Qu’est-ce que la chasse aux menaces numériques ? Le guide ultime

La chasse aux menaces informatiques est une approche nouvelle de la détection des menaces qui vise à identifier les menaces informatiques au sein du réseau d’une entreprise avant qu’elles ne causent des dommages. Cela inclut la recherche délibérée de points faibles ainsi que de tout signe d’attaques en cours au sein d’une infrastructure numérique. La chasse aux menaces est plus complexe que la détection passive des menaces et nécessite des processus spécifiques, des solutions et une expertise.

Identifier les cyberattaques sophistiquées n’est pas facile, examinons donc de plus près pour comprendre ce qu’est la chasse aux menaces informatiques dans un environnement SOC réel et comment cela fonctionne. Au-delà de la définition de la chasse aux menaces, nous parlerons d’une routine commune que chaque chasseur de menaces exerce au quotidien.

Avant de nous plonger dans l’apprentissage, assurez-vous de consulter la chronologie des renseignements sur les menaces pour les menaces qui vous intéressent dans notre moteur de recherche de menaces informatiques. Une fois que vous avez toutes les informations nécessaires à portée de main, vous pouvez accéder aux requêtes de chasse aux menaces sur notre plateforme Detection as Code, les modifier dans un navigateur et améliorer votre expérience de chasse grâce à l’intégration transparente avec de nombreux environnements de sécurité que vous pourriez utiliser.

Détecter & Chasser Explorer le contexte des menaces

Comment commencer la chasse aux menaces ?

Les premiers pas dans la chasse proactive aux menaces définissent souvent le succès global. En termes simples, pour trouver une menace, vous devez avoir une idée de ce que vous cherchez. Imaginez une organisation moyenne qui génère environ 20 000 événements par seconde. Cela fait 1 728 000 000 événements par jour. Ensuite, il y a plus de 450 000 échantillons de logiciels malveillants enregistrés quotidiennement. Les algorithmes automatisés ne sont pas une solution idéale lorsqu’il s’agit de trouver des menaces profondément cachées et de nouvelles souches de logiciels malveillants. Alors, combien de personnes en cybersécurité avez-vous besoin pour faire face à de telles données massives ? La vérité est qu’il n’y a jamais assez de spécialistes de la sécurité à moins qu’ils ne réduisent leur recherche de menaces à ce qui compte vraiment. Voyons donc comment identifier la direction principale de la chasse aux menaces.

Conscience situationnelle

À ce stade, les chasseurs de menaces doivent être conscients de l’architecture du système, de l’infrastructure réseau et des configurations des actifs. Une visibilité bien ajustée dans l’écosystème numérique de l’organisation lui permet de passer à des étapes ultérieures de manière tactique et stratégique.

La conscience situationnelle signifie que les chasseurs de menaces connaissent les cibles potentielles des attaquants, ainsi que le niveau actuel de protection. En ce qui concerne les éléments de l’environnement, les chasseurs visualisent également ceux-ci « dans un volume de temps et d’espace, la compréhension de leur signification et la projection de leur statut dans un avenir proche », comme défini par le concept de boucle OODA par le Colonel John Boyd. Pour avoir ce type de visibilité, une configuration correcte des outils et solutions de sécurité est extrêmement importante. Par exemple, sans journalisation des lignes de commande et des scripts PowerShell, il est impossible d’identifier de nombreux types d’attaques graves.

Conscience du paysage de menaces et de la surface d’attaque

Le paysage des menaces informatiques est une vue d’ensemble de toutes les menaces informatiques qui existent actuellement et qui pourraient être dangereuses. Beaucoup d’entre elles sont supposées par les chasseurs de menaces (nous en parlerons dans la section suivante) parce qu’il n’y a pas assez d’informations sur leur fonctionnement, quels sont les objectifs, etc. Pour autant, elles peuvent être invisibles à l’œil du chercheur. Dans certaines sources, vous trouverez que le paysage des menaces est une liste de toutes les menaces connues, mais cette vue est limitée. Il est préférable de reconnaître qu’une partie du paysage des menaces est encore dans l’ombre, mais néanmoins, elle existe. Et les chasseurs de menaces travaillent généralement avec cette partie d’ombre. Une autre caractéristique distincte d’un paysage de menaces est qu’il est dynamique. Il mute et se développe en raison de nombreuses circonstances, c’est pourquoi il est important de toujours suivre les nouvelles, le renseignement et les dernières recherches.

La surface d’attaque est le nombre total de vulnérabilités (connues et zero-day), de mauvaises configurations potentielles et d’anomalies dans l’infrastructure numérique de l’organisation. Aujourd’hui, de nombreuses applications logicielles ont de nombreuses dépendances et sont souvent déployées sur des serveurs cloud, il est donc difficile de définir un périmètre réseau en tant que tel. Par conséquent, la surface d’attaque augmente. En même temps, si vous prenez une imprimante fabriquée il y a 20 ans et connectée à un ordinateur personnel avec un Windows parfaitement à jour et sans connexion Internet, elle a une surface d’attaque plus faible. Bien entendu, il est compréhensible que la surface d’attaque augmente exponentiellement avec la complexité du réseau. Et n’oublions pas que les menaces existent même en l’absence de vulnérabilités. C’est pourquoi le NIST recommande de construire des infrastructures numériques qui sont sécurisées par conception.

Priorisation des risques

Il existe de nombreuses approches pour créer et maintenir une gestion des risques cybersécuritaires. Les organisations utilisent des cadres du NIST, ISO 270001, DoD, et plus encore. En fin de compte, il s’agit de définir les risques applicables à un contexte commercial particulier, de les prioriser, de définir un appétit au risque, de documenter des plans de mitigation, et de réviser régulièrement leur efficacité.

Quel est le lien entre la gestion des risques et la chasse aux menaces ? C’est là que tout commence. Par exemple, sur 100 % des motifs à risque, 50 % sont corrigés, 30 % ne sont pas applicables en raison de la configuration du réseau, 10 % sont gérés par des solutions de sécurité automatisées, et 5 % sont remédiés manuellement. Ce qui reste, c’est 5 % des risques inconnus. C’est là que commence la chasse aux menaces.

Quelles sont les étapes de la chasse aux menaces ?

Les chasseurs de menaces sont ceux qui font face à des menaces inconnues, alors une fois qu’ils ont quelque chose de suspect sur lequel travailler, ils commencent les étapes de la chasse aux menaces. Identifier la suspicion elle-même exige également beaucoup de connaissances de domaine et d’expérience. Par exemple, quelque chose qui ressemble à une attaque DDoS pourrait très bien être simplement plusieurs ordinateurs sur le réseau qui démarrent en même temps. Ainsi, pour éviter de prendre la mauvaise direction, chaque étape de la chasse aux menaces doit être bien pensée. En général, nous pouvons esquisser trois étapes.

Générer une hypothèse de chasse aux menaces

The L’hypothèse de chasse aux menaces vient en premier, tout comme dans tout autre type de travail de recherche. Plongez dans notre guide sur les exemples d’hypothèses de chasse aux menaces informatiques si vous souhaitez en savoir plus. Rappelez-vous, même si votre hypothèse s’avère fausse, vous obtenez tout de même une information précieuse pour vos recherches futures. Par exemple, vous avez supposé que certains des agents utilisateurs HTTP rares étaient malveillants, mais ensuite vous avez découvert qu’ils ne l’étaient pas. C’est bien, maintenant vous avez une meilleure conscience situationnelle de ce qui se passe au sein de l’entreprise. D’ailleurs, challenger vos hypothèses et les comparer avec des alternatives peut être plus utile qu’une approche « satisfaisante » lorsque vous voulez seulement vous prouver raison et ne reconnaissez pas les parties manquantes.

Effectuer des tests & analyses

Maintenant que l’hypothèse est formulée, il est temps de la tester. Les chasseurs de menaces peuvent utiliser différents outils de chasse aux menaces car il existe de multiples façons de tester leurs hypothèses. Ils peuvent rechercher un comportement spécifique dans les journaux système, tester des échantillons de logiciels malveillants dans un environnement émulé, examiner le flux de données réseau, etc. La partie la plus difficile est de trouver un moyen de détecter ce que vous recherchez. Disons que vous voulez effectuer une détection de signaux de balisage, mais votre réseau utilise le chiffrement DNS sur HTTPS, il y a des astuces que vous devriez connaître. Trouver des signaux malveillants, dans ce cas, est possible, mais certaines configurations système pourraient vous empêcher de réussir votre recherche, entraînant des faux négatifs.

La partie analyse est la plus intéressante car il existe de multiples façons de travailler avec les données. Parfois, il est préférable d’utiliser des algorithmes mathématiques comme l’analyse factorielle, mais parfois il est mieux de visualiser les menaces. Il existe de nombreux outils de modélisation des menaces. Par exemple, TypeDB est souvent utilisé par les chasseurs de menaces. Vous pouvez également opter pour des graphiques, des diagrammes et des diagrammes qui sont particulièrement amusants si vous voulez trouver des éléments aberrants. Si vous pouvez programmer des graphiques de distribution, des écarts-types, des boîtes à moustaches, des diagrammes de dispersion, des forêts d’isolement et détecter des motifs, ce type d’analyse pourrait donner d’excellents résultats.

Cependant, tout ce qui est automatisé fonctionne rarement bien avec des données non numériques. L’apprentissage automatique est bon pour identifier les différences sans plonger dans le contexte (peut-être à l’exception de Naïve Bayes, qui est bon pour le contenu textuel).

À un certain point, il est nécessaire d’ajouter un élément humain à la chasse aux menaces. Lorsque ce moment vient, essayez le modèle Diamond d’analyse des intrusions et la chasse basée sur les TTP. Si l’examen manuel prendrait une éternité en raison d’un large ensemble de données, des outils comme Clearcut pourraient être utiles. Ensuite, connaissez les habitudes de vos utilisateurs et ajoutez une touche d’inspiration. Les sujets d’apprentissage tels que les statistiques, la science des données, ou même la psychologie cognitive enrichiront votre expérience de chasse.

Remédier

Service de chasse aux menaces

Les vulnérabilités connues peuvent être corrigées. Cette partie est peut-être plus facile. Cependant, il est difficile de surveiller toutes sortes de correctifs sur tous types d’actifs. Certains de ces derniers n’aiment pas du tout les correctifs, comme les serveurs fortement chargés qui doivent fonctionner 24/7, et toute maintenance provoque des fluctuations dans les opérations commerciales. Ces correctifs doivent être correctement planifiés. Autrement, les équipes SOC peuvent explorer des options de correctif sans interruption (ZDP).

Les cas difficiles nécessitent une approche unique, ils sont donc généralement traités manuellement. En général, la réponse aux incidents peut inclure de nombreuses actions différentes. La formation à la certification de la chasse aux menaces

comprend généralement la théorie et la pratique sur ceux-ci. Au-delà de la remédiation efficace, il est parfois nécessaire d’effectuer une récupération de données. Dans le cadre de la défense proactive contre les menaces, les membres du SOC améliorent la protection des systèmes en fonction des prévisions des chasseurs de menaces. Si une menace est bénigne, ils peuvent aussi bien ne rien faire à ce sujet.

L’externalisation des services est assez courante dans le domaine informatique, alors pourquoi ne pas externaliser les services de chasse aux menaces ? Si l’embauche de spécialistes de la sécurité de l’extérieur est bénéfique pour une stratégie à long terme, aide à décharger une partie de la charge de travail excessive de l’équipe interne et offre beaucoup de valeur pour le prix négocié, alors il est judicieux de le faire.

De nombreux fournisseurs proposent des services de chasse aux menaces en complément de leur logiciel, comme IBM, CrowdStrike, Verizon, ESET et Palo Alto Networks. Les ingénieurs de sécurité de SOC Prime fournissent une vérification d audit SIEM avec une couverture MITRE ATT&CK®. Ils peuvent vous aider à identifier les problèmes de configuration, les erreurs et les facteurs limitants à travers les divers produits de sécurité que vous pourriez utiliser. Après l’audit initial, ils peuvent effectuer des services de sécurité gérés, tels que :

• Nettoyage SIEM
• Réduction des coûts de stockage
• Ajustement de contenu
• Filtrage des sources de journalisation & feuille de route
• Optimisation des performances
• Alignement MITRE ATT&CK®
• Dimensionnement de l’architecture et optimisation des coûts holistique
• Plan de formation en compétences spécialisées
• Augmentation de la technologie
• Transformation des processus
• Alignement du budget et des parties prenantes
• Feuille de route pour l’évolution

Toutes ces améliorations agissent à différents niveaux, de l’opérationnel au stratégique, aidant les chasseurs de menaces à détecter les menaces cachées.

Types de chasse aux menaces

Les chasseurs de menaces reconnaissent trois différents types de chasse en cybersécurité pour partager les responsabilités et atteindre plus efficacement leurs objectifs. Les techniques de chasse aux menaces peuvent être les mêmes dans différents types de chasse aux menaces ou différer en fonction de la complexité du pipeline CI/CD de la sécurité.

Structurée

La chasse aux menaces structurée est basée sur les Indicateurs d’Attaque (IoA), qui sont eux-mêmes basés sur les Tactiques, Techniques et Procédures (TTP) adverses de MITRE ATT&CK®. C’est le sommet de la pyramide de la douleur de David Bianco. Le but d’une vue aussi granulaire des chaînes de destruction est de traquer les attaquants avant qu’ils ne s’en rendent compte (c’est-à-dire leur causer beaucoup de douleur).

Les TTPs sont amusants car une technique en entraîne inévitablement une autre. C’est comme si vous trouviez Discovery, cherchez Execution. Si vous trouvez Execution, cherchez Persistence, et ainsi de suite. Si une certaine technique a été utilisée, vous savez certainement de quelles sources de données vous avez besoin et où vous allez chercher dans ces sources. En général, la chasse aux menaces structurée est bonne pour détecter les exploits zero-day lorsqu’il n’y a pas d’indicateurs sûrs.

Non structurée

Un événement suspect ou une série d’événements peuvent déclencher une chasse non structurée. Pour obtenir plus de contexte, un chasseur de menaces informatiques souhaite rassembler toutes sortes d’informations. Que s’est-il passé avant et après le déclencheur ? Que s’est-il passé d’autre ? Ces événements sont-ils corrélés, et comment ? Ils veulent répondre à toutes ces questions.

Gardez à l’esprit que les indicateurs de compromis (IoC) peuvent s’étendre bien au-delà des URL, des noms de domaine et des adresses IP. En fait, de nombreux types d’événements anormaux sont assez tangibles. Vous pouvez obtenir leurs identifiants via le renseignement sur les menaces et/ou à partir des journaux internes.

Pour la liste complète de ce que le renseignement sur les menaces peut offrir, consultez la liste des objets cyber-observables STIX. Quant aux sources internes, par exemple, Sysmon journalise les processus, les sessions, les connexions réseau, etc. Ces journaux incluent des GUID (identificateurs uniques au monde). Par conséquent, une règle de chasse aux menaces bien conçue peut utiliser des valeurs identifiables qui représentent un compromis tel que :

• Volumes de lecture de base de données anormaux
• Trafic entrant et sortant suspect
• Modifications suspectes des fichiers système
• Et bien plus encore

Comme vous le verrez, toute chose anormale est soit trop petite soit trop grande. Des lignes de commande trop longues, des chaînes trop petites (obfusquées), trop de noms DNS avec trop de chiffres et de lettres, etc. Généralement, les ingénieurs en sécurité automatisent la détection de tout cela en établissant des bases et des seuils dans le SIEM. Alors, pourquoi déranger les chasseurs de menaces, vous demanderiez-vous ? Parce qu’il est surprenant de voir à quel point les IOC de ce genre sont facilement négligés. Par exemple, les noms de domaine suspects passent par un serveur proxy DNS, et l’équipe SOC ne les voit tout simplement pas. Cela signifie qu’il est temps de chasser.

Pour plus d’efficacité, les chasseurs de menaces peuvent se diviser en niveaux 1, 2, 3, tout comme les analystes. Alors que le premier groupe effectue une chasse aux menaces en cybersécurité en temps réel, le second groupe explore les TTP, et le troisième travaille sur une analyse avancée avec des outils d’apprentissage automatique, des mathématiques et de la science des données. Selon le modèle de maturité de chasse d’une entreprise, cette tactique de défense peut être viable ou non.

Situationnelle

La chasse aux menaces situationnelle peut provenir de deux principaux types de sources : internes et externes. Les sources internes incluent des éléments tels que l’évaluation régulière des risques, l’analyse des Bijoux de la Couronne, et d’autres considérations de votre infrastructure et de votre trafic uniques. Les sources externes sont le renseignement sur les menaces, les nouvelles, les flux de vulnérabilités et les résultats de la recherche.

Alors que le renseignement sur les menaces au niveau de l’entreprise est une source principale de sensibilisation aux menaces situationnelles, les sources alternatives sont également à la mode. Par exemple, Twitter est bon pour savoir ce qui se passe dans le monde du cyber. Consultez ces comptes :

• Trafic des logiciels malveillants
• Tendances CVE
• Renseignement sur les menaces

Au-delà de Twitter, il existe de nombreuses autres sources qui valent la peine d’être explorées. Le renseignement sur les menaces open source extrait des tonnes de données intéressantes qui valent la peine d’être chassées. De plus, de nouvelles requêtes et recherches sont toujours disponibles dans un module Quick Hunt sur la plateforme SOC Prime Detection as Code. Elles ne nécessitent pas une préparation et une expérience approfondies, ce qui est bien pour les chasseurs de menaces juniors.

Quelle est la différence entre la chasse aux menaces et le renseignement sur les menaces ?

En termes simples, le renseignement sur les menaces est de l’information utile, et la chasse aux menaces consiste à donner un sens à cette information. Les chasseurs de menaces recherchent activement les adversaires au sein du réseau d’une organisation. Ils utilisent les flux de renseignement sur les menaces comme une entrée pour déclencher leurs processus de chasse.

Certaines plateformes de chasse aux menaces comme SOC Prime Detection as Code incluent le contexte de renseignement sur les menaces ainsi que d’autres types de fonctionnalités utiles comme la capacité de découvrir et d’éditer des règles puis de les déployer dans un environnement SIEM, EDR/XDR ou SOAR. Il est nécessaire de surveiller en permanence les flux de renseignement sur les menaces car ils contiennent les dernières informations sur les menaces informatiques découvertes sur différents réseaux privés et publics.

Pourquoi la chasse aux menaces est-elle importante ?

Les menaces sophistiquées ne sont pas faciles à détecter. Qu’il s’agisse de vivre sur la terre ou d’éviter la détection pendant des mois, les logiciels malveillants modernes ont leurs moyens de contourner les contrôles de sécurité traditionnels. La chasse aux menaces en cybersécurité est importante car elle améliore la visibilité des logiciels malveillants avancés et aide à éviter les dommages qu’ils pourraient causer. La chasse aux menaces préemptive est officiellement suggérée par la CISA et le FBI.

Les chasseurs de menaces contribuent à l’amélioration des défenses cybersécuritaires dans leur ensemble car ils agissent en tant que chercheurs de menaces. En appliquant tout un éventail de connaissances techniques et scientifiques, les chasseurs décomposent les échantillons de logiciels malveillants et les étapes des chaînes de destruction pour comprendre leur fonctionnement. Et lorsqu’une telle compréhension est acquise, il devient possible de développer des méthodes plus sophistiquées de détection et de réponse aux menaces.

Rejoignez SOC Prime Detection as Code la plateforme pour accéder à des milliers de requêtes de chasse en cybersécurité qui anticipent les attaques les plus récentes. Renforcez votre pipeline SOC avec des règles basées sur Sigma qui sont traduites dans de nombreux formats spécifiques aux fournisseurs et peuvent être déployées instantanément dans un environnement SIEM. Et si vous avez vos propres connaissances d’expert, vous êtes encouragé à partager vos éléments de détection dans notre initiative mondiale de crowdsourcing, Programme Threat Bounty, où les ingénieurs en sécurité et les chercheurs renforcent la défense collaborative et reçoivent des paiements répétés pour leurs efforts.