Qu’est-ce que la chasse aux menaces ?
Qu’elles soient logicielles ou humaines, les menaces malveillantes ne déclarent pas leur présence. Les outils de cybersécurité doivent rechercher les logiciels malveillants, les intrus et les initiés malveillants et il existe toute une gamme de techniques qui peuvent être utilisées à cette fin.
Chaque fournisseur de logiciels de sécurité a une technique privilégiée et s’y tient car elle fonctionne. Bien qu'il existe plusieurs chasse aux menaces stratégies, il n’existe pas de classement – il n’y en a pas une qui soit universellement considérée comme meilleure que les autres. Nous examinerons les principales méthodes de détection des menaces et expliquerons leur fonctionnement.
Terminologie de la chasse aux menaces
Comme toute discipline informatique, la cybersécurité et la chasse aux menaces ont leur propre terminologie. Voici quelques-uns des termes importants que vous devez connaître lorsque vous étudiez la chasse aux menaces :
- EDR – Détection et réponse des points de terminaisonSurveille les points finaux (ordinateurs de bureau, serveurs, appareils mobiles, gadgets IoT) pour détecter les menaces et met en œuvre des réponses automatisées en cas de détection
- XDR – Détection et réponse étenduesUn ensemble d'outils de sécurité qui se combinent pour fournir une détection des menaces et une réponse automatisée. Les principaux éléments doivent être livrés par SaaS.
- IDS – Système de détection d’intrusionIl s'agit d'un package de chasse aux menaces qui fonctionne soit sur les fichiers journaux dans le cas des IDS basés sur l'hôte (HIDS), soit sur les données de surveillance d'activité en direct dans le cas des IDS basés sur le réseau (NIDS).
- IPS – Système de prévention des intrusionsUn IDS avec des règles de réponse automatisées.
- SIEM – Gestion des informations et des événements de sécuritéRecherche les fichiers journaux et les données de surveillance du réseau et déclenche une alerte en cas de détection de menaces. Il s'agit d'une combinaison de gestion des informations de sécurité (SIM), qui est un HIDS, et de gestion des événements de sécurité (SEM), qui est un NIDS.
- SOAR – Orchestration et réponse de la sécuritéÉchanges de données entre logiciels de sécurité qui émettent soit des informations sur les menaces, soit des instructions de réponse.
- SOC – Centre des opérations de sécuritéUn centre de données qui assure la surveillance et la gestion des logiciels de sécurité, en ajoutant une analyse humaine spécialisée.
- C TI – Intelligence sur les cybermenacesDonnées sur les attaques qui ont eu lieu ailleurs et comment elles se sont déroulées. Il peut également s'agir d'un avertissement concernant une fuite de données ou de discussions sur des sites de pirates informatiques indiquant qu'une attaque imminente contre un pays, un secteur, une entreprise ou un individu est probable.
- IoA – Indicateur d’attaqueSigne qu'une attaque est en cours. Il s’agirait de la découverte d’un email de phishing ou d’une pièce jointe infectée. Une tentative de connexion RDP ou des tentatives de connexion infructueuses excessives pour un compte sont d'autres signes qu'une attaque est en cours.
- IoC – Indicateur de compromissionUn vestige d'une attaque récente. Ceux-ci peuvent être formulés en une séquence de facteurs, de signatures de logiciels malveillants et d'adresses malveillantes. Ils sont communiqués sous forme de renseignements sur les menaces. Cependant, de petites variations dans les méthodes peuvent contrecarrer la détection.
- TTP – Tactiques, techniques et procéduresStratégies de menace communiquées sous forme d’avertissements dans les flux de renseignements sur les menaces. Ils détaillent l’activité récemment détectée d’un groupe de pirates informatiques, comme le nom du groupe et ses méthodes d’enquête, ainsi que l’intrusion.
- UBA – Analyse du comportement des utilisateursLe suivi de l'activité par compte mamelle qui établit un modèle de comportement normal. Cela fournit une base de référence pour la détection des anomalies, qui recherche les écarts par rapport au comportement standard du compte utilisateur.
- UEBA – Analyse du comportement des utilisateurs et des entitésIdentique à UBA mais avec un enregistrement de l'activité standard sur un appareil, qui est généralement un point final.
Sources de données de chasse aux menaces
La chasse aux menaces peut se dérouler à deux niveaux : dans le entreprise ou à l'échelle mondiale . Les recherches mondiales reposent sur les données téléchargées par les entreprises.
Les grands volumes de données impliqués dans de tels systèmes peuvent être considérablement réduits en installant prétraitement modules sur chaque système contributeur. Cette stratégie pourrait filtrer certaines informations que le moteur analytique local n’identifie pas comme un indicateur potentiel. Ainsi, la qualité de ces données sources dépend grandement de l’algorithme utilisé par le groupe de renseignement sur les menaces. La vitesse de recherche des données et la capacité de l'unité centrale de recherche influencent également la quantité de données. filtration nécessaires aux collecteurs de données.
La chasse aux menaces en entreprise s'appuie sur trois sources principales de données d'entrée :
- Messages du journal
- Surveillance du système
- Observabilité
Les trois types de données doivent être collectées auprès de chaque composant du système (matériel et logiciel) pour obtenir une image complète d’une attaque.
Messages du journal
La principale source de données pour la chasse aux menaces provient des messages de journaux. Chaque système d'exploitation et presque toutes les applications génèrent des messages de journal et leur collecte constitue une riche source d'informations sur les activités du système.
Surveillance du système
Tout comme les messages de journaux circulent en permanence dans un système informatique, les données de surveillance circulent également. Encore une fois, il suffit de le collecter. Ces informations incluent des informations en direct sur les performances du réseau disponibles via le Protocole de surveillance de réseau simple (SNMP). D'autres sources d'informations facilement accessibles et nécessitant très peu d'effort comprennent les données de processus provenant du Gestionnaire des tâches sous Windows ou le ps utilitaire sous Linux, Unix et macOS.
Observabilité
Les systèmes sans serveur et les activités sans fichier sont plus difficiles à suivre et nécessitent une collecte active de données avec traçage distribué systèmes de télémétrie. Les informations dérivées du traçage des processus en cours peuvent être complétées par profilage de code où les activités sont mises en œuvre par des langages de codage en texte brut. Les vidages de mémoire et l'analyse de chaînes peuvent également révéler des indications d'attaque grâce à la présence de fonctions DLL connues pour être utilisées dans des attaques malveillantes, telles que des utilitaires de manipulation de mémoire et de registre.
Flux de données pour la chasse aux menaces
Bien qu'il existe certains systèmes distribués de chasse aux menaces, principalement pour la protection des terminaux, ces services sont généralement centralisés. UN AV de nouvelle génération utilise la recherche de menaces sur l'appareil, mais tous les autres systèmes, y compris les outils IDS, EDR, XDR et SIEM, rassemblent les données de plusieurs appareils du système dans un pool centralisé.
Logiciel en tant que service les chasseurs de menaces peuvent unifier les lacs de données utilisés pour tous les clients hébergés dans un package de détection des menaces à l'échelle du service. Ce flux de données dans une collection cloud est également la principale source d'informations utilisée pour renseignement sur les menaces se nourrit.
Dans tous les cas, les données seront collectées à partir de différents types de sources, telles que des fichiers journaux ou des enregistrements de surveillance du système, et seront traduites en un format commun afin que ces différentes présentations d'enregistrement puissent être rassemblées dans une liste uniforme avec les mêmes champs de données au même endroit. La chasse aux menaces est mise en œuvre sous la forme d’une série de recherches accompagnées de filtrage et de regroupement de données.
Données source pour la chasse aux menaces, le flux se dirige vers un bassin central. Renseignements sur les menaces , qui éclaire la détection des menaces, se déplace dans l'autre sens : d'un emplacement central vers les comptes d'entreprise individuels, puis vers les processeurs de données locaux, tels que les antivirus basés sur les appareils. Instructions de réponse voyagent également du système central vers les appareils locaux.
Stratégies de chasse aux menaces
Tous les systèmes de chasse aux menaces se répartissent en deux catégories stratégiques : basé sur la signature et basé sur des anomalies recherches.
Chasse aux menaces basée sur les signatures
Méthodes de détection basées sur les signatures sont la stratégie la plus ancienne utilisée pour les produits de cybersécurité. Les systèmes antivirus d'origine utilisaient cette approche, qui analysait les systèmes pour détecter la présence de fichiers spécifiques, généralement identifiés par une signature de hachage plutôt que par leur nom.
Bien que la recherche des menaces basée sur les signatures soit une stratégie ancienne, elle n’est pas dépassée : c’est ainsi que fonctionnent les systèmes qui fonctionnent avec des flux de renseignements sur les menaces. Le CTI Le flux fournit une liste de processus, de fichiers ou d'adresses à rechercher (TTP) et le chasseur de menaces analyse son lac de données pour détecter leur présence.
La chasse aux menaces basée sur les renseignements sur les menaces est également appelée enquête fondée sur des hypothèses. La chasse aux menaces basée sur les signatures a lieu dans temps réel , en analysant les données dès qu'elles arrivent des collecteurs distribués et également rétrospectivement , en parcourant les magasins d'enregistrements d'événements. Une recherche rétrospective est nécessaire chaque fois qu'un nouveau TTP est livré. En effet, les informations précédentes n'incluaient pas ces stratégies d'attaque et le système de détection d'intrusion doit découvrir si le système a déjà été compromis par des pirates informatiques, en utilisant les méthodes nouvellement découvertes.
Josh et IoC , fournis par le fournisseur du système de chasse aux menaces, mettent également en œuvre une détection basée sur les signatures. Ces sources d'informations sont utilisées pour rechercher des données en direct et historiques.
Chasse aux menaces basée sur les anomalies
Plutôt que de rechercher l’existence de quelque chose, la chasse aux menaces basée sur les anomalies identifie les irrégularités. Plus précisément, il recherche changements dans le modèle d’activité du système. Ce type de détection est particulièrement important pour se prémunir contre le piratage de compte et les menaces internes.
Des événements tels que le vol de données ne nécessitent pas que les pirates installent un nouveau logiciel : les fonctionnalités dont vous disposez déjà pour les utilisateurs autorisés sont suffisamment performantes pour aider les voleurs de données à extraire des informations précieuses. Analyse du comportement des utilisateurs (UBA) et analyse du comportement des utilisateurs et des entités (UEBA) visent à lutter contre l’utilisation non autorisée des applications autorisées.
La détection basée sur les anomalies doit d’abord déterminer ce qui constitue un comportement normal avant de pouvoir détecter les écarts. Par conséquent, les systèmes UBA et UEBA utilisent apprentissage automatique pour enregistrer une base d’activité régulière pour chaque utilisateur ou appareil. L'apprentissage automatique est une discipline de Intelligence artificielle (IA).
Détection automatisée vs analyse manuelle des menaces
La chasse aux menaces est un processus constant et implique une recherche dans de gros volumes de données . C’est une tâche pour laquelle les ordinateurs sont très bien adaptés. Pour toutes les entreprises, sauf les plus petites, l’idée de rechercher manuellement les menaces n’est qu’un échec.
Analyse manuelle des données jouent un rôle dans la chasse aux menaces en complément d’une détection automatisée constante. La meilleure combinaison d’analyse informatisée et humaine consiste à laisser le système automatisé trier les données, puis signaler les cas limites pour une évaluation humaine.
Un gros problème avec les systèmes de détection des menaces basés sur des règles qui incluent réponses automatisées est qu'ils peuvent attribuer à tort un comportement normal et bloquer les utilisateurs légitimes. L'UBA et l'UEBA ont été appliquées à la chasse aux menaces pour tenter de réduire ce phénomène. rapport de faux positifs . Quel que soit le degré de précision d'un système de détection, il existe toujours la possibilité qu'un utilisateur effectue soudainement une action faisant partie de sa routine de travail habituelle.
L’anomalie acceptable peut être une tâche peu fréquente que l’utilisateur est censé effectuer mais que le système d’apprentissage automatique n’a pas vue auparavant car il n’a pas été exécuté assez longtemps.
Le type d’intervention manuelle dans un système de chasse aux menaces dépend des besoins de l’entreprise. politique de sécurité . Par exemple, un événement inhabituel et rare pourrait être identifié comme étant humain grâce à l'émission d'une alerte comme seule réponse. Alternativement, les paramètres d'un IPS pourraient imposer une stratégie axée sur la sécurité qui bloque les comptes impliqués dans un comportement anormal et laisse ensuite l'évaluation de l'activité et des éventuels renversement de l'action de réponse à un administrateur.
Le rôle de analyste de sécurité n’est pas un travail qui peut être attribué au hasard à un technicien de l’équipe d’assistance. Il s’agit d’une compétence hautement spécialisée et il est difficile de trouver des analystes qualifiés. Lorsqu’on peut les trouver, ils coûtent très cher. C’est l’une des raisons pour lesquelles les outils automatisés de cybersécurité valent la peine d’être achetés.
Une solution au besoin d’expertise humaine en matière de cybersécurité consiste à engager un chasse aux menaces gérée service. Cela comprend un package SaaS contenant le logiciel de sécurité et le serveur pour l'exécuter, ainsi qu'une équipe d'experts en sécurité pour analyser les anomalies inhabituelles que le système informatique ne peut pas catégoriser.
Chasse aux menaces dans les outils de cybersécurité
Vous pouvez lire nos recommandations sur les systèmes de chasse aux menaces dans le Les meilleurs outils de chasse aux menaces . Pour une illustration de la manière dont différents outils peuvent effectuer la chasse aux menaces individuellement et dans le cadre d'une suite de services, nous pouvons examiner les packages proposés par Grève de foule .
Les outils de cybersécurité de CrowdStrike sont proposés à partir d’une plateforme SaaS Falcon en conserve. L'un de leurs services est un service antivirus de nouvelle génération et il s'agit de la seule application de la suite Falcon qui s'exécute sur les points finaux plutôt que sur la plate-forme cloud Falcon.
Voici comment les outils s’articulent :
- CrowdStrike Falcon Empêcher – sur siteEffectue une recherche de menaces localement et agit également en tant qu'agent de collecte de données pour les systèmes Falcon basés sur le cloud.
- Aperçu du faucon CrowdStrike – basé sur le cloudUn EDR qui coordonne les activités de toutes les instances Falcon Prevent d'une entreprise et recherche dans les données téléchargées à la manière d'un SIEM.
- CrowdStrike Falcon XDR – basé sur le cloudFonctionne de la même manière que Falcon Insight, mais extrait également des données d'activité à partir d'outils tiers et peut communiquer des réponses automatisées à Falcon Discover ou à d'autres systèmes de sécurité sur site.
- CrowdStrike Falcon Intelligence – basé sur le cloudInformations sur les menaces compilées par CrowdStrike à partir de tous les systèmes EDR et XDR fonctionnant pour les clients ainsi que des expériences d'applications tierces.
- Surveillance du faucon CrowdStrike – basé sur le cloudUn service géré qui fournit le système Falcon Insight ainsi que des techniciens et des analystes pour exécuter le système et fournir une évaluation manuelle des données.