pour gérer ce problème, allant de filtres très spécifiques (par exemple, tel script exécuté par tel utilisateur à telle heure) à des filtres plus génériques basés sur la compréhension des technologies.

Joey a mené une étude approfondie du système Delivery Optimization de Microsoft, un service de partage de fichiers présent par défaut sur tous les appareils Windows depuis Windows 10. Ce système permet d’accélérer les mises à jour en utilisant un mécanisme de peer-to-peer au sein du réseau local, réduisant ainsi la bande passante utilisée vers les serveurs Microsoft.

Le problème survient lorsque ce système est configuré pour partager avec des machines sur Internet plutôt que seulement sur le réseau local. Dans un contexte de télétravail, cela peut créer des connexions vers des adresses IP dans différents pays, générant des alertes suspectes pour les analystes qui voient des transferts de données importants vers des destinations potentiellement douteuses.

Cette recherche illustre parfaitement l’importance de comprendre le fonctionnement normal des systèmes pour mieux détecter les anomalies. Comme le souligne Joey, peu de chercheurs en sécurité s’intéressent à ces mécanismes non malveillants, créant un angle mort dans la détection.

Une des forces du système développé par l’équipe réside dans sa capacité à corréler différents types de télémétrie. En combinant les données réseau (NetFlow, captures de paquets) avec les données d’endpoints (EDR), ils peuvent obtenir un contexte beaucoup plus riche pour leurs analyses.

Par exemple, dans le cas des “fake captchas” - ces pages web malveillantes qui demandent aux utilisateurs d’exécuter des commandes via Windows+R et Ctrl+V - la corrélation permet de faire la distinction entre une simple visite du domaine malveillant (comportement normal) et l’exécution effective de la chaîne de processus malveillante (comportement à investiguer).

Le système développé par l’équipe fonctionne selon une architecture sophistiquée à plusieurs niveaux. Au niveau le plus bas, on trouve les “hits” - des événements détectés qui ne nécessitent pas nécessairement l’intervention humaine. Par exemple, l’exécution de la commande “ping” génère un hit, mais celui-ci n’est traité que par des algorithmes.

Ces hits peuvent être “promus” en alertes lorsque des algorithmes détectent des patterns suspects - par exemple, une séquence ping-ping-ping suivie de “whoami”. À l’inverse, certaines détections génèrent directement des alertes en raison de leur gravité (comme PowerShell téléchargeant du contenu depuis Internet après l’ouverture d’un document Word).

Le système inclut également des algorithmes de “démotion” qui peuvent reclasser une alerte en hit lorsqu’il s’avère qu’elle correspond à un comportement légitime d’un administrateur système connu.

L’intégration des feeds de threat intelligence (comme MISP) représente un défi particulier. Ces indicateurs, souvent rudimentaires, nécessitent un travail important de contextualisation. Plusieurs équipes au Centre Canadien pour la cybersécurité ajoutent systématiquement du contexte lors de l’ingestion : si un fournisseur ne livre que des adresses IP mais que tous ses indicateurs concernent des botnets, cette information contextuelle est ajoutée automatiquement.

Cette approche permet aux analystes de disposer du contexte nécessaire dès le moment du triage, améliorant significativement l’efficacité du processus d’analyse.

La contextualisation des indicateurs présente plusieurs difficultés. Les concepts peuvent être contradictoires entre différentes sources, la temporalité joue un rôle crucial (un indicateur valide il y a deux semaines peut ne plus l’être aujourd’hui), et la géolocalisation peut être trompeuse, notamment lorsque des acteurs malveillants utilisent des routeurs compromis pour masquer leur origine réelle.

L’équipe doit constamment évaluer son appétit au risque pour déterminer quels indicateurs méritent une investigation et lesquels peuvent être filtrés sans risque.

Au-delà de la protection des infrastructures gouvernementales, le travail de l’équipe de Joey bénéficie directement aux citoyens canadiens. Grâce à un partenariat avec CIRA (l’organisme responsable du domaine .ca), les indicateurs de compromission identifiés par le centre sont intégrés au service Canadian Shield. Ce service DNS gratuit permet à tout citoyen de bénéficier de cette protection en configurant simplement son routeur domestique.

Le travail présenté par Joey D. illustre l’importance d’investir dans la qualité des données en amont du processus de détection Plutôt que de déployer des solutions “out-of-the-box” et de s’en contenter, son équipe démontre qu’un investissement significatif dans la compréhension, la contextualisation et le filtrage intelligent des données peut transformer radicalement l’efficacité d’un SOC.

L’approche développée au Centre canadien pour la cybersécurité offre un modèle inspirant pour d’autres organisations confrontées aux mêmes défis de volume et de bruit. En se concentrant sur la caractérisation du comportement normal et en développant des systèmes de corrélation sophistiqués, il devient possible de gérer efficacement des volumes de données considérables tout en maintenant un niveau de détection élevé.

Cette présentation souligne également l’importance de la collaboration et du partage d’informations dans le domaine de la cybersécurité, démontrant comment le travail d’une équipe gouvernementale peut bénéficier à l’ensemble de la communauté, des grandes organisations aux citoyens individuels.