La chasse aux menaces est un élément essentiel de votre stratégie de cybersécurité. Que vous débutiez ou que vous soyez dans un état avancé, cet article vous aidera à accélérer votre programme de renseignement sur les menaces.
Qu’est-ce que la chasse aux menaces ?
L’industrie de la cybersécurité passe d’une approche réactive à une approche proactive. Au lieu d’attendre les alertes de cybersécurité puis de les traiter, les organisations de sécurité déploient désormais des équipes rouges pour rechercher activement les failles, les menaces et les risques, afin de pouvoir les isoler. Ceci est également connu sous le nom de « chasse aux menaces ».
Pourquoi la chasse aux menaces est-elle nécessaire ?
La chasse aux menaces complète les contrôles de sécurité de prévention et de détection existants. Ces contrôles sont essentiels pour atténuer les menaces. Cependant, ils sont optimisés pour une faible alerte de faux positifs. Les solutions Hunt, en revanche, sont optimisées pour de faibles faux négatifs. Cela signifie que les anomalies et les valeurs aberrantes qui sont considérées comme des faux positifs pour les solutions de détection, sont des pistes de solutions de chasse, à investiguer. Cela permet de chasser les menaces pour éliminer les lacunes existantes entre les solutions de détection. Une stratégie de sécurité solide utilisera les deux types de solutions. Tal Darsan, responsable des services de sécurité chez Cato Networks, ajoute : « Dans l’ensemble, la chasse aux menaces est cruciale car elle permet aux organisations d’identifier et de traiter de manière proactive les menaces de sécurité potentielles avant qu’elles ne causent des dommages importants. Des études récentes montrent que le temps de séjour d’une menace dans un réseau de l’organisation jusqu’à ce que l’auteur de la menace atteigne son objectif final, peut durer des semaines, voire des mois. Par conséquent, disposer d’un programme actif de chasse aux menaces peut aider à détecter et à répondre rapidement aux cybermenaces qui manquent à d’autres moteurs ou produits de sécurité.
Comment chasser les menaces
Un chasseur de menaces commencera par effectuer des recherches approfondies sur le réseau, ses vulnérabilités et ses risques. Pour ce faire, ils auront besoin d’une grande variété de compétences technologiques en matière de sécurité, notamment l’analyse des logiciels malveillants, l’analyse de la mémoire, l’analyse du réseau, l’analyse de l’hôte et des compétences offensives. Une fois que leurs recherches auront donné une « piste », ils l’utiliseront pour contester les hypothèses de sécurité existantes et tenteront d’identifier comment la ressource ou le système peut être violé. Pour prouver/infirmer leur hypothèse, ils lanceront des campagnes de chasse itératives.
En cas de « réussite » de la violation, ils pourraient aider l’organisation à développer des méthodes de détection et à corriger la vulnérabilité. Les chasseurs de menaces peuvent également automatiser tout ou partie de ce processus, afin qu’il puisse évoluer.
Tal Darsan ajoute « MDR (détection et réponse gérées) Les équipes jouent un rôle essentiel dans la réalisation d’une recherche efficace des menaces en fournissant une expertise et des outils spécialisés pour surveiller et analyser les menaces de sécurité potentielles. L’embauche d’un service MDR offre aux organisations un soutien expert en cybersécurité, une technologie de pointe, une surveillance 24 heures sur 24, 7 jours sur 7, une réponse rapide aux incidents et une rentabilité. Les fournisseurs de services MDR ont une expertise spécialisée et utilisent des outils avancés pour détecter et répondre aux menaces potentielles en temps réel. »
Où rechercher des menaces
Un bon chasseur de menaces doit devenir un expert Open Source INTelligence (OSINT). En effectuant une recherche en ligne, les chasseurs de menaces peuvent trouver des kits de logiciels malveillants, des listes de violations, des comptes clients et utilisateurs, des zero-days, des TTP, etc.
Ces vulnérabilités se trouvent dans le Web clair, c’est-à-dire l’Internet public largement utilisé. De plus, de nombreuses informations précieuses se trouvent en fait sur le Web profond et le Web sombre, qui sont les couches Internet sous le Web clair. Lorsque vous entrez dans le dark web, il est recommandé de masquer soigneusement votre personnage ; sinon, vous et votre entreprise pourriez être compromis.
Il est recommandé de passer au moins une demi-heure par semaine sur le dark web. Cependant, comme il est difficile d’y trouver des vulnérabilités, la plupart de ce que vous identifiez proviendra probablement des sites Web profonds et clairs.
Considérations pour votre programme Threat Intelligence
La mise en place d’un programme de renseignement sur les menaces est un processus important, qui ne doit pas être pris à la légère. Par conséquent, il est essentiel de bien étudier et planifier le programme avant de commencer sa mise en œuvre. Voici quelques considérations à prendre en compte.
1. Pensée « joyau de la couronne »
Lors de l’élaboration de votre stratégie de chasse aux menaces, la première étape consiste à identifier et à protéger vos propres joyaux de la couronne. Ce qui constitue les actifs critiques diffère d’une organisation à l’autre. Par conséquent, personne ne peut les définir pour vous.
Une fois que vous avez décidé de ce qu’ils sont, utilisez une équipe violette pour tester si et comment ils peuvent être consultés et violés. Ce faisant, vous pourrez voir comment un attaquant penserait afin que vous puissiez mettre en place des contrôles de sécurité. Vérifiez en permanence ces contrôles.
2. Choisir une stratégie de chasse aux menaces
Il existe de nombreuses stratégies différentes de chasse aux menaces que vous pouvez mettre en œuvre dans votre organisation. Il est important de vous assurer que votre stratégie répond aux exigences de votre organisation. Exemples de stratégies :
- Construire un mur et bloquer entièrement l’accès, pour s’assurer que tout ce qui concerne l’accès initial et l’exécution est bloqué
- Construire un champ de mines, en supposant que l’acteur de la menace est déjà à l’intérieur de votre réseau
- Prioriser par où commencer selon le cadre MITRE
3. Quand utiliser l’automatisation des renseignements sur les menaces
L’automatisation stimule l’efficacité, la productivité et la réduction des erreurs. Cependant, l’automatisation n’est pas indispensable pour la chasse aux menaces. Si vous décidez d’automatiser, il est recommandé de vous assurer :
- Avoir le personnel pour développer, maintenir et soutenir l’outil/la plateforme
- Avoir terminé l’entretien ménager de base d’identification et de sécurisation des joyaux de la couronne. Préférable, automatisez lorsque vous êtes à un niveau de maturité avancé
- Avoir des processus facilement reproductibles
- Peut surveiller de près et optimiser l’automatisation afin qu’elle continue à générer une valeur pertinente
Le modèle de maturité de la chasse aux menaces
Comme toute autre stratégie commerciale mise en œuvre, les organisations peuvent atteindre différents niveaux de maturité. Pour la chasse aux menaces, les différentes étapes comprennent :
- Étape 0 – Répondre aux alertes de sécurité
- Étape 1 – Intégration d’indicateurs de renseignements sur les menaces
- Étape 2 – Analyser les données selon des procédures créées par d’autres
- Étape 3 – Création de nouvelles procédures d’analyse des données
- Étape 4 – Automatisation de la majorité des procédures d’analyse de données
Meilleures pratiques en matière de renseignements sur les menaces
Que vous construisiez votre programme à partir de zéro ou que vous itériez pour améliorer celui existant, voici les meilleures pratiques qui peuvent vous aider à dynamiser vos activités de chasse aux menaces :
1. Définir ce qui est important
Déterminez les actifs importants dans votre espace de menace. Gardez à l’esprit la pensée du « joyau de la couronne » qui recommande de créer un inventaire de vos actifs critiques, de vérifier le paysage des risques, c’est-à-dire comment ils peuvent être violés, puis de les protéger.
2. Automatisez
Automatisez tous les processus que vous pouvez, si vous le pouvez. Si vous ne pouvez pas, c’est OK aussi. Vous y arriverez en devenant plus mature.
3. Construisez votre réseau
Se protéger des cyberattaques est très difficile. Vous ne pouvez jamais vous tromper, alors que les attaquants n’ont besoin de réussir qu’une seule fois. En plus de cela, ils ne respectent aucune règle. C’est pourquoi il est important de construire votre réseau et d’obtenir (et de fournir) informations provenant d’autres acteurs et parties prenantes de l’industrie. Ce réseau doit inclure des pairs d’autres entreprises, des influenceurs, des groupes et forums en ligne, des employés de votre entreprise d’autres départements, des dirigeants et vos fournisseurs.
4. Pensez comme un criminel et agissez comme un acteur menaçant
La chasse aux menaces signifie passer d’une manière de penser réactive à une manière proactive. Vous pouvez encourager cette réflexion en examinant les informations sur les menaces, en suivant les groupes, en essayant des outils et en tirant parti de Purple Teaming pour les tests. Bien que cela puisse sembler contre-intuitif, gardez à l’esprit que c’est ainsi que vous protégerez votre organisation. N’oubliez pas que c’est soit vous, soit l’agresseur.
Pour en savoir plus sur les différents types de pratiques de cybersécurité et sur la façon de les exploiter pour protéger votre organisation, La série Cyber Security Masterclass de Cato Networks est disponible pour votre visionnement.