La chasse aux menaces est importante, car les menaces sophistiquées peuvent contourner la cybersécurité automatisée. Bien que les outils de sécurité automatisés et les analystes des centres d’opérations de sécurité (SOC) de niveaux 1 et 2 soient capables de traiter environ 80 % des menaces, vous devez toujours vous soucier des 20 % restants. Les 20 % de menaces restantes sont plus susceptibles d’inclure des menaces sophistiquées qui peuvent causer des dommages importants. Avec suffisamment de temps et de ressources, elles s’infiltreront dans n’importe quel réseau et éviteront la détection jusqu’à 280 jours en moyenne. Une chasse aux menaces efficace permet de réduire le délai entre l’intrusion et sa découverte, réduisant ainsi la quantité de dégâts causés par les attaquants.
Les attaquants se cachent souvent pendant des semaines, voire des mois, avant d’être découverts. Ils attendent patiemment de siphonner les données et de découvrir suffisamment d’informations confidentielles ou de données d’identification pour débloquer des accès supplémentaires, ouvrant ainsi la voie à une violation de données importante. Combien de dégâts les menaces potentielles peuvent-elles causer ? Selon le rapport « "Cost of a Data Breach »," une violation de données coûte en moyenne près de 4 millions de dollars à une entreprise. Et les effets néfastes d’une violation peuvent persister pendant des années. Plus le délai entre la défaillance du système et la réponse déployée est long, plus cela peut coûter cher à une organisation.
Un programme de chasse aux menaces réussi est basé sur la fertilité des données d’un environnement. En d’autres termes, une organisation doit d’abord avoir un système de sécurité d’entreprise en place, qui collecte des données. Les informations recueillies à partir de celui-ci fournissent des indices précieux pour les chasseurs de menaces.
Les chasseurs de cybermenaces apportent un élément humain à la sécurité de l’entreprise en venant en renfort des systèmes automatisés. Ce sont des professionnels qualifiés de la sécurité informatique qui recherchent, consignent, surveillent et neutralisent les menaces avant qu’elles ne causent de graves problèmes. Idéalement, ce sont des analystes sécurité au sein du service informatique de l’entreprise qui en connaissent bien les opérations, mais il peut également s’agir d’analystes externes.
L’art de la traque des menaces consiste à déceler les inconnues de l’environnement. Cela va au-delà des technologies de détection traditionnelles, telles que la gestion des informations et des événements liés à la sécurité (SIEM), la détection et la réponse des points de terminaison (EDR) et autres. Les chasseurs de menaces passent au peigne fin les données de sécurité. Ils recherchent les logiciels malveillants ou les attaquants cachés et les modèles d’activité suspecte qu’un ordinateur a peut-être manqués ou jugés résolus alors qu’ils ne le sont pas. Ils aident également à corriger le système de sécurité de l’entreprise pour empêcher ce type de cyberattaque de se reproduire.
Les chasseurs commencent par une hypothèse basée sur des données de sécurité ou un déclencheur. L’hypothèse ou le déclencheur servent de tremplin pour un examen plus approfondi des risques potentiels. Et ces investigations plus approfondies prennent la forme de chasses structurées, non structurées et situationnelles.
Une chasse structurée est basée sur un indicateur d’attaque (IoA) et les tactiques, techniques et procédures (TTP) d’un attaquant. Toutes les chasses sont alignées et basées sur les TTP des acteurs de la menace. Par conséquent, le chasseur peut généralement identifier un acteur de menaces avant même que l’attaquant puisse causer des dommages à l’environnement. Ce type de traque utilise le framework MITRE ATT&CK (Adversary Tactics Techniques and Common Knowledge) (lien externe à ibm.com), en combinant à la fois les frameworks PRE-ATT&CK et d’entreprise.
Une chasse non structurée est lancée sur la base d’un déclencheur, l’un des nombreux indicateurs de compromission (IoC). Ce déclencheur incite souvent un chasseur à rechercher des modèles de pré-détection et de post-détection. En guidant sa démarche, le chasseur peut rechercher aussi loin que la conservation des données et les infractions précédemment associées le permettent.
Une hypothèse situationnelle provient de l’évaluation interne des risques d’une entreprise ou d’une analyse des tendances et des vulnérabilités propres à son environnement informatique. Les pistes axées sur les entités proviennent de données d’attaques de sources multiples qui, une fois examinées, révèlent les dernières TTP des cybermenaces actuelles. Un chasseur de menaces peut alors rechercher ces comportements spécifiques dans l’environnement.
La chasse basée sur des renseignements est un modèle de chasse réactif (lien externe à ibm.com) qui utilise les IoC provenant de sources de renseignement sur les menaces. À partir de là, la chasse suit des règles prédéfinies établies par les informations sur la sécurité et la gestion des événements et les renseignements sur les menaces.
Les traques basées sur Intel peuvent utiliser des IoC (indicateurs de compromission), des valeurs de hachage, des adresses IP, des noms de domaine, des réseaux ou des artefacts d’hôte fournis par des plateformes de partage de renseignements telles que les équipes d’intervention d’urgence informatique (CERT). Une alerte automatisée peut être exportée à partir de ces plateformes et saisie dans la solution SIEM (gestion des informations et des événements liés à la sécurité) en tant qu’expression structurée d’informations sur les menaces (STIX) (lien externe à ibm.com) et en tant qu’échange automatisé de confiance d’informations de renseignements (TAXIII) (lien externe à ibm.com). Une fois que la solution SIEM a reçu l’alerte basée sur un IoC, le chasseur de menaces peut enquêter sur l’activité malveillante avant et après l’alerte pour identifier toute compromission dans l’environnement.
La traque aux hypothèses est un modèle de traque proactif qui utilise une bibliothèque de traque des menaces. Elle est alignée sur le framework MITRE ATT&CK et utilise des scénarios de détection mondiaux pour identifier les groupes de menaces persistantes avancées et les attaques par logiciels malveillants.
Les traques basées sur des hypothèses utilisent les indicateurs d’attaque (IOA) et les tactiques, techniques et procédures (TTP) des attaquants. Le chasseur identifie les acteurs de la menace en fonction de l’environnement, du domaine et des comportements d’attaque utilisés pour créer une hypothèse alignée sur le framework MITRE. Une fois qu’un comportement est identifié, le chasseur de menaces surveille les modèles d’activité pour détecter, identifier et isoler la menace. Le chasseur peut alors détecter de manière proactive les acteurs des menaces avant qu’ils ne puissent endommager un environnement.
La chasse personnalisée est basée sur la connaissance de la situation et des méthodologies de chasse sectorielles. Elle identifie les anomalies dans les outils SIEM et EDR et est personnalisable en fonction des besoins des clients.
Les traques personnalisées ou situationnelles sont basées sur les exigences des clients ou exécutées de manière proactive en fonction de situations telles que des problèmes géopolitiques et des attaques ciblées. Ces activités de chasse peuvent s’appuyer sur des modèles de chasse basés sur des renseignements et des hypothèses utilisant les informations IoA et Io.
Les chasseurs utilisent les données MDR, SIEM et des outils d’analyse de sécurité comme base pour la chasse aux menaces. Ils peuvent également utiliser d’autres outils, tels que des analyseurs packer, pour exécuter des recherches basées sur le réseau. Cependant, l’utilisation d’outils SIEM et MDR nécessite que toutes les sources et tous les outils essentiels dans un environnement soient intégrés. Cette intégration garantit que les indices IoA et IoC peuvent fournir une direction de chasse adéquate.
Les MDR appliquent des renseignements sur les menaces et la recherche proactive des menaces pour identifier et corriger les menaces avancées. Ce type de solution de sécurité peut aider à réduire le temps de passage des attaques et à fournir des réponses rapides et décisives aux attaques au sein du réseau.
Combinant la gestion des informations de sécurité (SIM) et la gestion des événements de sécurité (SEM), la gestion des informations et des événements de sécurité (SIEM) offre une surveillance et une analyse en temps réel des événements ainsi qu'un suivi et un enregistrement des données de sécurité. La gestion SIEM permet de découvrir des anomalies de comportement des utilisateurs et d'autres irrégularités qui fournissent des pistes essentielles pour un examen plus approfondi.
L’analyse de la sécurité s’efforce d’aller au-delà des systèmes SIEM de base pour offrir des informations plus approfondies sur vos données de sécurité. En associant les mégadonnées récoltées par la technologie de sécurité à un apprentissage automatique et une IA plus rapides, intégrés et sophistiqués, l’analyse de la sécurité peut accélérer les investigations sur les menaces en fournissant des données d’observabilité détaillées pour la chasse aux cybermenaces.
Le renseignement sur les menaces est un ensemble de données sur les tentatives d’intrusion ou les intrusions réussies, généralement collectées et analysées par des systèmes de sécurité automatisés avec apprentissage automatique et IA.
La chasse aux menaces utilise ce renseignement pour effectuer une recherche minutieuse des acteurs nuisibles à l’échelle de tout le système. En d’autres termes, la chasse aux menaces commence là où s’arrête le renseignement sur les menaces. De plus, une traque aux menaces réussie peut identifier des menaces qui n’ont pas encore été repérées dans la nature.
En outre, la traque des menaces utilise des indicateurs de menace comme pistes ou hypothèses de traque. Les indicateurs de menace sont des empreintes virtuelles laissées par un logiciel malveillant ou un attaquant, une adresse IP étrange, des e-mails de phishing ou tout autre trafic réseau inhabituel.
Améliorez considérablement les taux de détection et accélérez le temps de détection, d’investigation et de résolution des menaces. Découvrez comment démarrer votre propre programme de chasse aux cybermenaces.
IBM Security Managed Detection and Response (MDR) offre une capacité clé en main de prévention, de détection et de réponse aux menaces 24 h/24 et 7 j/7. Les chasseurs de menaces proactifs d’IBM travaillent avec les organisations pour les aider à identifier leurs données précieuses et leurs préoccupations critiques.
Établissez les bases de votre SIEM et développez un programme complet qui peut être complété en fonction de l’évolution de la situation. Identifiez les menaces internes, suivez les unités de points de terminaison, sécurisez le cloud et gérez la conformité avec IBM Security.
La détection des menaces ne constitue que la moitié de l’équation de sécurité. Pour améliorer votre centre d’opérations de sécurité (SOC), vous devriez également envisager une réponse intelligente aux incidents et une plateforme unique et intégrée d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR) avec des services gérés.
Trouvez et corrigez vos vulnérabilités connues et inconnues les plus critiques avec X-Force® Red. Cette équipe autonome de hackers chevronnés travaille avec IBM pour tester votre sécurité et découvrir les faiblesses que les attaquants criminels peuvent utiliser à des fins personnelles.
Lisez les articles dédiés à la traque des cybermenaces, notamment sur le renseignement sur les menaces, les nouvelles tactiques et les défenses.
Qu’est-ce que la MDR et comment aligner votre équipe de sécurité sur les meilleures pratiques ? Découvrez comment un service MDR efficace aide les entreprises à atteindre leurs objectifs, notamment la traque ciblée des menaces.
Comprendre les risques de cyberattaque grâce à une vue globale du contexte des menaces
Le rapport sur le coût d’une violation des données explore les retombées financières et les mesures de sécurité qui peuvent aider votre organisation à éviter une violation de données ou, si celle-ci n’a pas pu être évitée, à en réduire les coûts.
Découvrez comment Dairy Gold a amélioré sa position en matière de sécurité grâce au déploiement d’IBM® QRadar® pour ses fonctions d’intégration et de détection, ainsi qu’IBM BigFix pour la détection et la gestion de points de terminaison.