Cyber threat hunting

Le cyber threat hunting (CTI, « chasse aux cybermenaces »), est une activité proactive de cyberdéfense. Il s'agit « d'un processus de recherche proactif et itératif à travers les réseaux pour détecter et isoler les menaces avancées qui échappent aux solutions de sécurité existantes »[1]. La CTI diffère de l'approche traditionnelle de gestion des menaces, reposant sur les pare-feu, IDS, sandbox et SIEM, etc, qui impliquent des enquêtes sur les menaces potentielles fondées sur des preuves après alertes[2],[3].

Méthodologies

modifier

Aperçu

modifier

Au début de années 2020, le monde connaît une augmentation du nombre et de la gravité des cyberattaques, des violations de données, des infections par des logiciels malveillants et des incidents de fraude en ligne. Selon la société de cybersécurité SonicWall, le nombre d’attaques de rançongiciels a augmenté de 105 % à l’échelle mondiale. De nombreuses grandes entreprises du monde sont victimes de violations de données très médiatisées, le coût moyen d'une violation de données, en 2023, étant estimé à 4,24 millions de dollars, selon IBM[4].

Méthodologies de chasse aux cybermenaces

modifier

La chasse aux menaces est généralement un processus manuel, au cours duquel un analyste de sécurité passe au crible diverses informations de données en utilisant ses connaissances et sa familiarité avec le réseau pour créer des hypothèses sur les menaces potentielles, telles que les mouvements latéraux des acteurs de la menace[5].

Pour être encore plus efficace, la recherche de menaces peut être partiellement automatisée ou assistée par machine. Dans ce cas, l'analyste utilise un logiciel qui exploite l'apprentissage automatique et l'analyse du comportement des utilisateurs et des entités (UEBA) pour informer l'analyste des risques potentiels. L'analyste étudie ensuite ces risques potentiels, en suivant les comportements suspects sur le réseau. Ainsi, la chasse est un processus itératif, c’est-à-dire qu’elle doit être effectuée en boucle en permanence, en commençant par une hypothèse.

Les hypothèses peuvent être :

  • Basées sur l'analyse : L'apprentissage automatique et l'UEBA sont utilisés pour développer des scores de risque agrégés qui peuvent aussi servir d'hypothèses de chasse.
  • Basées sur la connaissance de la situation : L'analyse des « joyaux de la couronne », l'évaluation des risques d'entreprise et des tendances au niveau de l'entreprise et des employés permettent de développer les hypothèses.
  • Basées sur le renseignement : Les rapports de renseignements sur les menaces, les flux de renseignements sur les menaces, l'analyse des logiciels malveillants, l'analyses de vulnérabilités permettent de développer les hypothèses.

Les analystes valident leurs hypothèses en parcourant de grandes quantités de données sur le réseau. Les résultats sont ensuite stockés à des fins d'amélioration de la partie automatisée du système de détection et pour servir de base à de futures hypothèses.

Le modèle Detection Maturity Level (DML)[6] distingue plusieurs niveaux sémantiques de détection des indicateurs de menace. Les indicateurs sémantiques élevés tels que l'objectif et la stratégie ou les tactiques, techniques et procédures (TTP) sont plus utiles à identifier que les indicateurs faiblement sémantiques tels que les artefacts de réseau et les indicateurs atomiques tels que les adresses IP[7],[8]. Les outils SIEM ne fournissent généralement que des indicateurs à des niveaux sémantiques relativement faibles. Il existe donc un besoin de développer des outils SIEM capables de fournir des indicateurs de menace à des niveaux sémantiques plus élevés[9].

Indicateurs

modifier

Il existe deux types d'indicateurs :

Les indicateurs de compromission : Un indicateur de compromission (ou IOC) indique qu'une action s'est produite et que vous êtes en mode réactif. Les IOC sont trouvés en examinant ses propres données à partir des journaux de transactions ou des données SIEM. Les exemples d'IOC incluent un trafic réseau inhabituel, une activité inhabituelle de compte d'utilisateur privilégié, des anomalies de connexion, des augmentations des volumes de lecture de bases de données, des modifications suspectes de registre ou de fichiers système, des requêtes DNS inhabituelles et un trafic Web montrant un comportement non humain. Ces types d’activités inhabituelles permettent aux équipes d’administration de la sécurité de détecter les acteurs malveillants plus tôt dans le processus de cyberattaque.

Les indicateurs de préoccupation : Grâce aux renseignements open source (OSINT), des données peuvent être collectées à partir de sources accessibles au public pour être utilisées pour la détection des cyberattaques et la chasse aux menaces.

Tactiques, techniques et procédures (TTP)

modifier

Le SANS Institute propose le modèle de maturité de chasse aux menaces suivant[10] :

  • Initial : Au niveau de maturité 0, une organisation s'appuie principalement sur des rapports automatisés et effectue peu ou pas de collecte de données de routine.
  • Minimal : Au niveau de maturité 1, une organisation intègre des recherches d’indicateurs de renseignement sur les menaces. Elle a un niveau modéré ou élevé de collecte de données de routine.
  • Procédure : Au niveau de maturité 2, une organisation suit des procédures d'analyse créées par d'autres. Le niveau de collecte de données de routine est élevé ou très élevé.
  • Innovant : Au niveau de maturité 3, une organisation crée de nouvelles procédures d’analyse des données. Le niveau de collecte de données de routine est élevé ou très élevé.
  • Leading : Au niveau de maturité 4, une organisation automatise la majorité des procédures d'analyse de données réussies. Le niveau de collecte de données de routine est élevé ou très élevé.

Dwell Time

modifier

Le dwell time est la durée totale d'un incident de sécurité (compromission initiale jusqu'à la détection et nettoyage complet), soit le « temps moyen de détection » (depuis la compromission initiale jusqu'à la détection). Selon le rapport Mandiant M-Trends 2022, les cyber attaquants opèrent sans être détectés pendant 21 jours en moyenne (soit une réduction de 79 % par rapport à 2016), mais cela varie considérablement selon les régions[11]. Selon Mandiant, le temps de séjour[12] peut être aussi bas que 17 jours (en Amérique ) ou aussi élevé que 48 jours (dans la région EMEA )[11]. L'étude a également montré que 47 % des attaques ne sont découvertes qu'après notification d'un tiers externe.

Exemples de rapports

modifier

Exemple de chasse aux menaces

modifier

Méthodologies de chasse aux menaces

modifier

À l'intérieur du périmètre réseau :

  • Chasse aux menaces réactive : cette méthode est déclenchée par un événement malveillant, généralement après la découverte d'une violation de données ou d'un vol. Les efforts sont généralement concentrés sur la criminalistique et la remédiation.
  • Chasse aux menaces proactive : Cette méthode recherche activement les événements et activités malveillants en cours au sein du réseau, l’objectif étant de détecter une cyberattaque en cours. Les efforts sont généralement concentrés sur la détection et la correction.

En dehors du périmètre du réseau :

  • Chasse aux menaces externes : cette méthode recherche de manière proactive l'infrastructure des acteurs malveillants pour cartographier et prédire où les cyberattaques sont susceptibles d'émerger afin de préparer des stratégies défensives. Les efforts sont généralement concentrés sur la reconnaissance des cybermenaces, la cartographie de la surface des menaces et la surveillance des risques liés aux tiers.

Voir aussi

modifier

Références

modifier
  1. « Cyber threat hunting: How this vulnerability detection strategy gives analysts an edge - TechRepublic », TechRepublic (consulté le )
  2. « MITRE Kill Chain » (consulté le )
  3. « Threat Intelligence Platform on War Against Cybercriminals » (consulté le )
  4. « The Future of Cyber Security and AI: Protecting Your Digital World », Blue Big Data (consulté le )
  5. « Cyber Threat Intelligence (CTI) in a Nutshell », Medium.com (consulté le )
  6. Stillions, « The DML Model », Ryan Stillions security blog,
  7. Bianco, « The Pyramid of Pain », detect-respond.blogspot.com, (consulté le )
  8. Bianco, « The Pyramid of Pain », SANS Institute (consulté le )
  9. Bromander, « Semantic Cyberthreat Modelling », Semantic Technology for Intelligence, Defense and Security (STIDS 2016),
  10. Lee, « The Who, What, Where, When and How of Effective Threat Hunting », SANS Institute (consulté le )
  11. In the Mandiant M-Trends report, dwell time "is calculated as the number of days an attacker is present in a victim environment before they are detected", which corresponds to the 'mean time to detect'.