Dans le monde de l’infosec, on a l’habitude d’utiliser la notion du 80/20 pour décrire la protection contre les menaces :
- 80% des menaces seront identifiées par les mesures de protection en place (anti-virus, équipe SOC, etc)
- 20% des menaces seront plus avancées et atteindront leurs cibles.
Pour s’occuper des 20% restants, vous pouvez opter pour le déploiement d’une équipe Blue-team. Celle-ci détecte et prévient les attaques, engage et coordonne l’ensemble des métiers dans une dynamique de sécurité et veille sur l’avenir. C’est là qu’intervient le threat hunting
Comprendre le Threathhunting
La chasse aux menaces est une démarche de cybersécurité qui consiste à rechercher activement des signes de menaces potentielles au sein d’un environnement informatique. Contrairement à la détection des menaces automatisée, qui repose sur des systèmes de sécurité traditionnels, la chasse aux menaces implique une analyse humaine et une réflexion approfondie. Les experts en sécurité, souvent appelés « threats hunters » (chasseurs de menaces) explorent les réseaux, les systèmes et les données à la recherche de comportements suspects, d’indicateurs de compromission et d’anomalies. La recherche de ces signaux faibles est primordiale pour prévenir des techniques de plus en plus avancées de la part des attaquants.
Pourquoi le Threat Hunting est essentiel
Se reposer uniquement sur des solutions de sécurité automatisées n’est plus suffisant. Les attaquants évoluent rapidement, employant des techniques toujours plus sophistiquées pour échapper à la détection. Le threat hunting permet d’aller au-delà de la simple réponse aux alertes, en identifiant les menaces qui passent sous le radar des outils traditionnels.
Le Threat Hunting est essentiel pour plusieurs raisons :
- Réactivité insuffisante des systèmes de sécurité automatisés : les systèmes de sécurité automatisés sont importants, mais ils ne sont pas infaillibles. Les attaques sophistiquées peuvent échapper à la détection automatisée. Le Threat Hunting permet d’ajouter une couche de sécurité humaine pour détecter les menaces que les systèmes automatisés pourraient manquer.
- Identification précoce des menaces : le Threat Hunting permet d’identifier les menaces à un stade précoce, avant qu’elles ne puissent causer des dommages considérables. Cela permet une réponse proactive pour minimiser les impacts potentiels.
- Amélioration de la posture de sécurité : en traquant activement les menaces, les organisations peuvent identifier les failles de sécurité et les vulnérabilités potentielles dans leur infrastructure. Cela permet de renforcer la posture de sécurité globale.
- Adaptabilité aux menaces évolutives : les menaces en ligne évoluent constamment. Le Threat Hunting permet de rester à jour avec les dernières tactiques et techniques utilisées par les cybercriminels.
Les Étapes du Threat Hunting
La chasse aux menaces peut être divisée en plusieurs étapes essentielles :
Hypothèse et Investigation : le processus débute par une hypothèse basée sur une connaissance des menaces, des vulnérabilités ou des activités suspectes. À l’aide d’outils et de techniques variés, les chasseurs de menaces explorent les données pour valider ou infirmer cette hypothèse.
Analyse et Identification : les activités suspectes détectées sont analysées pour comprendre leur nature et leur mode opératoire, permettant ainsi l’identification des menaces potentielles.
Neutralisation et Renforcement : une fois les menaces identifiées, des mesures sont prises pour les neutraliser. Les leçons apprises sont ensuite utilisées pour renforcer les mécanismes de défense.
Fonctionnement du Threat Hunting
Le Threat Hunting s’intègre au cœur du dispositif de sécurité informatique d’une entreprise. Son objectif premier est de détecter les menaces présentes mais non identifiées dans l’environnement numérique. Ces menaces représentent les intrusions qui ont réussi à contourner les dispositifs de défense en place.
Approche opérationnelle des Chasseurs de Menaces :
Les chasseurs de menaces scrutent attentivement toutes les données de sécurité. Dès qu’une menace inconnue est repérée, une analyse minutieuse de son fonctionnement est entamée. L’action est rapidement entreprise pour contrer son déploiement et prévenir tout dommage potentiel à l’intégrité de l’entreprise. Parallèlement, ils contribuent à l’élaboration de correctifs de sécurité afin d’éviter la répétition d’incidents similaires.
Implémentation du Threat Hunting au sein des Services de Sécurité Informatique :
Les chasseurs de menaces s’appuient sur des outils d’analyse pour distinguer les menaces connues des menaces inconnues. En cas de menace connue, la résolution peut être dirigée vers les collaborateurs compétents. Cependant, les menaces inconnues relèvent de la responsabilité du chasseur. Celui-ci établit diverses hypothèses, notamment sur les objectifs de l’intrusion, les tactiques d’évolution, et les actions offensives menées par les pirates informatiques.
Les chasseurs de menaces assurent une surveillance continue des menaces cybernétiques. Les informations obtenues alimentent la stratégie de lutte contre les cyberattaques, soumises à des tests visant à les rendre inopérantes.
Outils de Cybersécurité Employés par le Threat Hunting :
Le travail des chasseurs de menaces repose sur deux outils fondamentaux pour l’analyse des données :
La solution de Détection et Réponse Gérées (MDR) : cette solution est un élément clé dans la détection de divers types de menaces. Elle permet également d’initier des actions proactives et rapides pour neutraliser les attaques. En quelque sorte, elle constitue les signaux forts dans la recherche de menaces.
Le Système d’Information et de Gestion des Événements de Sécurité (SIEM) : le SIEM est un système crucial pour la surveillance et l’inspection des événements inhabituels sur les systèmes d’information. De plus, il assure un suivi rigoureux des données de sécurité. On peut considérer le SIEM comme étant un élément déterminant dans la détection des signaux faibles liés aux menaces.
Les Différents Approches du Threat Hunting
La mise en œuvre du Threat Hunting peut varier en fonction des types de menaces ciblées et de l’approche adoptée par les chasseurs. Voici une classification des différentes approches :
Threat Hunting Structurée
Cette méthode repose sur l’utilisation d’indicateurs d’attaque (IoA) et de tactiques, techniques et procédures (TTP) utilisés par les hackers. L’objectif est d’identifier les cybercriminels ainsi que leurs modes opératoires avant qu’ils ne compromettent les données de l’organisation.
Threat Hunting Non Structurée
Dans cette approche, les chasseurs se basent sur des indicateurs de compromission (IoC). Ils exploitent l’ensemble des informations collectées sur la menace pour formuler des hypothèses et élaborer un plan d’action visant à traquer activement la menace.
Threat Hunting axée sur les Entités Vitales du Système d’Information
Lorsque certains éléments du système d’information revêtent une importance critique pour l’entreprise, les chasseurs doivent concentrer leurs efforts sur ces zones. Il est essentiel de définir les entités considérées comme « à haut risque », car elles sont cruciales pour le fonctionnement de l’organisation. Les pirates ciblent souvent les parties du réseau les plus stratégiques, telles que l’administration système, qui leur offrent un accès privilégié aux données sensibles. Ainsi, le Threat Hunting se concentre sur ces zones sensibles pour détecter et neutraliser les menaces potentielles.
Conclusion
La cybersécurité ne consiste pas seulement à réagir aux menaces, mais aussi à les anticiper et à les contrer de manière proactive.
Le Threat Hunting offre aux organisations la possibilité de renforcer leur sécurité en traquant et prévenir activement les menaces avant qu’elles ne causent des dommages graves. En adoptant cette approche, les entreprises renforcent la sécurité de leurs actifs et préservent leur réputation dans un écosystème toujours plus imprévisible et complexe.
Article rédigé par : Maguette Diaw, consultante chez Coralium
Si vous voulez en savoir davantage sur nos offres, en lien avec le sujet de l’article, nous vous proposons de découvrir : L’essentiel de la cybersécurité pour les employés