La cybersécurité s’apparente souvent à un jeu du chat et de la souris. Alors même que les solutions gagnent en efficacité pour bloquer une attaque, les adversaires ont généralement déjà commencé à employer de nouvelles techniques. Selon une étude de Verizon, des menaces sophistiquées se cachent fréquemment sans être détectées pendant des mois, collectant de précieuses informations à voler ou des données à infecter. S’il faut attendre qu’une alerte soit déclenchée par les outils classiques de surveillance des centres opérationnels de sécurité (SOC), il sera peut-être trop tard. La chasse aux menaces peut aider à combattre ces dangers. Plutôt que d’attendre une alerte, il faut partir du principe qu’une menace avancée sévit à l’intérieur du réseau et s’efforcer de la détecter.
Qu’est-ce que la chasse aux menaces ?
Elle est généralement considérée comme « une Réponse à un incident de sécurité informatique avant qu’il ne se déclare ». Au lieu de s’appuyer simplement sur des solutions de sécurité pour la détection des menaces, la chasse aux menaces consiste à rechercher proactivement celles dissimulées sur le réseau.
À la différence des équipes des SOC ou de réponse aux incidents, les chasseurs de menaces ne se contentent pas de réagir aux menaces, ils les recherchent activement. Cette approche consiste à émettre des hypothèses sur l’existence de menaces potentielles, qui sont ensuite soit confirmées soit démenties en fonction des données recueillies lors de leur analyse.
Pourquoi il est nécessaire d’intégrer la chasse aux menaces
En moyenne, il faut 191 jours avant de découvrir que des hackers ont accès au réseau, durée plus que suffisante pour causer des dommages. En d’autres termes, si aucune recherche proactive n’est menée, on ne peut pas savoir que les hackers sont à l’œuvre. La chasse aux menaces par des humains, réduit la probabilité qu’une attaque provoque des dommages dans une entreprise, sur ses systèmes et ses données. La chasse aux menaces limite également la dépendance vis-à-vis de prestataires extérieurs, moins familiarisés qu’une équipe interne au comportement habituel des collaborateurs et aux spécificités du réseau.
Six étapes pour créer un programme efficace de chasse aux menaces
Le programme de chasse aux menaces doit être une combinaison itérative de processus, d’outils et de techniques, évoluant constamment pour s’adapter aux besoins de l’entreprise, qui peut de décliner en six étapes.
- S’assurer de disposer des bonnes données.
Toute chasse aux menaces, pour être concluante, doit partir des bonnes données afin de pouvoir répondre aux bonnes questions. Les outils télémétriques qui capturent, sur des systèmes d’exploitation multiples, un large éventail d’activités et de comportements peuvent servir de base au dispositif. Les données collectées doivent par exemple porter sur des schémas de trafic réseau, l’activité des utilisateurs et du réseau, les activités persistantes, les journaux système et d’événements, les connexions refusées ou encore l’activité des périphériques. Il ne suffit pas de disposer de données brutes : il faut également les placer dans un contexte afin de savoir quelles données combiner, mettre en corrélation ou prolonger. Dans l’idéal, il faut des outils offrant une vue d’ensemble claire de toutes les données de façon à unifier la détection et à réduire au minimum l’analyse manuel de fichiers journaux bruts.
- Dresser un profil de référence afin de savoir ce qui est « normal »
Les chasseurs de menaces ont besoin d’une solide connaissance sur le profil de l’entreprise et les activités susceptibles d’attirer des menaces (recrutement de nouveau personnel, acquisition de nouvelles ressources ou entreprises, …). En résumé, il faut établir un profil de référence « normal » afin de repérer les anomalies. Les auteurs d’attaques tentent en effet souvent de se fondre dans la masse des utilisateurs pour s’approprier leurs identifiants lors de campagnes de phishing. C’est pourquoi il est utile de connaître le comportement typique d’un utilisateur afin d’enquêter sur des accès anormaux aux fichiers ou connexions.
- Élaborer une hypothèse
De nombreuses chasses partent d’une source de renseignements utilisant des indicateurs de compromission (IoC), des valeurs de hachage, des adresses IP, des noms de domaine, … fournis par des sources de données tierces. Cependant, toutes les menaces ne sont pas connues. De fait, un grand nombre d’entre elles sont non répertoriées ; par conséquent, la chasse ne peut pas uniquement compter sur l’utilisation de méthodes connues. Il faut alors procéder par hypothèse et s’attacher à un certain type d’activité susceptible de se dérouler dans un environnement donné. L’emploi d’outils de renseignements ouverts (OSINT) et de frameworks tels que MITRE ATT&CK est efficace si l’on sait quoi chercher.
Pour formuler une hypothèse on peut s’appuyer sur les sources suivantes :
- Framework MITRE ATT&CK : vaste base de connaissances relatives aux tactiques, techniques et procédures d’attaque (TTP).
- Rapports de veille des menaces : ces rapports contiennent de précieuses informations sur les techniques et procédures d’attaque, d’après des incidents réels.
- Blogs, Twitter et conférences : les informations concernant les nouvelles techniques d’attaque apparaissent pour la première fois sur des blogs et lors de conférences de chercheurs, parfois même avant que les auteurs des attaques ne commencent à les utiliser activement.
- Tests de pénétration : les auteurs d’attaques tendent à employer des outils similaires à ceux des testeurs de pénétration chevronnés. Par conséquent, l’étude des pratiques en la matière livre une mine de connaissances pour la formulation d’hypothèses applicables à la chasse aux menaces.
- Rechercher et analyser les menaces potentielles
Une fois l’hypothèse formulée, il faut la vérifier via divers outils et techniques. Si l’hypothèse est avérée et que des preuves d’une activité malveillante sont trouvées, le chasseur de menaces doit immédiatement valider la nature, l’étendue, l’impact et le périmètre de sa découverte.
- Réagir immédiatement pour neutraliser les menaces
Après avoir découvert de nouvelles TTP, il faut neutraliser l’attaque. La réponse doit définir distinctement des mesures à la fois sur le court et le long terme. Le principal objectif est de mettre fin immédiatement à l’attaque en cours afin d’éviter que le système ne soit endommagé. Il est tout aussi essentiel de déterminer la cause de la menace pour améliorer la sécurité et prévenir des attaques similaires dans le futur.
- Enrichir et automatiser les outils en prévision des incidents futurs
La dernière étape consiste enfin à mettre à profit les connaissances acquises pendant la chasse aux menaces pour enrichir et améliorer les systèmes EDR. Les techniques avancées de chasse aux menaces cherchent à automatiser autant de tâches que possible. La surveillance du comportement des utilisateurs et sa comparaison à leurs habitudes en vue de détecter des anomalies, par exemple, s’avère bien plus efficace que l’exécution de requêtes individuelles. Cependant, il est probable que les deux techniques soient nécessaires dans la pratique.
La mise en place d’un programme de chasse aux menaces peut être très bénéfique à l’entreprise, via la découverte proactive d’incidents de sécurité, des temps de réponse plus rapide à ceux-ci et un dispositif de sécurité plus robuste. Une chasse efficace doit, à terme, alléger la charge de travail des analystes tout en protégeant durablement le SOC contre divers adversaires connus ou inconnus.