Le threat hunting : définitions, types et fonctionnement

Le threat hunting : définitions, types et fonctionnement

Hossam M.
Calendar picto
23/6/2022
Clock picto
4min

Le threat hunting, également connue sous le nom de chasse aux cybermenaces, est une approche proactive visant à identifier les menaces inconnues ou non traitées au sein du réseau d'une organisation.

Pourquoi le “threat hunting” est-il important ?

Le Threat hunting est important car les menaces sophistiquées peuvent passer outre la cybersécurité automatisée. Bien que les outils de sécurité automatisés et les analystes des centres d'opérations de sécurité (SOC) de niveaux 1 et 2 soient en mesure de traiter environ 80 % des menaces, il est tout de même crucial de se préoccuper des 20 % restants. Les 20% restants sont plus susceptibles d'inclure des menaces sophistiquées qui peuvent causer des dommages importants. Si les hackers disposent de suffisamment de temps et de ressources, ils peuvent s'introduire dans n'importe quel réseau et échapper à la détection pendant 280 jours en moyenne. Un threat hunting  efficace permet de réduire le délai entre l'intrusion et la découverte, ce qui réduit la quantité de dommages causés par les attaquants.

Comment fonctionne le threat hunting ?

Un programme de threat hunting réussi repose sur la fertilité des données d'un environnement. En d'autres termes, une organisation doit d'abord disposer d'un système de sécurité d'entreprise en place, qui collecte des données. Les informations qui en découlent fournissent des indices précieux aux chasseurs de menaces.

Les chasseurs de cybermenaces apportent un élément humain à la sécurité de l'entreprise, en complément des systèmes automatisés. Il s'agit de professionnels de la sécurité informatique qualifiés qui recherchent, enregistrent, surveillent et neutralisent les menaces avant qu'elles ne causent de graves problèmes. Dans l'idéal, il s'agit d'analystes de la sécurité issus du service informatique de l'entreprise et qui connaissent bien ses opérations, mais il peut également s’agir d’un analyste externe.

L'art du threat hunting consiste à trouver les inconnus de l'environnement. Il va au-delà des technologies de détection traditionnelles, telles que la gestion des informations et des événements de sécurité (SIEM), la détection et la réponse aux points de terminaison (EDR) et autres. Les chasseurs de menaces passent au peigne fin les données de sécurité. Ils contribuent également à la mise en place de correctifs dans le système de sécurité d'une entreprise afin d'éviter que ce type de cyberattaque ne se reproduise.

Quels sont les différents types de threat hunting ?

Les chasseurs commencent par une hypothèse basée sur des données de sécurité ou un élément déclencheur. L'hypothèse ou le déclencheur servent de tremplin pour une enquête plus approfondie sur les risques potentiels. Et ces investigations plus approfondies sont la chasse structurée, non structurée et situationnelle.

  1. Chasse structurée

Une chasse structurée est basée sur un indicateur d'attaque (IoA) et sur les tactiques, techniques et procédures (TTP) d'un attaquant. Toutes les chasses sont alignées et basées sur les TTP des acteurs de la menace. Par conséquent, le chasseur peut généralement identifier un acteur de la menace avant même que l'attaquant ne puisse causer des dommages à l'environnement. Ce type de chasse utilise le cadre ATT&CK (Adversary Tactics Techniques and Common Knowledge) de MITRE. 

  1. Chasse non structurée

Une chasse non structurée est lancée sur la base d'un déclencheur, l'un des nombreux indicateurs de compromission (IoC). Ce déclencheur incite souvent le chasseur à rechercher des modèles de pré et post-détection. Ce type de traque s'articule autour de rapports de renseignements sur les menaces, impliquant souvent une exploitation active. Les chasseurs, lorsqu'ils sont alertés de cette activité, élaborent leur hypothèse et planifient leur traque. Les chasses axées sur le renseignement ne reposent pas sur des indicateurs, mais sur des comportements spécifiques des acteurs et de leurs outils. 

  1. Chasse axée sur une entité

Un réseau est un paysage vaste et complexe. Quelle que soit la taille de l'équipe, vous devez hiérarchiser vos activités de chasse pour maximiser votre réussite. La traque axée sur les entités consiste à construire des traques autour d'entités à haut risque et à haute valeur, telles que la propriété intellectuelle et les ressources réseau cruciales.  

Les adversaires ciblent généralement certains actifs ou utilisateurs à haute valeur ou à haut risque dans une organisation (par exemple, un serveur où est conservée la R&D, un contrôleur de domaine ou un compte d'administrateur système). De plus en plus d'organisations identifient de manière proactive ces actifs avant qu'un adversaire ne le fasse pour elles. 

Quels sont les outils de threat hunting ?

Lorsqu'ils mènent une traque, les chasseurs de menaces utilisent également diverses techniques pour analyser les données qu'ils recueillent (outils MDR, SIEM et d'analyse de la sécurité, analyseurs de paquets, etc). Cela leur permet d'identifier rapidement les anomalies qu'ils peuvent ensuite commencer à creuser. Cependant, l'utilisation d'outils SIEM et MDR exige que toutes les sources et tous les outils essentiels d'un environnement soient intégrés.