La Pyramide des Risques est un concept de cybersécurité, permettant de hiérarchiser les différents indicateurs de cyberattaques en fonction du niveau de risque. En se focalisant sur les indicateurs du sommet de la pyramide, les équipes de sécurité peuvent combattre les hackers plus efficacement.
Combattre une cyberattaque peut être extrêmement difficile, et les conséquences d'un échec sont bien souvent dévastatrices. Pour éviter cette situation, il est préférable de déjouer les assauts des hackers avant qu'il ne soit trop tard.
Afin de détecter une cyberattaque le plus tôt possible, on s'appuie sur les « indicateurs de compromission » (IOC) : des éléments d'investigation numérique indiquant qu'un endpoint ou un réseau a été compromis.
Dès qu'un IOC est détecté, il est essentiel de réagir pour empêcher les hackers de les exploiter. Toutefois, les différents indicateurs ne représentent pas le même niveau de risque et certains peuvent être beaucoup plus bénéfiques que d'autres pour les cybercriminels.
Il est donc important de se focaliser en priorité sur les IOC les plus dangereux. Afin de hiérarchiser les indicateurs de compromission, on utilise le concept de Pyramide des Risques.
Qu'est-ce que la Pyramide des Risques ?
La Pyramide des Risques est un concept inventé en 2013 par David J Bianco, professionnel de la cybersécurité, alors qu'il travaillait sur la traque de menace et la réponse aux incidents.
Ce concept a pour but d'améliorer l'applicabilité des Indicateurs de Compromission. Il s'agit d'une pyramide représentant les six types d'indicateurs d'attaques, hiérarchisés en fonction du niveau de danger qu'ils représentent et de l'avantage qu'ils confèrent au cybercriminel.
Pour les analystes en sécurité, cette pyramide reflète aussi les composants les plus importants d'une cyberdéfense robuste. Répondre aux ICO des premiers étages de la pyramide n'apporte que peu de protection, tandis que les indicateurs situés au sommet doivent être déjoués en priorité.
Les différents types d'indicateurs d'attaque dans une pyramide des risques
Chaque niveau de la pyramide représente différents types d'IOC pouvant permettre de détecter l'activité d'un hacker. Ces indicateurs sont caractérisés par le niveau de risque qu'ils représentent.
On distingue généralement deux catégories d'indicateurs : les IOC traditionnels (valeurs de hachage, adresses IP, noms de domaine), et les IOC basés sur le comportement (artefacts réseau, outils, et les tactiques, techniques et procédures).
Les valeurs de hachage cryptographique représentent le premier niveau de la pyramide, car cet indicateur peut être facilement contourné par l'attaquant. Ces valeurs peuvent être aisément altérées à l'aide de techniques polymorphiques ou antimorphiques.
Les adresses IP sont l'un des indicateurs de compromission les plus courants, mais seuls les hackers débutants utilisent leur propre adresse IP lors d'une attaque. L'usage d'un simple VPN suffit à modifier son IP. De fait, un système défensif reposant uniquement sur la détection d'adresses IP suspectes est très facile à outrepasser.
Les noms de domaines sont le troisième étage de la pyramide des risques. Ils sont plus difficiles à changer qu'une adresse IP, mais un service de système de nom de domaine dynamique (DDNS) ou un algorithme de génération de domaine (DGA) permet de modifier automatiquement un nom de domaine avec des APIs.
Au quatrième étage de la pyramide, on trouve les artefacts réseau : des éléments d'activité distinguant clairement l'activité légitime ou malveillante sur le réseau. Ces artefacts peuvent prendre la forme d'informations de contrôle-commande (C2), de patterns URL ou encore de fichiers. À partir de ces éléments, les équipes de sécurité peuvent exploiter la Threat Intelligence pour retrouver la piste d'un attaquant.
Les outils utilisés par les hackers ne cessent de se moderniser. Ils sont conçus pour détecter des bugs, exécuter du code malveillant, initier des sessions C2, craquer des mots de passe et bien plus encore. Or, priver les attaquants de l'usage de ces outils en bannissant des signatures ou des patterns de trafic peut être très efficace.
Le dernier étage de la pyramide concerne les TTP : tactiques, techniques et procédures. Ces éléments déterminent le comportement d'un hacker, pouvant être analysés par les équipes de sécurité pour mener l'enquête et répondre à une attaque. Il s'agit de la technique la plus handicapante pour les cybercriminels.