Qu’est-ce que la chasse aux menaces ?
La chasse aux menaces est une approche de défense proactive visant à détecter les menaces qui échappent aux solutions de sécurité existantes.
Pourquoi la chasse aux menaces ?
Les fonctions de pare-feu, IDS/IPS, SWG, ZTNA, CASB contribuent à protéger les actifs de l’entreprise contre les menaces connues.
Les fournisseurs de sécurité développent des protections contre les menaces connues et déploient ces protections en mettant régulièrement à jour les services de sécurité avec divers flux de protection.
Les protections consistent notamment à empêcher les utilisateurs de visiter les mauvais sites, à bloquer les exploits au moyen de signatures et à arrêter les connexions vers/depuis les adresses IP, les domaines connus pour héberger des C&C ou ayant une mauvaise réputation.
Presque toutes les fonctions de sécurité protègent également les actifs en bloquant les flux indésirables via des listes de contrôle d’accès (ACL).
La sophistication des acteurs de la menace augmente considérablement d’année en année en raison du parrainage par des États et des gains financiers.
Les entreprises touchées par des menaces inconnues doivent disposer d’un moyen de détecter toute compromission afin de limiter les dégâts.
Selon le rapport 2022 de M-trends, le temps moyen d’inactivité (le temps d’inactivité est le nombre de jours pendant lesquels un attaquant est présent dans l’environnement d’une victime sans être détecté) est de 21 jours en 2021.
Dans certaines régions géographiques, la moyenne atteint 40 jours.
Le plus inquiétant est que, dans 47 % des cas, les victimes sont informées des menaces par des notifications externes.
Les victimes sont informées des compromissions par des extorsions de la part des attaquants, par la divulgation publique d’informations confidentielles et, quelques fois, par leurs clients.
Il est important pour les entreprises de détecter la présence de menaces de manière proactive et interne afin de réduire les dommages et de prendre des mesures correctives plus rapidement.
Ce processus de détection des menaces présentes dans l’environnement est appelé « chasse aux menaces ».
Quelles sont les méthodes de chasse aux menaces ?
La chasse aux menaces est effectuée par les analystes de la sécurité.
Bien que la pratique de la chasse aux menaces existe depuis un certain temps, elle n’est pas nouvelle en théorie.
Les chasseurs ont tendance à rechercher des anomalies, à créer des hypothèses et à effectuer des analyses plus approfondies afin d’identifier tout signe de compromission.
Ce qui a vraiment changé ces dernières années, c’est la collaboration accrue entre les chasseurs de différentes entreprises, comme le partage de tactiques, de techniques et de procédures (TTP) et l’accès à des sources ouvertes et commerciales de renseignements sur les menaces.
Cette richesse d’informations aide les chasseurs à chasser plus efficacement.
Les renseignements sur les menaces sont précieux, mais la grande quantité de données peut être écrasante pour les chasseurs.
Il est important que les chasseurs filtrent pour obtenir les rapports les plus pertinents en fonction des actifs, des logiciels, des systèmes matériels et des services en nuage utilisés par l’entreprise.
Une fois le filtrage effectué, les chasseurs de menaces peuvent utiliser des TTP pour identifier des modèles dans leur environnement.
Les chasseurs de menaces recueillent des informations à l’aide d’une combinaison de méthodes, notamment :
- Axé sur l’analyse : Les anomalies observées dans le trafic réseau, le trafic de protocole, le trafic initié par l’utilisateur, le trafic d’application, le comportement de connexion de l’utilisateur, le comportement d’accès de l’utilisateur, le comportement du point final et le comportement de l’application peuvent être de bons indicateurs pour commencer la chasse.
- axé sur le renseignement : Les flux de renseignements sur les menaces, tels que la réputation des IP/domaines/fichiers/URL, provenant de sources ouvertes et d’entités commerciales, peuvent aider les chasseurs à rechercher ces indicateurs dans leur environnement et à commencer la chasse s’ils sont observés.
- La connaissance de la situation : Les résultats des évaluations régulières des risques de l’entreprise et l’analyse des actifs peuvent aider les chasseurs à créer des hypothèses et à commencer la chasse.
Les chasseurs de menaces utilisent une combinaison des méthodes susmentionnées pour réduire le nombre de chasses à entamer.
Dans le cadre du processus de chasse, les analystes s’appuient sur des systèmes d’observabilité pour effectuer des analyses plus approfondies afin d’identifier toute compromission.
Si des menaces sont découvertes, les chasseurs de menaces qui ont réussi peuvent publier des TTP pour aider les autres chasseurs.
Quel est le rôle des SASE dans la chasse aux menaces ?
Les indicateurs de compromission (IoC) sont des indices qui peuvent être utilisés pour identifier et détecter des activités malveillantes sur un réseau ou un point final.
Ils sont souvent utilisés par les chasseurs de menaces pour créer des hypothèses sur des incidents de sécurité potentiels et pour orienter leurs investigations.
Les indices de conformité incluent des éléments tels que les adresses IP, les noms de domaine, les URL, les fichiers et les adresses électroniques qui sont associés à des acteurs malveillants connus ou à des logiciels malveillants connus.
Diverses anomalies telles que le trafic, le comportement des utilisateurs, le comportement des services, et d’autres couplées sont également de bons indicateurs de préoccupation pour les chasseurs afin de créer des hypothèses sur les incidents de sécurité potentiels.
L’analyse approfondie est l’étape suivante de la chasse aux menaces et sert à recueillir davantage d’informations sur un incident potentiel, telles que la portée, l’impact et les origines de l’attaque.
Ce type d’analyse implique souvent l’utilisation de divers outils et techniques pour extraire et analyser des données provenant de différentes sources, telles que le trafic réseau, les journaux système et les données des terminaux.
Les solutions SASE devraient aider les chasseurs de menaces aux stades de l’identification et de l’investigation.
Les futures solutions SASE devraient offrir une observabilité plus complète grâce à des fonctions telles que l’analyse comportementale, la surveillance en temps réel et les alertes.
Identification via les indicateurs de compromis et les indicateurs de préoccupation
Vous trouverez ci-dessous quelques-unes des anomalies et des menaces IoC que les solutions SASE peuvent aider les chasseurs de menaces à mettre en place.
Vous trouverez ci-dessous quelques exemples de la manière dont SASE/SDWAN peut aider à trouver les anomalies du trafic.
- Des schémas de trafic inhabituels par rapport aux schémas de trafic observés précédemment.
Il peut s’agir d’anomalies dans le volume de trafic et le nombre de connexions pour les éléments suivants.- Trafic d’entreprise de site à site
- Trafic vers/depuis les sites Internet
- Trafic vers/depuis les applications
- Trafic sur différents protocoles
- Trafic vers/depuis les utilisateurs
- Trafic vers/depuis les segments
- Et avec une combinaison des éléments ci-dessus – Site + Application + Utilisateur + Protocole + Segment.
Les solutions SASE, avec la sécurité du réseau, peuvent aider à trouver différents types d’anomalies et d’exploits :
- Anomalies dans les accès aux applications d’entreprise par rapport aux schémas précédents ou aux schémas de référence, tels que
- Accès aux applications internes à partir d’emplacements géographiques auparavant inconnus
- Accès aux applications internes par des utilisateurs qui y accèdent rarement
- Accès des utilisateurs à des applications internes à des heures irrégulières
- Accès à diverses ressources d’application critiques (telles que les ressources d’administration) par des utilisateurs privilégiés depuis des lieux géographiques inconnus jusqu’alors, par des utilisateurs qui les administrent rarement, à des heures bizarres.
- Les utilisateurs se voient refuser l’accès aux applications et aux ressources.
- Anomalies d’accès à l’internet et au SaaS par rapport aux modèles précédents ou aux modèles de référence, comme les anomalies d’accès décrites ci-dessus.
- Accès à diverses catégories d’URL par des utilisateurs individuels
- Accès à des sites Internet qui n’ont pas été visités auparavant par les utilisateurs
- Utilisation de la bande passante et nombre d’anomalies dans les transactions HTTP par utilisateur
- Accès des utilisateurs aux sites en dehors des heures de bureau.
- Accès refusé à des sites/catégories Internet
- Accès à diverses fonctions de divers services SaaS par utilisateur.
- Différents types d’exploitation : Selon le rapport M-Trends, le « vecteur d’infection initial » utilisé par les attaquants consiste à exploiter les vulnérabilités des logiciels et de la configuration.
De nombreux acteurs de la menace installent d’abord différents types de logiciels malveillants en exploitant les vulnérabilités des logiciels.
Les cadres d’exploitation populaires tels que Metasploit et BEACON regroupent plusieurs scripts d’exploitation connus.
Ces cadres semblent être populaires parmi les acteurs de la menace.
Tout exploit observé dans le trafic peut être un bon indicateur que quelque chose de grave va se produire. - Anomalies de protocole : Toute donnée de protocole anormale, même si elle est légitime du point de vue de la spécification du protocole, peut être un bon indice de préoccupation.
Des exemples d’anomalies des protocoles DNS et HTTP sont donnés ci-dessous.- En cas de DNS
- Il n’est pas normal de voir de nombreux sous-domaines dans le domaine interrogé
- Il n’est pas normal de voir un domaine très long
- Il n’est pas normal de voir un mélange de lettres majuscules et minuscules dans le nom de domaine.
- Il n’est pas normal de voir des caractères non alphanumériques.
- Il n’est pas normal de voir des requêtes autres que A, AAAA, PTR.
- En cas de HTTP :
- Il n’est pas normal de voir des URI très longs et un grand nombre de paramètres de requête.
- les codages URI qui ne sont pas couramment utilisés.
- Il n’est pas normal de voir un grand nombre d’en-têtes de requête et d’en-têtes de réponse.
- Il n’est pas normal de voir des instructions SQL, des commandes shell et des scripts dans les paramètres des requêtes URI, les en-têtes des requêtes et les corps des requêtes.
- Il n’est pas normal de voir des transactions HTTP sans en-tête de demande d’hôte.
- Il n’est pas normal de voir des caractères CRLF dans les URI et les en-têtes.
- Il n’est pas normal de voir plusieurs paramètres portant le même nom.
- Et bien d’autres encore…
- Accès à des sites de mauvaise réputation : Un seul incident d’accès ou des accès multiples à des sites dont les adresses IP, les domaines et les URL sont mauvais sont également de bons indicateurs pour commencer la chasse.
- En cas de DNS
Enquête
Dans le cadre de la chasse, les chasseurs attendent des systèmes SASE qu’ils les aident à approfondir leurs investigations, au moins du point de vue du réseau.
Les chasseurs, pour une visibilité et une investigation complètes de bout en bout, peuvent également avoir besoin de travailler avec des systèmes d’observabilité des points finaux, des applications, de la virtualisation et de la plateforme de conteneurisation.
Les attentes des chasseurs en matière d’observabilité des SASE pour les enquêtes portent principalement sur des capacités de recherche plus approfondies.
Par exemple, en cas de détection d’un trafic d’exploitation, les chasseurs pourraient souhaiter vérifier si la machine/le logiciel exploité établit des connexions avec d’autres systèmes internes qui ne sont pas normalement établies par ce système ou s’il a téléchargé des fichiers d’autres systèmes qui ne sont pas normalement attendus et si ce système télécharge des logiciels malveillants vers d’autres systèmes, etc.
Résumé
La chasse aux menaces devient une pratique normale dans de nombreuses entreprises.
Elle implique généralement la détection d’indicateurs de compromission (IoC) et l’investigation à l’aide de plateformes d’observabilité pour les terminaux, les applications, la virtualisation et le Secure Access Service Edge (SASE).
Un SASE unifié qui combine un réseau étendu défini par logiciel (SDWAN), diverses fonctions de sécurité du réseau et des menaces, et une observabilité complète est nécessaire pour permettre une gestion complète du cycle de vie de la chasse aux menaces.
-
Blog CTO Insights
La série de blogs Aryaka CTO Insights fournit un leadership éclairé sur les thèmes du réseau, de la sécurité et de la SASE.
Pour les spécifications des produits Aryaka, consultez les fiches techniques d’Aryaka.