La chasse aux menaces est un \u00e9l\u00e9ment essentiel de votre strat\u00e9gie de cybers\u00e9curit\u00e9. Que vous d\u00e9butiez ou que vous soyez dans un \u00e9tat avanc\u00e9, cet article vous aidera \u00e0 acc\u00e9l\u00e9rer votre programme de renseignement sur les menaces.<\/em><\/p>\n L’industrie de la cybers\u00e9curit\u00e9 passe d’une approche r\u00e9active \u00e0 une approche proactive. Au lieu d’attendre les alertes de cybers\u00e9curit\u00e9 puis de les traiter, les organisations de s\u00e9curit\u00e9 d\u00e9ploient d\u00e9sormais des \u00e9quipes rouges pour rechercher activement les failles, les menaces et les risques, afin de pouvoir les isoler. Ceci est \u00e9galement connu sous le nom de “chasse aux menaces”. <\/p>\n La chasse aux menaces compl\u00e8te les contr\u00f4les de s\u00e9curit\u00e9 de pr\u00e9vention et de d\u00e9tection existants. Ces contr\u00f4les sont essentiels pour att\u00e9nuer les menaces. Cependant, ils sont optimis\u00e9s pour une faible alerte de faux positifs. Les solutions Hunt, en revanche, sont optimis\u00e9es pour de faibles faux n\u00e9gatifs. Cela signifie que les anomalies et les valeurs aberrantes qui sont consid\u00e9r\u00e9es comme des faux positifs pour les solutions de d\u00e9tection, sont des pistes de solutions de chasse, \u00e0 investiguer. Cela permet de chasser les menaces pour \u00e9liminer les lacunes existantes entre les solutions de d\u00e9tection. Une strat\u00e9gie de s\u00e9curit\u00e9 solide utilisera les deux types de solutions. Tal Darsan, responsable des services de s\u00e9curit\u00e9 chez Cato Networks, ajoute : \u00ab Dans l’ensemble, la chasse aux menaces est cruciale car elle permet aux organisations d’identifier et de traiter de mani\u00e8re proactive les menaces de s\u00e9curit\u00e9 potentielles avant qu’elles ne causent des dommages importants. Des \u00e9tudes r\u00e9centes montrent que le temps de s\u00e9jour d’une menace dans un r\u00e9seau de l’organisation jusqu’\u00e0 ce que l’auteur de la menace atteigne son objectif final, peut durer des semaines, voire des mois. Par cons\u00e9quent, disposer d’un programme actif de chasse aux menaces peut aider \u00e0 d\u00e9tecter et \u00e0 r\u00e9pondre rapidement aux cybermenaces qui manquent \u00e0 d’autres moteurs ou produits de s\u00e9curit\u00e9.<\/p>\n Un chasseur de menaces commencera par effectuer des recherches approfondies sur le r\u00e9seau, ses vuln\u00e9rabilit\u00e9s et ses risques. Pour ce faire, ils auront besoin d’une grande vari\u00e9t\u00e9 de comp\u00e9tences technologiques en mati\u00e8re de s\u00e9curit\u00e9, notamment l’analyse des logiciels malveillants, l’analyse de la m\u00e9moire, l’analyse du r\u00e9seau, l’analyse de l’h\u00f4te et des comp\u00e9tences offensives. Une fois que leurs recherches auront donn\u00e9 une \u00ab\u00a0piste\u00a0\u00bb, ils l’utiliseront pour contester les hypoth\u00e8ses de s\u00e9curit\u00e9 existantes et tenteront d’identifier comment la ressource ou le syst\u00e8me peut \u00eatre viol\u00e9. Pour prouver\/infirmer leur hypoth\u00e8se, ils lanceront des campagnes de chasse it\u00e9ratives.<\/p>\n En cas de “r\u00e9ussite” de la violation, ils pourraient aider l’organisation \u00e0 d\u00e9velopper des m\u00e9thodes de d\u00e9tection et \u00e0 corriger la vuln\u00e9rabilit\u00e9. Les chasseurs de menaces peuvent \u00e9galement automatiser tout ou partie de ce processus, afin qu’il puisse \u00e9voluer.<\/p>\n Tal Darsan ajoute “MDR (d\u00e9tection et r\u00e9ponse g\u00e9r\u00e9es)<\/b><\/a> Les \u00e9quipes jouent un r\u00f4le essentiel dans la r\u00e9alisation d’une recherche efficace des menaces en fournissant une expertise et des outils sp\u00e9cialis\u00e9s pour surveiller et analyser les menaces de s\u00e9curit\u00e9 potentielles. L’embauche d’un service MDR offre aux organisations un soutien expert en cybers\u00e9curit\u00e9, une technologie de pointe, une surveillance 24 heures sur 24, 7 jours sur 7, une r\u00e9ponse rapide aux incidents et une rentabilit\u00e9. Les fournisseurs de services MDR ont une expertise sp\u00e9cialis\u00e9e et utilisent des outils avanc\u00e9s pour d\u00e9tecter et r\u00e9pondre aux menaces potentielles en temps r\u00e9el.”<\/p>\n Un bon chasseur de menaces doit devenir un expert Open Source INTelligence (OSINT). En effectuant une recherche en ligne, les chasseurs de menaces peuvent trouver des kits de logiciels malveillants, des listes de violations, des comptes clients et utilisateurs, des zero-days, des TTP, etc.<\/p>\n Ces vuln\u00e9rabilit\u00e9s se trouvent dans le Web clair, c’est-\u00e0-dire l’Internet public largement utilis\u00e9. De plus, de nombreuses informations pr\u00e9cieuses se trouvent en fait sur le Web profond et le Web sombre, qui sont les couches Internet sous le Web clair. Lorsque vous entrez dans le dark web, il est recommand\u00e9 de masquer soigneusement votre personnage ; sinon, vous et votre entreprise pourriez \u00eatre compromis.<\/p>\n Il est recommand\u00e9 de passer au moins une demi-heure par semaine sur le dark web. Cependant, comme il est difficile d’y trouver des vuln\u00e9rabilit\u00e9s, la plupart de ce que vous identifiez proviendra probablement des sites Web profonds et clairs.<\/p>\n La mise en place d’un programme de renseignement sur les menaces est un processus important, qui ne doit pas \u00eatre pris \u00e0 la l\u00e9g\u00e8re. Par cons\u00e9quent, il est essentiel de bien \u00e9tudier et planifier le programme avant de commencer sa mise en \u0153uvre. Voici quelques consid\u00e9rations \u00e0 prendre en compte.<\/p>\n Lors de l’\u00e9laboration de votre strat\u00e9gie de chasse aux menaces, la premi\u00e8re \u00e9tape consiste \u00e0 identifier et \u00e0 prot\u00e9ger vos propres joyaux de la couronne. Ce qui constitue les actifs critiques diff\u00e8re d’une organisation \u00e0 l’autre. Par cons\u00e9quent, personne ne peut les d\u00e9finir pour vous.<\/p>\n Une fois que vous avez d\u00e9cid\u00e9 de ce qu’ils sont, utilisez une \u00e9quipe violette pour tester si et comment ils peuvent \u00eatre consult\u00e9s et viol\u00e9s. Ce faisant, vous pourrez voir comment un attaquant penserait afin que vous puissiez mettre en place des contr\u00f4les de s\u00e9curit\u00e9. V\u00e9rifiez en permanence ces contr\u00f4les.<\/p>\n Il existe de nombreuses strat\u00e9gies diff\u00e9rentes de chasse aux menaces que vous pouvez mettre en \u0153uvre dans votre organisation. Il est important de vous assurer que votre strat\u00e9gie r\u00e9pond aux exigences de votre organisation. Exemples de strat\u00e9gies\u00a0:<\/p>\n L’automatisation stimule l’efficacit\u00e9, la productivit\u00e9 et la r\u00e9duction des erreurs. Cependant, l’automatisation n’est pas indispensable pour la chasse aux menaces. Si vous d\u00e9cidez d’automatiser, il est recommand\u00e9 de vous assurer :<\/p>\n Comme toute autre strat\u00e9gie commerciale mise en \u0153uvre, les organisations peuvent atteindre diff\u00e9rents niveaux de maturit\u00e9. Pour la chasse aux menaces, les diff\u00e9rentes \u00e9tapes comprennent\u00a0:<\/p>\n Que vous construisiez votre programme \u00e0 partir de z\u00e9ro ou que vous it\u00e9riez pour am\u00e9liorer celui existant, voici les meilleures pratiques qui peuvent vous aider \u00e0 dynamiser vos activit\u00e9s de chasse aux menaces\u00a0:<\/p>\n D\u00e9terminez les actifs importants dans votre espace de menace. Gardez \u00e0 l’esprit la pens\u00e9e du “joyau de la couronne” qui recommande de cr\u00e9er un inventaire de vos actifs critiques, de v\u00e9rifier le paysage des risques, c’est-\u00e0-dire comment ils peuvent \u00eatre viol\u00e9s, puis de les prot\u00e9ger.<\/p>\n Automatisez tous les processus que vous pouvez, si vous le pouvez. Si vous ne pouvez pas, c’est OK aussi. Vous y arriverez en devenant plus mature.<\/p>\n Se prot\u00e9ger des cyberattaques est tr\u00e8s difficile. Vous ne pouvez jamais vous tromper, alors que les attaquants n’ont besoin de r\u00e9ussir qu’une seule fois. En plus de cela, ils ne respectent aucune r\u00e8gle. C’est pourquoi il est important de construire votre r\u00e9seau et d’obtenir (et de fournir) informations provenant d’autres acteurs et parties prenantes de l’industrie<\/b><\/a>. Ce r\u00e9seau doit inclure des pairs d’autres entreprises, des influenceurs, des groupes et forums en ligne, des employ\u00e9s de votre entreprise d’autres d\u00e9partements, des dirigeants et vos fournisseurs.<\/p>\n La chasse aux menaces signifie passer d’une mani\u00e8re de penser r\u00e9active \u00e0 une mani\u00e8re proactive. Vous pouvez encourager cette r\u00e9flexion en examinant les informations sur les menaces, en suivant les groupes, en essayant des outils et en tirant parti de Purple Teaming pour les tests. Bien que cela puisse sembler contre-intuitif, gardez \u00e0 l’esprit que c’est ainsi que vous prot\u00e9gerez votre organisation. N’oubliez pas que c’est soit vous, soit l’agresseur.<\/p>\n Pour en savoir plus sur les diff\u00e9rents types de pratiques de cybers\u00e9curit\u00e9 et sur la fa\u00e7on de les exploiter pour prot\u00e9ger votre organisation, La s\u00e9rie Cyber \u200b\u200bSecurity Masterclass de Cato Networks est disponible pour votre visionnement<\/b>.<\/a><\/p>\n <\/p>\nQu’est-ce que la chasse aux menaces\u00a0?<\/h2>\n
Pourquoi la chasse aux menaces est-elle n\u00e9cessaire\u00a0?<\/h2>\n
Comment chasser les menaces<\/h2>\n
O\u00f9 rechercher des menaces<\/h3>\n
Consid\u00e9rations pour votre programme Threat Intelligence<\/h2>\n
1. Pens\u00e9e “joyau de la couronne”<\/h3>\n
\n<\/ol>\n
2. Choisir une strat\u00e9gie de chasse aux menaces<\/h3>\n
\n<\/ol>\n
\n
3. Quand utiliser l’automatisation des renseignements sur les menaces<\/h3>\n
\n<\/ol>\n
\n
Le mod\u00e8le de maturit\u00e9 de la chasse aux menaces<\/h2>\n
\n
Meilleures pratiques en mati\u00e8re de renseignements sur les menaces<\/h2>\n
1. D\u00e9finir ce qui est important<\/h3>\n
\n<\/ol>\n
2. Automatisez<\/h3>\n
\n<\/ol>\n
3. Construisez votre r\u00e9seau<\/h3>\n
4. Pensez comme un criminel et agissez comme un acteur mena\u00e7ant<\/h3>\n
\n<\/ol>\n