Threat Hunting Pérennisez votre SOC et développez votre activité

La chasse aux menaces part du principe qu’un attaquant s’est déjà introduit dans l’environnement. Les chasseurs de menaces commencent par formuler une hypothèse sur les différents risques susceptibles de porter atteinte à l’environnement. Après avoir effectué une enquête plus approfondie sur les menaces potentielles et confirmé l’hypothèse de départ le cas échéant, ils doivent alors mettre en place une réponse adaptée pour contrer les menaces et remédier aux changements ou dommages qui ont été causés.

Pour identifier un comportement suspect ou une valeur atypique, il est essentiel de savoir comment l’environnement fonctionne en temps normal et d’avoir une bonne compréhension des éléments suivants :

• Tactiques, techniques et procédures d’attaque (TTP) utilisées par les attaquants.
• Points les plus vulnérables de votre environnement.
• Sources d’informations fiables sur les indicateurs de compromission courants et récents.

Voici six astuces pour se lancer dans la chasse aux menaces.

Pour mener à bien la chasse aux menaces, il faut disposer au préalable d’une visibilité sur les points de terminaison, de renseignements sur les menaces et de compétences en matière de sécurité. Alors que la dernière condition exige un certain niveau de connaissance et d’expertise, les deux premiers critères peuvent être remplis au moyen d’outils automatisés.

Aujourd’hui, les chasseurs de menaces font appel à différents outils : détection et réponse aux menaces sur les points de terminaison (EDR), détection et réponse étendues (XDR), gestion des informations et des événements de sécurité (SIEM), systèmes de détection/prévention des intrusions (IDS/IPS) et/ou outils sur mesure utilisant des scripts, PowerShell, etc. Ils ont également recours à des outils d’analyse de la sécurité basés sur l’intelligence artificielle (AI) et l’apprentissage automatique (ML).

Ces types d’outils peuvent les aider à :

• assurer la visibilité requise en recueillant et centralisant des données de télémétrie sur les points de terminaison (c’est-à-dire l’éventail des activités et comportements sur les systèmes d’exploitation : modèles de trafic réseau, activités du réseau, activités des utilisateurs, informations de hachage de fichier, opérations sur les fichiers, journaux d’événements et système, connexions refusées, activités des périphériques, et ainsi de suite)
• mettre en corrélation les données et les différents événements pour comprendre le contexte de la menace potentielle
• surveiller, analyser et signaler les événements de sécurité en temps réel
• effectuer un suivi des attaques de bout en bout et agir en conséquence.

Les chasseurs de menaces peuvent également valider des hypothèses ou se faire une idée du type de menace à traquer grâce aux renseignements sur les menaces provenant de flux open-source, de fournisseurs spécialisés ou de leurs propres éditeurs de solutions de sécurité.

La chasse aux menaces complète idéalement ces outils, car elle permet de rechercher, dans votre environnement, des indicateurs de compromission (IOC), ainsi que des tactiques, techniques et procédures couramment employées par les cybercriminels.

MITRE ATT&CK® est une base de connaissances accessible dans le monde entier, destinée aux professionnels de la sécurité du secteur privé ou public et de la communauté des produits et services en lien avec la cybersécurité. L’environnement ATT&CK, acronyme anglais pour « Tactiques adverses, techniques et connaissances communes », fait office de langage commun pour décrire les comportements adverses classés par tactiques et techniques, sur la base d’observations concrètes.

La matrice des tactiques, techniques et procédures d’attaque (TTP) MITRE ATT&CK est une source précieuse d’informations et de conseils pour les chasseurs de menaces. Elle leur permet de comprendre le mode opératoire et les motivations des cybercriminels, d’identifier les tactiques et techniques utilisées lors d’une attaque, de caractériser la nature de l’attaque et de déterminer la meilleure façon de répondre à ce type de menace.

La fonctionnalité Threat Hunting de N‑able EDR, basée sur la technologie SentinelOne®, se réfère aux attaques répertoriées dans l’environnement MITRE ATT&CK pour fournir le contexte d’une attaque et des indicateurs immédiats aux analystes. Les analystes peuvent rechercher des tactiques et des techniques dans l’environnement MITRE ATT&CK, ainsi que divers autres indicateurs de compromission, afin de repérer et neutraliser les comportements malveillants ou suspects sur les points de terminaison d’un réseau avant que les attaquants aient le temps de passer à l’action ou d’atteindre leur but.

La chasse aux menaces préventive permet d’accélérer les temps de réponse aux incidents, de réduire la charge de travail des équipes IT et de renforcer les opérations de sécurité avec davantage de visibilité sur les nouvelles menaces. Que vous utilisiez un SOC en interne ou preniez en charge la cybersécurité de vos clients, la chasse aux menaces est une fonctionnalité précieuse pour compléter judicieusement votre pile de sécurité. 

Lorsque votre entreprise utilise un SOC, la chasse aux menaces permet d’améliorer la détection et la réponse. De même, si vous proposez des services de sécurité à vos clients, cette fonctionnalité peut enrichir votre offre de services et contribuer à protéger les utilisateurs des menaces avancées. 

Des solutions telles que N‑able EDR et sa fonctionnalité Threat Hunting vous dotent des outils nécessaires pour créer ou renforcer un programme de chasse aux menaces, que vous soyez membre d’une équipe IT en interne, MSP ou MSSP.