Trouver les acteurs de la menace avant qu’ils ne vous trouvent est essentiel pour renforcer vos cyberdéfense. Comment le faire de manière efficace et efficiente n’est pas une mince tâche – mais avec un petit investissement de temps, vous pouvez maîtriser la chasse aux menaces et faire économiser des millions de dollars à votre organisation.
Considérez cette statistique stupéfiante. Cybersecurity Ventures estime que la cybercriminalité pèsera 10,5 billions de dollars sur l’économie mondiale d’ici 2025. En mesurant ce montant en tant que pays, le coût de la cybercriminalité équivaut à la troisième économie mondiale après les États-Unis et la Chine. Mais avec une chasse aux menaces efficace, vous pouvez empêcher les mauvais acteurs de faire des ravages dans votre organisation.
Cet article offre une explication détaillée de la chasse aux menaces – de quoi il s’agit, comment le faire de manière approfondie et efficace et comment les renseignements sur les cybermenaces (CTI) peuvent renforcer vos efforts de chasse aux menaces.
Qu’est-ce que la chasse aux menaces ?
La chasse aux cybermenaces consiste à recueillir des preuves qu’une menace se matérialise. Il s’agit d’un processus continu qui vous aide à identifier les menaces qui présentent le risque le plus important pour votre organisation et permet à votre équipe de les arrêter avant le lancement d’une attaque.
Protégez votre organisation contre la cybercriminalité coûteuse avec le dernier rapport complet intitulé ‘Chasse aux menaces pour une cybersécurité efficace.’ Téléchargez dès maintenant pour apprendre à planifier, exécuter et évaluer efficacement les chasses aux menaces, en vous assurant que vos systèmes sont renforcés contre l’évolution du paysage des cybermenaces.
La chasse aux menaces en six parties
Tout au long de la chasse, une planification minutieuse et une attention aux détails sont essentielles, ainsi que la garantie que tous les membres de l’équipe suivent le même plan. Pour maintenir l’efficacité, documentez chaque étape afin que les autres membres de votre équipe puissent facilement répéter le même processus.
1 – Organisez la chasse.
Assurez-vous que votre équipe est préparée et organisée en dressant l’inventaire de vos actifs critiques, notamment les terminaux, les serveurs, les applications et les services. Cette étape vous aide à comprendre ce que vous essayez de protéger et les menaces auxquelles ils sont les plus exposés. Ensuite, déterminez l’emplacement de chaque actif, qui a accès et comment l’approvisionnement de l’accès a lieu.
Enfin, définissez vos besoins prioritaires en matière de renseignement (PIR) en posant des questions sur les menaces potentielles en fonction de l’environnement et de l’infrastructure de votre organisation. Par exemple, si vous avez une main-d’œuvre distante ou hybride, ces questions peuvent inclure :
-
À quelles menaces les appareils distants sont-ils les plus vulnérables ?
- Quel genre de preuves ces menaces laisseraient-elles derrière elles ?
- Comment déterminerons-nous si un employé est compromis ?
2 — Planifiez la chasse.
Dans cette phase, vous définirez les paramètres nécessaires en procédant comme suit :
-
Indiquez votre objectif – y compris pourquoi la chasse est nécessaire et sur quelle(s) menace(s) vous devez vous concentrer, comme déterminé par vos PIR. (Par exemple, une main-d’œuvre distante peut être plus sujette aux attaques de phishing dans le cadre d’un modèle BYOD.)
- Définissez la portée – identifiez vos hypothèses et énoncez votre hypothèse en fonction de ce que vous savez. Vous pouvez réduire votre portée en comprenant quelles preuves apparaîtront si la menace que vous recherchez se lance.
- Comprenez vos limites, telles que les ensembles de données auxquels vous pouvez accéder, les ressources que vous devez analyser et le temps dont vous disposez.
- Définissez le calendrier avec un délai réaliste.
- Déterminez les environnements à exclure et recherchez les relations contractuelles qui pourraient vous empêcher d’effectuer la chasse dans des contextes spécifiques.
- Comprendre les contraintes légales et réglementaires que vous devez respecter. (Vous ne pouvez pas enfreindre la loi, même lorsque vous chassez les méchants.)
3 — Utilisez les bons outils pour le travail.
Il existe de nombreux outils pour la chasse aux menaces, en fonction de votre inventaire d’actifs et de vos hypothèses. Par exemple, si vous recherchez un compromis potentiel, les outils SIEM et d’investigation peuvent vous aider à examiner les journaux et à déterminer s’il y a des fuites. Voici un exemple de liste d’options qui peuvent améliorer considérablement l’efficacité de la chasse aux menaces :
- Renseignements sur les menaces – en particulier, les flux automatisés et les portails d’investigation qui récupèrent des renseignements sur les menaces à partir du Web profond et sombre
- Moteurs de recherche et araignées Web
- Informations des fournisseurs de cybersécurité et d’antivirus
- Ressources gouvernementales
- Médias publics – blogs sur la cybersécurité, sites d’actualités en ligne et magazines
- SIEM, SOAR, outils d’investigation et outils OSINT
4 — Exécutez la chasse.
Lors de l’exécution de la chasse, il est préférable de rester simple. Suivez votre plan point par point pour rester sur la bonne voie et éviter les détournements et les distractions. L’exécution se déroule en quatre phases :
- Collecter: il s’agit de la partie la plus laborieuse d’une chasse aux menaces, surtout si vous utilisez des méthodes manuelles pour recueillir des informations sur les menaces.
- Processus: compilez les données et traitez-les dans un format organisé et lisible pour que les autres analystes des menaces puissent les comprendre.
- Analyser: déterminez ce que vos découvertes révèlent.
- Conclusion: si vous trouvez une menace, disposez-vous de données pour étayer sa gravité ?
5 — Conclure et évaluer la chasse.
Évaluer votre travail avant de commencer la prochaine chasse est impératif pour vous aider à vous améliorer au fur et à mesure. Voici quelques questions à considérer dans cette phase :
- L’hypothèse choisie était-elle appropriée à la chasse ?
- Le périmètre était-il suffisamment restreint ?
- Avez-vous recueilli des renseignements utiles ou certains processus pourraient-ils être effectués différemment ?
- Aviez-vous les bons outils ?
- Est-ce que tout le monde a suivi le plan et le processus ?
- Les dirigeants se sont-ils sentis habilités à répondre aux questions en cours de route et ont-ils eu accès à toutes les informations nécessaires ?
6 — Rapportez et agissez sur vos découvertes.
En concluant la chasse, vous pouvez voir si vos données corroborent votre hypothèse – et si c’est le cas, vous alerterez les équipes de cybersécurité et de réponse aux incidents. S’il n’y a aucune preuve du problème spécifique, vous devrez évaluer les ressources et vous assurer qu’il n’y a pas de lacunes dans l’analyse des données. Par exemple, vous pouvez vous rendre compte que vous avez examiné vos journaux pour un compromis, mais que vous n’avez pas vérifié les données divulguées sur le dark web.
Faites passer la chasse aux menaces au niveau supérieur avec CTI
CTI peut être un composant efficace de votre programme de chasse aux menaces, en particulier lorsque les données de renseignements sur les menaces sont complètes et incluent le contexte commercial et la pertinence pour votre organisation. Cybersixgill supprime la barrière d’accès aux sources les plus précieuses de CTI et fournit des capacités d’investigation approfondies pour aider votre équipe à rechercher les cybermenaces potentielles les plus prioritaires.
Notre portail d’investigation vous permet de compiler, gérer et surveiller votre inventaire complet d’actifs sur le Web profond, sombre et clair. Ces renseignements vous aident à identifier les risques et l’exposition potentiels, à comprendre les voies d’attaque potentielles et les TTP des acteurs menaçants pour exposer et prévenir de manière proactive les cyberattaques émergentes avant qu’elles ne soient militarisées.
Pour plus d’informations, veuillez télécharger mon dernier rapport Chasse aux menaces pour une cybersécurité efficace. Pour planifier une démo, visitez https://cybersixgill.com/book-a-demo.
Note: Cet article a été écrit et rédigé de manière experte par Michael-Angelo Zummo, analyste principal du renseignement sur les cybermenaces chez Cybersixgill.