Qu'est-ce que la chasse aux menaces ?

La chasse aux menaces consiste à rechercher les cybermenaces qui pourraient autrement rester indétectées dans votre réseau. Selon Infosec, "la chasse aux cybermenaces peut s'apparenter à la chasse dans le monde réel. Elle requiert un professionnel aux compétences uniques, doté d'une grande patience, d'un esprit critique, d'une grande créativité et d'un sens aigu du repérage des proies, généralement sous la forme d'anomalies du comportement du réseau".

Planifier un démo Read Whitepaper

Qu'est-ce que la chasse aux menaces ?

Il est préférable de supposer que vous avez été compromis

La chasse aux menaces est nécessaire tout simplement parce qu'aucune protection de cybersécurité n'est toujours efficace à 100 %. Une défense active est nécessaire, plutôt que de s'appuyer sur des outils de sécurité "à mettre en place et à oublier".

 

Certaines menaces, telles que "Poisoning the Well", impliquent que les attaquants s'efforcent d'obtenir une persistance à plus long terme dans votre application. Il est essentiel de ne pas être détecté pour que cette attaque réussisse. Malheureusement, la plupart des attaques réussissent à passer inaperçues. Une étude récente réalisée par l' Institut Ponemon pour le compte d'IBM a révélé que le temps moyen nécessaire pour identifier et contenir une violation est de 280 jours.

Définition de la chasse aux menaces

La chasse aux menaces consiste à utiliser des techniques manuelles et logicielles pour détecter d'éventuelles menaces qui ont échappé à d'autres systèmes de sécurité. Plus précisément, les tâches de chasse aux menaces comprennent

 

  1. Recherche des menaces existant au sein de votre organisation, tout ce qu'un attaquant pourrait implanter pour exfiltrer des informations et causer des dommages.
  2. Chasse proactive aux menaces qui se présentent partout dans le monde
  3. Créer un piège et attendre essentiellement que les menaces vous chassent

Le processus de chasse aux menaces

Pour chasser les menaces, vous devez

 

  • Collecter des données de qualité
  • Utilisez des outils pour l'analyser
  • Avoir les compétences nécessaires pour donner un sens à tout cela

 

Le processus commence par la collecte d'une quantité suffisante de données de haute qualité, car des données de mauvaise qualité se traduiront par une chasse aux menaces inefficace. Les données collectées peuvent inclure des fichiers journaux, des serveurs, des appareils de réseau (c.-à-d. des ordinateurs, des ordinateurs portables, etc. pare-feu, commutateurs, routeurs), les bases de données et les postes.

 

Ensuite, les chasseurs de menaces doivent rechercher des modèles et des indicateurs potentiels de compromission (IOC). Si vous effectuez une surveillance, vous devez avoir quelqu'un qui consulte les journaux. Trop souvent, les entreprises n'ont pas suffisamment de ressources et de personnel à consacrer à la surveillance continue de la détection des intrusions. La dernière étape consiste à réagir en conséquence.

Que recherchez-vous ?

Indicateurs de compromission (IOC): Facteurs, y compris les données médico-légales et les fichiers journaux, qui peuvent aider à identifier une activité malveillante potentielle qui s'est déjà produite .

 

Indicateurs d'attaque (IOA): Bien qu'ils soient similaires aux IOC, les IOA peuvent vous aider à comprendre les attaques en cours.

 

Artéfacts basés sur le réseau: Recherchez les communications du logiciel malveillant à l'aide d'outils tels que l'enregistrement de sessions, la capture de paquets et la surveillance de l'état du réseau.

 

Artéfacts basés sur l'hôte: Recherchez le poste et cherchez l'interaction logiciel malveillant dans le registre, le système de fichiers et ailleurs.

Recherche et investigation des indicateurs de compromission et d'attaque

La chasse aux menaces nécessite de savoir ce qu'il faut rechercher et d'identifier tout ce qui n'entre pas dans ce cadre, par exemple

 

  • Trafic irrégulier
  • Activité anormale du compte
  • Modifications du registre et du système de fichiers
  • Commandes utilisées dans les sessions à distance qui n'ont pas été vues auparavant

 

Pour détecter les anomalies, il est important d'avoir d'abord une compréhension de base de l'activité régulière. Une fois les indicateurs détectés, suivez la piste. Cela se fait souvent en établissant une hypothèse, puis en déterminant si chaque COI constitue une menace. Certains CIO peuvent adopter une approche directe et présenter des preuves évidentes. Par exemple, une augmentation du trafic vers un pays avec lequel l'organisation ne fait pas d'affaires. L'étude des CIO peut également impliquer un travail en laboratoire pour reproduire certains types de trafic afin d'examiner leur comportement dans un environnement virtuel.

 

Dans les environnements contrôlés, tels que SCADA, il est plus facile de détecter quelque chose qui sort de l'ordinaire. Alors que les environnements d'entreprise ont souvent un trafic diversifié, ce qui rend la détection plus difficile. Les solutions de sécurité, telles que l'anti-logiciel malveillant, sont plus efficaces contre les codes malveillants qui ont déjà été cartographiés et analysés, alors qu'un code entièrement nouveau est plus difficile à détecter.

 

Alors qu'un excès d'outils peut rendre la chasse aux menaces alambiquée, les outils de gestion de l'information et des événements de sécurité (SIEM) et de corrélation d'événements sont utiles. D'un autre côté, ils peuvent également entraver votre capacité à voir les détails. Une approche unifiée de la sécurité du cloud est idéale.

Conseils pour la chasse aux menaces

Les règles YARA vous permettent de créer des ensembles de règles pour faciliter l'appariement et la reconnaissance des logiciels malveillants. "Avec YARA, vous pouvez créer des descriptions de familles de logiciels malveillants (ou tout ce que vous voulez décrire) basées sur des modèles textuels ou binaires."

 

Les logiciels malveillants sophistiqués se cachent souvent dans quelque chose d'autre pour infiltrer les hôtes de service, tels que les processus Windows que votre système exécute en permanence. S'ils parviennent à injecter un code malveillant, ils peuvent effectuer des opérations malveillantes de manière indétectable. Le registre de Windows est un autre emplacement clé où le logiciel malveillant peut se cacher. Comparez avec le registre par défaut du système et recherchez les éventuels changements.

 

Le niveau de détail dépend des priorités de votre organisation et du degré de liberté de chaque système. La vérification de l'intégrité des processus critiques du système qui sont toujours actifs est une partie importante de l'aspect scientifique de la chasse aux menaces.

Des équipes efficaces

Selon Infosec, "la chasse peut faire appel à des techniques manuelles et à des techniques basées sur des machines. Contrairement à d'autres systèmes automatisés, tels que le SIEM (Gestion de l'information et des événements de sécurité), la chasse implique des capacités humaines pour chasser les menaces avec plus de sophistication".

 

La communication est une caractéristique importante d'une équipe de chasseurs de menaces efficace. Les chasseurs de menaces doivent également être capables de rédiger des rapports et d'informer les autres sur les menaces et les risques. Pour aider la direction à prendre de bonnes décisions sur la base de leurs résultats, les équipes doivent être en mesure de parler de ce qu'elles ont trouvé en termes simples. Dans l'ensemble, la chasse est plus un rôle d'analyste que d'ingénieur.

La chasse aux menaces doit faire partie d'une approche unifiée de la sécurité du cloud

CloudGuard Intelligence and Threat Hunting, qui fait partie de la plateforme CloudGuard Cloud Native Security, fournit des informations forensiques sur la sécurité des menaces en mode cloud grâce à une visualisation machine riche en apprentissages, offrant un contexte en temps réel des menaces et des anomalies dans votre environnement multicloud.

 

CloudGuard ingère les logs et les données d'événements natifs du cloud, fournissant des visualisations contextualisées de l'ensemble de votre infrastructure de cloud public et des analyses de sécurité du cloud, contribuant ainsi à améliorer la sécurité du cloud :

 

  • Réactivité aux incidents (surveillance rigoureuse du cloud) : alertes en réponse à certaines activités dans les réseaux et à certains comportements en provenance des comptes
  • Correction des problèmes dans les réseaux : la configuration et la surveillance du trafic se font en temps réel dans les clouds virtuels privés et dans les réseaux virtuels, y compris dans les éléments éphémères et dans les composantes des plates-formes de cloud natif Amazon AWS, Microsoft Azure et Google Cloud.
  • Conformité : notifications instantanées en cas de violation de la réglementation et d'audit de la conformité
×
  Commentaires
Ce site web utilise des cookies à des fins de fonctionnalité, d’analyse et de marketing. En continuant d’utiliser ce site web, vous acceptez l’utilisation des cookies. Pour plus d’informations, consultez notre Avis concernant les cookies.
OK