Qu'est-ce que la chasse aux menaces ?

La chasse aux menaces consiste à rechercher les cybermenaces qui pourraient autrement rester indétectées dans votre réseau. Selon Infosec, "la chasse aux cybermenaces peut s'apparenter à la chasse dans le monde réel. Elle requiert un professionnel aux compétences uniques, doté d'une grande patience, d'un esprit critique, d'une grande créativité et d'un sens aigu du repérage des proies, généralement sous la forme d'anomalies du comportement du réseau".

Planifier un démo LIRE LE LIVRE BLANC

Qu'est-ce que la chasse aux menaces ?

Il est préférable de supposer que vous avez été compromis

La chasse aux menaces est nécessaire tout simplement parce qu'aucune protection de cybersécurité n'est toujours efficace à 100 %. Une défense active est nécessaire, plutôt que de s'appuyer sur des outils de sécurité "à mettre en place et à oublier".

 

Certaines menaces, telles que "Poisoning the Well", impliquent que les attaquants s'efforcent d'obtenir une persistance à plus long terme dans votre application. Il est essentiel de ne pas être détecté pour que cette attaque réussisse. Malheureusement, la plupart des attaques réussissent à passer inaperçues. Une étude récente réalisée par l' Institut Ponemon pour le compte d'IBM a révélé que le temps moyen nécessaire pour identifier et contenir une violation est de 280 jours.

Définition de la chasse aux menaces

La chasse aux menaces consiste à utiliser des techniques manuelles et logicielles pour détecter d'éventuelles menaces qui ont échappé à d'autres systèmes de sécurité. Plus précisément, les tâches de chasse aux menaces comprennent

 

  1. Recherche des menaces existant au sein de votre organisation, tout ce qu'un attaquant pourrait implanter pour exfiltrer des informations et causer des dommages.
  2. Chasse proactive aux menaces qui se présentent partout dans le monde
  3. Créer un piège et attendre essentiellement que les menaces vous chassent

Le processus de chasse aux menaces

Pour chasser les menaces, vous devez

 

  • Collecter des données de qualité
  • Utilisez des outils pour l'analyser
  • Avoir les compétences nécessaires pour donner un sens à tout cela

 

Le processus commence par la collecte d'une quantité suffisante de données de haute qualité, car des données de mauvaise qualité se traduiront par une chasse aux menaces inefficace. Les données collectées peuvent inclure des fichiers journaux, des serveurs, des appareils de réseau (c.-à-d. des ordinateurs, des ordinateurs portables, etc. pare-feu, commutateurs, routeurs), les bases de données et les postes.

 

Ensuite, les chasseurs de menaces doivent rechercher des modèles et des indicateurs potentiels de compromission (IOC). Si vous effectuez une surveillance, vous devez avoir quelqu'un qui consulte les journaux. Trop souvent, les entreprises n'ont pas suffisamment de ressources et de personnel à consacrer à la surveillance continue de la détection des intrusions. La dernière étape consiste à réagir en conséquence.

Que recherchez-vous ?

Indicateurs de compromission (IOC): Facteurs, y compris les données médico-légales et les fichiers journaux, qui peuvent aider à identifier une activité malveillante potentielle qui s'est déjà produite .

 

Indicateurs d'attaque (IOA): Bien qu'ils soient similaires aux IOC, les IOA peuvent vous aider à comprendre les attaques en cours.

 

Artéfacts basés sur le réseau: Recherchez les communications du logiciel malveillant à l'aide d'outils tels que l'enregistrement de sessions, la capture de paquets et la surveillance de l'état du réseau.

 

Artéfacts basés sur l'hôte: Recherchez le poste et cherchez l'interaction logiciel malveillant dans le registre, le système de fichiers et ailleurs.

Recherche et investigation des indicateurs de compromission et d'attaque

La chasse aux menaces nécessite de savoir ce qu'il faut rechercher et d'identifier tout ce qui n'entre pas dans ce cadre, par exemple

 

  • Trafic irrégulier
  • Activité anormale du compte
  • Modifications du registre et du système de fichiers
  • Commandes utilisées dans les sessions à distance qui n'ont pas été vues auparavant

 

Pour détecter les anomalies, il est important d'avoir d'abord une compréhension de base de l'activité régulière. Une fois les indicateurs détectés, suivez la piste. Cela se fait souvent en établissant une hypothèse, puis en déterminant si chaque COI constitue une menace. Certains CIO peuvent adopter une approche directe et présenter des preuves évidentes. Par exemple, une augmentation du trafic vers un pays avec lequel l'organisation ne fait pas d'affaires. L'étude des CIO peut également impliquer un travail en laboratoire pour reproduire certains types de trafic afin d'examiner leur comportement dans un environnement virtuel.

 

Dans les environnements contrôlés, tels que SCADA, il est plus facile de détecter quelque chose qui sort de l'ordinaire. Alors que les environnements d'entreprise ont souvent un trafic diversifié, ce qui rend la détection plus difficile. Les solutions de sécurité, telles que l'anti-logiciel malveillant, sont plus efficaces contre les codes malveillants qui ont déjà été cartographiés et analysés, alors qu'un code entièrement nouveau est plus difficile à détecter.

 

Alors qu'un excès d'outils peut rendre la chasse aux menaces alambiquée, les outils de gestion de l'information et des événements de sécurité (SIEM) et de corrélation d'événements sont utiles. D'un autre côté, ils peuvent également entraver votre capacité à voir les détails. Une approche unifiée de la sécurité du cloud est idéale.

Conseils pour la chasse aux menaces

Les règles YARA vous permettent de créer des ensembles de règles pour faciliter l'appariement et la reconnaissance des logiciels malveillants. "Avec YARA, vous pouvez créer des descriptions de familles de logiciels malveillants (ou tout ce que vous voulez décrire) basées sur des modèles textuels ou binaires."

 

Les logiciels malveillants sophistiqués se cachent souvent dans quelque chose d'autre pour infiltrer les hôtes de service, tels que les processus Windows que votre système exécute en permanence. S'ils parviennent à injecter un code malveillant, ils peuvent effectuer des opérations malveillantes de manière indétectable. Le registre de Windows est un autre emplacement clé où le logiciel malveillant peut se cacher. Comparez avec le registre par défaut du système et recherchez les éventuels changements.

 

Le niveau de détail dépend des priorités de votre organisation et du degré de liberté de chaque système. La vérification de l'intégrité des processus critiques du système qui sont toujours actifs est une partie importante de l'aspect scientifique de la chasse aux menaces.

Des équipes efficaces

Selon Infosec, "la chasse peut faire appel à des techniques manuelles et à des techniques basées sur des machines. Contrairement à d'autres systèmes automatisés, tels que le SIEM (Gestion de l'information et des événements de sécurité), la chasse implique des capacités humaines pour chasser les menaces avec plus de sophistication".

 

La communication est une caractéristique importante d'une équipe de chasseurs de menaces efficace. Les chasseurs de menaces doivent également être capables de rédiger des rapports et d'informer les autres sur les menaces et les risques. Pour aider la direction à prendre de bonnes décisions sur la base de leurs résultats, les équipes doivent être en mesure de parler de ce qu'elles ont trouvé en termes simples. Dans l'ensemble, la chasse est plus un rôle d'analyste que d'ingénieur.

La chasse aux menaces doit faire partie d'une approche unifiée de la sécurité du cloud

Check Point Intelligence and Threat Hunting, part of the Check Point Cloud Native Security platform, provides cloud native threat security forensics through rich, machine learning visualization, giving real-time context of threats and anomalies across your multi-cloud environment.

 

Check Point ingests cloud native log and event data, delivering contextualized visualizations of your entire public cloud infrastructure and cloud security analytics, helping to enhance:

 

  • Réactivité aux incidents (surveillance rigoureuse du cloud) : alertes en réponse à certaines activités dans les réseaux et à certains comportements en provenance des comptes
  • Correction des problèmes dans les réseaux : la configuration et la surveillance du trafic se font en temps réel dans les clouds virtuels privés et dans les réseaux virtuels, y compris dans les éléments éphémères et dans les composantes des plates-formes de cloud natif Amazon AWS, Microsoft Azure et Google Cloud.
  • Conformité : notifications instantanées en cas de violation de la réglementation et d'audit de la conformité