Il est temps de penser comme un chasseur de menaces

Il est temps de penser comme un chasseur de menaces

Nous entendons souvent nos clients ou nos conversations lors de salons professionnels: il serait bien de chasser les cybermenaces, mais il n’ya tout simplement pas assez de temps ou de ressources pour le résoudre efficacement. Les grandes entreprises dotées de budgets de sécurité importants intègrent souvent les cybermenaces de recherche dans le processus de réponse aux incidents ou disposent même d’une équipe de recherche de menaces. Mais pour de nombreuses organisations, il semble difficile de savoir par où commencer.

En dépit de ces défis communs, la recherche de la menace est extrêmement importante dans le cyberespace actuel. Un programme proactif de recherche de cybermenaces peut aider les analystes à découvrir des menaces inconnues dans l’environnement et à mieux comprendre le paysage technique de l’organisation. Mais il reste que la mise en place d’un programme de recherche de menaces proactif et efficace peut constituer un défi pour de nombreuses organisations. Que peuvent-ils faire pour commencer?

5 conseils pour mettre en place un programme de chasse aux menaces

Un nouvel éclairage SANS intitulé «Penser comme un chasseur: mettre en œuvre un programme de recherche de la menace» décrit ce défi et explore comment les organisations peuvent augmenter leur maturité et lancer un programme de chasse à la menace efficace. Le document fournit quelques étapes clés que les équipes de sécurité peuvent suivre pour rendre leur sécurité plus efficace grâce à la recherche de menaces. Voici cinq conseils clés tirés du rapport.

1. Connaître l’ennemi

Il peut sembler évident (et applicable à de nombreux aspects de la vie) d’être déterminé à accomplir votre travail, mais c’est quand même un élément important à retenir pour la chasse aux menaces. Le rapport souligne l’importance de comprendre diverses techniques de piratage et de les appliquer à vos efforts en matière de sécurité. Cela semble être un point de départ crucial car cela rendra les cybermenaces de chasse beaucoup plus concentrées et efficaces.

Une technique d’apprentissage de l’ennemi est souvent appelée équipe rouge. Cela fait des décennies que la communauté du renseignement et les forces armées s’en servent pour penser à l’avance des attaquants. Tandis que le terme “ennemi” dans les contextes militaires et de renseignement pourrait faire référence à un acteur national ou à une menace grave pour la sécurité nationale, le même terme pour le secteur privé pourrait signifier des cybercriminels, des fraudeurs et toute personne attaquant une organisation pour son propre profit.

Penser comme l’ennemi est un moyen efficace de comprendre la surface d’attaque de l’organisation et de trouver des moyens de contrer les attaquants avant qu’ils ne frappent. Tirer parti de ressources telles que les connaissances autorisées, les informations d’incidents précédents et les renseignements externes vous aidera à mieux comprendre votre ennemi.

2. Apprenez ce que vous ne savez pas

Les équipes doivent comprendre un autre point essentiel, qui va de pair avec la compréhension des techniques de cybermenaces : savoir ce que vous savez et ce que vous ne savez pas. Lors du démarrage d’un programme de recherche de menaces, l’équipe doit pouvoir comprendre rapidement ce qui est visible et ce qui ne l’est pas. Cette visibilité est peut-être évidente pour la plupart, mais l’identification des lacunes donnera à l’équipe un moyen plus clair d’explorer l’organisation. Commencez avec ce que vous savez et examinez ce qui est visible, puis revenez aux parties cachées du réseau au fur et à mesure que de nouvelles informations deviennent disponibles. L’équipe peut doubler à mesure que la visibilité augmente, vous donnant un plan solide pour trouver de plus en plus d’informations à mesure que la chasse continue.

Un cadre populaire pour les chasseurs de menaces est le cadre MITRE ATT & K, qui peut vous aider à comprendre les tactiques, les techniques et les procédures (TTP) ainsi que ce qui se passe dans votre réseau. L’utilisation de la structure MITRE ATT & CK profite au centre d’opérations de sécurité (SOC) à bien d’autres égards que de simplement guider une chasse aux menaces. Cela peut également aider les analystes de la sécurité à déterminer la couverture et la capacité de détection (ou leur absence) et l’impact global en utilisant les propres comportements de l’adversaire.

3. Commencer spécifiquement

Une fois que le paysage de l’information a été défini et que l’image connue et inconnue est clairement définie, l’équipe peut commencer à chasser. Le spot SANS recommande de lancer des chasses qui ciblent initialement des attaques spécifiques. De cette façon, vous pouvez examiner un acteur ou une menace en particulier, puis modéliser la chasse suivante en fonction des informations acquises. Ce type d’action délibérée peut permettre de suivre plus rapidement les activités malveillantes et de fournir quelques gains rapides à l’équipe.

De plus, la chasse de cette manière vous offre un cycle complet de chasse à la menace: Identifiez une menace, recherchez les mesures à prendre, atténuez la menace, réfléchissez aux leçons apprises et appliquez-les à leur prochaine chasse. Ce n’est pas une approche finale, mais c’est un bon moyen pour une équipe qui commence à menacer de chasser la menace pour tirer le meilleur parti de ce qui lui est disponible – et cela ne nécessite pas un budget énorme ou une équipe de chasse à part entière.

4. La tête sur un pivot

Nous savons que les attaques évoluent et deviennent de plus en plus complexes. Bien que cela puisse être décourageant du point de vue de la réaction aux incidents, le simple fait de prendre conscience de ce facteur peut constituer un avantage considérable. Lorsque vous lancez une chasse aux menaces, sachez que les informations que vous avez découvertes sur une menace ou un mauvais acteur particulier pourraient changer rapidement et pourraient bientôt devenir obsolètes.

Dans le même temps, les cyber-attaquants peuvent toujours revenir aux anciennes méthodes. Conserver les anciennes informations est également crucial. L’essentiel est que vous devriez toujours avoir la tête sur un pivot et ne pas simplement vous fier aux informations que vous connaissez. Tout comme les angles morts d’une équipe de sécurité, reconnaissez-le et comblez les lacunes lorsque les informations sont disponibles.

5. L’aide est disponible

Une des choses les plus simples mais les plus importantes à retenir est que vous devez tirer le meilleur parti de l’aide disponible. Il ne suffit pas de regarder les données réseau en interne pour réussir un programme de recherche de menaces. Les équipes de chasse doivent être équipées de sources de données externes et d’outils pour valider et enrichir ce qu’elles voient de l’intérieur du réseau, valider rapidement les faux positifs et distinguer les menaces mineures, ponctuelles des plus grandes. N’oubliez pas que votre équipe a la possibilité de faire de l’aide et qu’elle peut faire une énorme différence lorsque vous démarrez le programme. Vous n’êtes pas seul dans cette chasse.

Votre équipe voudra peut-être aussi envisager une aide sous la forme d’une solution individuelle. Un chasseur de menaces doit pouvoir trouver dans sa boîte à outils des solutions lui permettant d’être proactif.

Vous êtes sur le point de devenir un chasseur de menaces

Nous voyons souvent les clients faire de grands progrès et améliorer considérablement leur posture de sécurité globale avec la recherche de menaces. Le passage de trop réactif à plus proactif est certainement important et peut sembler décourageant, mais avec un processus soigneusement construit peut faire toute la différence. En affinant votre processus de cyber-enquête réactive à l’aide de méthodologies de recherche proactive, en ajoutant des exercices de recherche de menace proactifs et en suivant les conseils ci-dessus, votre équipe de sécurité peut mettre en œuvre un programme solide au fil du temps et surmonter les défis posés par la pénurie de main-d’œuvre et le manque de budget.