Zpedia 

/ Qu’est-ce que la chasse aux menaces ?

Qu’est-ce que la chasse aux menaces ?

La chasse aux menaces désigne une approche proactive de la recherche de menaces et de cybervulnérabilités potentielles dans le réseau et les systèmes d’une entreprise. Elle combine des analystes de sécurité humains, des renseignements sur les menaces et des technologies avancées qui analysent le comportement, repèrent les anomalies et identifient les indicateurs de compromission (IOC) afin de détecter ce que les outils de sécurité traditionnels pourraient manquer. Les chasseurs de menaces s’efforcent de détecter et de neutraliser les menaces le plus tôt possible afin de minimiser leur impact potentiel.

Télécharger les dernières recherches sur les menaces
Découvrez la puissance de Zscaler Threat Hunting
Protection contre les menaces en ligneProtection des données
  1. Pourquoi c'est important
  2. Fonctionnement
  3. Outils essentiels
  4. Membres clés
  5. Commencer
  6. Comment Zscaler peut vous aider
  7. Ressources suggérées
  8. FAQ
  9. Autres thèmes similaires

Pourquoi la chasse aux menaces est-elle importante ?

Face à l’augmentation de la fréquence et du coût des violations de données, un programme de chasse aux menaces constitue un élément clé d’une stratégie de sécurité d’entreprise moderne et offre les avantages suivants :

  • Défense proactive contre les risques potentiels et les menaces cachées pour améliorer la posture de sécurité globale et aider à atténuer les risques avant qu’ils ne s’aggravent, empêchant ainsi les violations potentielles.
  • Réponse plus rapide aux incidents et réduction du temps de réponse aux menaces en combinant des outils automatisés et l’expertise humaine pour une détection plus précise des menaces.
  • Réduction du risque de préjudice financier et de réputation, de perte de données, etc. dans un contexte d’attaques de plus en plus fréquentes et aux conséquences toujours plus onéreuses.

Le coût moyen mondial d’une violation de données a augmenté de 15 % entre 2020 et 2023, pour atteindre 4,45 millions USD.

—Cost of a Data Breach Report 2021 (Rapport 2021 sur le coût des violations de données)

Comment fonctionne la chasse aux menaces ?

Une chasse aux menaces efficace consiste à mener des enquêtes pratiques, à prévenir et à réduire les risques, mais cela ne peut se faire en vase clos. Bien au contraire, il s’agit d’une course aux armements avec des acteurs malveillants qui s’efforcent de lancer des attaques toujours plus rapides, plus nombreuses et plus difficiles à détecter. Le processus de base de la chasse aux menaces peut être divisé en quatre parties :

1. Collecter et analyser les données

Les chasseurs de menaces collectent de grandes quantités de données au sein et en dehors du réseau de l’entreprise, notamment des journaux, des données sur le trafic et les terminaux, ainsi que des flux de renseignements sur les menaces. L’analyse comportementale et l’apprentissage automatique aident à établir une base de référence du comportement normal à partir de ces données, dont tout écart pourrait indiquer une menace potentielle.

2. Élaborer une hypothèse

Sur la base des informations recueillies lors de l’analyse des données, les chasseurs de menaces formulent des hypothèses concernant les menaces potentielles, en se concentrant sur l’identification d’anomalies ou d’activités suspectes qui pourraient indiquer la présence d’un malware ou d’un autre incident de sécurité imminent.

3. Enquêter et valider

Les chasseurs de menaces recherchent des IOC, des signes d’activité malveillante ou des modèles inhabituels dans les données en examinant le trafic réseau, en consultant les journaux, en inspectant l’activité des terminaux, etc. L’objectif est de déterminer si les indicateurs pointent vers de véritables menaces ou s’il s’agit simplement de faux positifs. Ceci est essentiel pour permettre aux entreprises de répondre plus rapidement et plus efficacement aux menaces.

4. Améliorer en permanence

Pour s’adapter en permanence à l’évolution des menaces, le processus de chasse aux menaces est cyclique : les chasseurs de menaces appliquent les enseignements tirés pour affiner leurs techniques, actualiser leurs hypothèses, intégrer de nouveaux renseignements sur les menaces et de nouvelles solutions de sécurité, et bien d’autres choses encore, afin de mieux éclairer leur prochaine analyse.

Types de chasse aux menaces

L’approche qu’adoptent les chasseurs de menaces dépend des informations dont ils disposent d’emblée. Par exemple, un flux de menaces a-t-il fourni de nouvelles informations spécifiques à une souche de malware émergente, telles que des données de signature ? L’entreprise a-t-elle remarqué un pic soudain de son trafic sortant ?

La chasse aux menaces basée sur des pistes (ou chasse structurée) est basée sur des hypothèses ou sur des IOC spécifiques qui guident l’enquête. Par exemple, si les chasseurs de menaces reçoivent des informations spécifiques sur des malwares émergents comme mentionné ci-dessus, ils peuvent alors rechercher les signes connus de ces malwares dans leur environnement.

La chasse aux menaces sans piste (ou chasse non structurée) ne dépend pas de pistes ni d’indicateurs spécifiques. Les chasseurs de menaces utilisent plutôt des techniques d’analyse de données et de détection d’anomalies pour découvrir des éléments tels que le pic de trafic réseau précité, puis recherchent la cause de l’anomalie à partir de là.

Ces approches ne s’excluent pas mutuellement : les équipes de chasse aux menaces doivent souvent s’appuyer sur une combinaison des deux dans le cadre d’une méthodologie de chasse complète.

Avantages de l’automatisation dans le cadre de la chasse aux cybermenaces

L’automatisation est essentielle pour une chasse aux menaces efficace, associée à la pensée latérale et à la créativité humaine. Les acteurs malveillants exploiteront tous les avantages possibles, ce qui signifie qu’aujourd’hui ils utilisent de plus en plus l’intelligence artificielle et l’automatisation pour alimenter leurs attaques. En d’autres termes, il s’agit d’un exemple classique de lutte contre le feu par le feu.

L’automatisation accélère la détection et la réponse aux menaces en collectant, en corrélant et en identifiant les anomalies dans de vastes quantités de données en temps réel, bien plus efficacement que les humains ne peuvent le faire. De leur côté, les analystes humains disposent de plus de temps et d’attention pour se concentrer sur les incidents qui requièrent une prise de décision contextuelle nuancée ou pour lesquels il n’existe pas de données de sécurité historiques permettant aux outils automatisés de prendre des décisions.

Modèles et méthodologies de chasse aux menaces

Divers modèles et méthodologies de chasse aux menaces aident les chasseurs à identifier, enquêter et atténuer les menaces en se concentrant sur différents aspects, en fonction de la spécificité de leur équipe ou de la menace elle-même. Voici quelques modèles courants :

Cadre MITRE ATT&CK

Base de connaissances des TTP des adversaires connus, le cadre MITRE ATT&CK propose un moyen normalisé de catégoriser et d’analyser les comportements des menaces aux différents stades d’une attaque, ce qui aide les chasseurs de menaces à aligner leurs efforts de détection et de réponse.

Lockheed Martin Cyber Kill Chain

Ce modèle décompose sept étapes d’une cyberattaque, de la reconnaissance à l’exfiltration, pour faciliter les efforts proactifs de chasse aux menaces en identifiant les vulnérabilités et les stratégies d’atténuation potentielles efficaces aux différents points de la chaîne d’attaque.

Cyber Threat Intelligence Life Cycle

Ce processus continu de collecte, d’analyse et de diffusion des renseignements sur les menaces aide les chasseurs de menaces à intégrer des renseignements opportuns et pertinents sur les menaces dans leurs efforts de détection et de réponse, ce qui permet aux entreprises de garder une longueur d’avance sur les menaces émergentes.

Pour en savoir plus, consultez notre article dédié, Que sont les renseignements sur les menaces ?

Boucle OODA ou « Observe, Orient, Decide, Act » (Observer, Orienter, Décider, Agir)

Ce cadre en quatre étapes, développé à l’origine pour l’armée de l’air américaine, aide les chasseurs de menaces à contextualiser les informations relatives à l’évolution des menaces afin de s’adapter plus rapidement aux situations changeantes, de prendre des décisions éclairées et d’entreprendre des mesures efficaces.

Diamond Model of Intrusion Analysis

Ce cadre d’attribution des cybermenaces définit les quatre caractéristiques principales de l’activité d’intrusion (adversaire, infrastructure, victime et capacité) et leurs relations pour aider les chasseurs de menaces à comprendre le qui, quoi, le où et le comment d’une attaque.

Outils de chasse aux menaces

Tout comme il existe de nombreuses méthodologies de chasse aux menaces, la boîte à outils du chasseur de cybermenaces comporte de nombreux outils. Voici quelques-unes des technologies les plus courantes :

  • Les outils de gestion des informations et des événements de sécurité (SIEM) recueillent et analysent les données de journal du réseau d’une entreprise et fournissent une plateforme centrale de surveillance et d’alerte.
  • Les outils d’analyse du trafic réseau (NTA) analysent les modèles et les comportements du trafic réseau pour détecter les activités suspectes et identifier les menaces potentielles.
  • Les outils de détection et de réponse des terminaux (EDR) surveillent et détectent les activités suspectes sur les terminaux en temps réel tout en fournissant des capacités d’enquête, de chasse aux menaces, de tri et de correction.
  • Les plateformes de renseignement sur les menaces (TIP) regroupent, corrèlent, analysent et enrichissent les renseignements sur les menaces provenant de diverses sources pour aider les analystes et leurs outils à prendre des décisions éclairées.
  • Les plateformes SOAR (orchestration de la sécurité, automatisation et réponse) automatisent et orchestrent les tâches de réponse aux incidents, permettant une atténuation plus rapide et plus efficace des menaces.
  • Les outils d’analyse des vulnérabilités prennent en charge la gestion des correctifs et l’évaluation des risques en analysant les environnements et les applications d’une entreprise pour identifier les vulnérabilités que pourraient exploiter les hackers.
  • Les outils de gestion de la surface d’attaque (ASM) procurent une visibilité sur la surface d’attaque d’une entreprise, contribuant à la réduire en identifiant, surveillant et atténuant les vulnérabilités et les vecteurs d’attaque potentiels.
  • Les sandbox anti-malware isolent et analysent les fichiers et programmes suspects dans un environnement contrôlé. Ils sont utilisés pour identifier le comportement des malwares et évaluer les menaces potentielles.
  • Les outils d’émulation des menaces et de red teaming simulent des cyberattaques réelles pour aider les entreprises à évaluer leur posture de sécurité et à identifier les vulnérabilités.
  • La technologie de tromperie déploie des leurres dans un réseau aux côtés d’actifs réels pour attirer les hackers et générer des alertes extrêmement fiables qui réduisent le temps d’attente et accélèrent la réponse aux incidents.

Qui devrait être impliqué dans la chasse aux menaces ?

Les analystes de sécurité familiarisés avec les outils de détection et de chasse aux menaces sont les acteurs les plus critiques de vos efforts de chasse aux menaces, assumant la direction de la surveillance et de l’analyse des alertes, du suivi des comportements suspects, de l’identification des indicateurs d’attaque (IOA), etc. Les petites entreprises peuvent n’employer qu’un seul analyste à temps plein, tandis que les plus grandes peuvent disposer d’équipes de centre d’opérations de sécurité (SOC) ou de services gérés importants.

Parmi les autres membres importants du personnel de support figurent souvent les acteurs suivants :

  • Les analystes de renseignements sur les menaces distillent les renseignements sur les menaces dans un contexte critique et des indicateurs de compromission.
  • Les équipes juridiques et de conformité aident à respecter les exigences légales et réglementaires.
  • Les dirigeants et membres du conseil d’administration prennent des décisions de haut niveau concernant la stratégie, les ressources humaines et la budgétisation.

Que vous faut-il pour commencer à effectuer la chasse aux menaces ?

Votre entreprise dépend de quatre éléments clés pour détecter efficacement les menaces :

  1. Équipe de chasseurs et d’analystes qualifiés. Si vous disposez d’une équipe de sécurité interne, investissez dans une formation et le développement continus pour les aider à protéger votre entreprise contre l’évolution des menaces sophistiquées.
  2. Bonne combinaison de technologies de chasse aux menaces et d’outils automatisés, dont des plateformes SIEM, des solutions EDR, des outils NTA et des plateformes de renseignement sur les menaces.
  3. Accès aux journaux, aux données de trafic réseau, aux données comportementales et bien plus encore pour garantir à vos chasseurs de menaces une vue complète sur le paysage des menaces.
  4. Cadre stratégique clair de chasse aux menaces, assorti d’objectifs et de stratégies définis qui s’alignent sur votre tolérance au risque et votre posture de sécurité.

Rôle de Zscaler dans la chasse aux menaces

Les experts chargés de la chasse aux menaces de Zscaler ThreatLabz surveillent les anomalies au sein des 500 000 milliards de points de données qui traversent le plus grand cloud de sécurité au monde, identifiant et détectant les activités malveillantes, ainsi que les menaces émergentes.

Zscaler ThreatLabz s’appuie sur des renseignements sur les menaces et des outils exclusifs pour traquer de manière proactive les tactiques, outils et procédures (TTP) révélateurs des menaces, des groupes d’adversaires les plus sophistiqués aux malwares de base, ce qui permet une couverture complète des menaces actuelles.

Ces points de données sont également utilisés pour entraîner des modèles d’apprentissage automatique afin de permettre des détections plus rapides et plus étendues. Cette approche proactive contribue à identifier et bloquer chaque jour 9 milliards de menaces potentielles, avant qu’elles ne puissent affecter nos clients ou causer des préjudices.

Nos traqueurs de menaces expérimentés sont prêts à débusquer les attaques avancées dans votre environnement et à vous en défendre

Ressources suggérées

Zscaler ThreatLabz sur X (Twitter)
Découvrir les derniers articles
Tableau de bord ThreatLabZ sur les activités de Zscaler Cloud
Voir les mises à jour en direct
Blog sur la recherche en sécurité de Zscaler ThreatLabz
Découvrir les derniers articles
Zscaler ThreatLabz GitHub
Consulter les derniers IOC, notes sur les ransomwares et outils
Rapport 2023 de Zscaler ThreatLabz sur les ransomwares
Télécharger le rapport complet

01 / 03

Foire aux questions