Ce n’est pas parce qu’un processus est immature ou simple qu’il n’est pas central. La chasse aux menaces est le moteur de la grande majorité des autres fonctions dont le SOC est responsable.
L’inventivité des attaquants est sans limite et le nombre de nouveaux codes malveillants détectés tous les mois ne faiblit pas. En moyenne, entre 350 à 450 000 nouveaux malwares sont détectés par jour selon l’organisme de test indépendant AV-Test. Aucune entreprise n’est désormais épargnée, quelle que soit sa taille ou son secteur d’activité.
Selon le baromètre annuel du CESIN, les cybercriminels usent de techniques variées pour tromper à la fois les utilisateurs et les solutions de sécurité déployées. En tête ? Toujours le phishing et spearphishing mais aussi la fraude au président ou encore l’exploitation de failles comme les vulnérabilités non corrigées des OS et des logiciels ou encore les erreurs de configuration de systèmes.
La longue liste de ces vecteurs illustre la diversité des moyens d’accès possibles à des données ou à des réseaux et infrastructures. Pour autant, les méthodes et outils pour les contrer sont nombreux, à commencer par ce qu’on appelle le « threat hunting » ou la chasse aux menaces.
Du principe de la cyber-résilience aux vertus d’une approche par la chasse aux cybermenaces
Vol ou effacement de données, blocage de site web, déni de service ou usurpations d’identité, détournements de domaines ou cyber espionnage, etc, les conséquences des cyberattaques sur les entreprises sont nombreuses, à commencer par la perturbation des activités de production. Et la multiplication des outils et logiciels rend de plus en plus difficile pour une équipe sécurité la correction rapide des erreurs et failles.
D’où l’importance de superviser un maximum d’informations pour apporter une protection globale et répondre à ces différentes problématiques.
La chasse aux menaces est par définition un processus délibéré utilisant des données contextualisées conçues pour définir les cyber menaces potentielles et les rechercher de manière proactive au sein d’un environnement. Ce processus peut être pris en charge par un ou plusieurs analystes hyper qualifiés rattachés à l’équipe RSSI de l’entreprise, ou encore via un service managé de détection et réponse outsourcé (MDR). Elle inclut une démarche proactive et l’usage d’outils modernes et personnalisés qui permettent de renforcer la cyber résilience et d’éviter de gros dégâts.
Un processus manuel ?
Certains répondront à cette affirmation en disant que leur chasse aux menaces est automatisée… Or, l’automatisation ne peut pas tout.
Il ne faut pas confondre « chasse aux menaces » et « réponse aux incidents » qui est une réaction automatisée, ou non, à une attaque déjà commencée, via deux moyens : des moteurs antimalwares (EPP, Next Gen…) ou via un SOC (Security Operation Center). La chasse aux menaces est plutôt un processus d’investigation au travers d’alertes, lesquelles sont remontées via un SIEM, un EDR (Endpoint Detection and Response) ou un XDR (eXtended Detection and Response).
Les modèles de menaces : atouts et limites
La chasse aux menaces est un cheminement complexe qui, via enquêtes et analyse, permet de comprendre la source et la raison de l’incident afin d’identifier une voie de résolution et de réponse. Elle permet également de détecter des attaques en cours invisibles pour les moteurs antimalwares traditionnels, comme la fuite d’informations sensibles hors du réseau.
La phase d’analyse des attaquants fait partie intégrante de la chasse aux menaces. L’introduction de modèles de menaces, associée à la pyramide des risques de David Bianco, offre une approche « standardisée » éprouvée du processus. Le cadre MITRE ATT&CK, le plus connu, reflète les tactiques et techniques des attaquants observées dans le monde réel.
A ceci près que, en matière d’identité numérique réelle et donc d’attribution, les groupes de hackers utilisent des moyens qui dépassent souvent ceux dont disposent les entreprises.
La phase d’analyse des étapes d’une cyberattaque associe quant à elle deux indices : l’IoA, qui alerte d’une attaque et l’IoC, indicateur de compromission qui détermine si une attaque est en cours et/ou déclenchée.
Si le Dwell Time, autrement dit le « temps d’exposition » pendant lequel un attaquant a un accès non détecté dans un réseau est passé sous la barre des 1 heure, reste que la charge de la remédiation lors d’une attaque avérée pèse lourd. La chasse aux cybermenaces revêt donc un intérêt particulier déterminant dans la préparation des entreprises.
Pour un plan directeur de cyber-résilience
On l’aura compris, la chasse aux menaces est un mix entre intelligence artificielle et intelligence humaine. Il est primordial de déterminer comment les attaquant sont entrés, quels fichiers ils ont utilisé, de quels domaines ou adresses IP ils ont eu besoin pour mener leur attaque ou encore quelles vulnérabilités ils ont exploité pour obtenir des privilèges administrateur.
Même sans conséquence directe sur le business, une cyberattaque peut provoquer des dégâts certes peu visibles mais aux conséquences désastreuses : indisponibilité du site web, perte de chiffre d’affaires, image de l’entreprise auprès de l’écosystème et sur son marché.
C’est pourquoi il est important d’être à jour sur les capacités et les services qui sont essentiels pour devenir une entreprise plus cyber-résiliente et de se poser quelques questions comme : Quels sont les éléments qui présentent des lacunes dans mon ensemble de solutions de sécurité actuel ? Mes fournisseurs manquent-ils de capacités ou de facilité d’utilisation et d’administration ?
L’ambition centrale de toutes les équipes de sécurité opérationnelle devrait être d’améliorer leurs processus de chasse aux menaces. Ce n’est pas parce qu’un processus est immature ou simple qu’il n’est pas central. La chasse aux menaces est le moteur de la grande majorité des autres fonctions dont le SOC est responsable.
