Qu’est-ce que la traque des menaces ?

Pourquoi la traque des menaces est-elle importante ?

Face à l’augmentation de la fréquence et du coût des violations de données, un programme de traque des menaces constitue un élément clé d’une stratégie de sécurité d’entreprise moderne et offre les avantages suivants :

• Défense proactive contre les risques potentiels et les menaces cachées, améliorant la posture de sécurité globale et aidant à atténuer les risques avant qu’ils ne s’aggravent, prévenant ainsi les violations potentielles
• Réponse plus rapide aux incidents et une réduction du temps d’attente en combinant des outils automatisés et l’expertise humaine pour une détection plus précise des menaces
• Réduction du risque de préjudice financier et de réputation, de perte de données, etc. dans un contexte d’attaques de plus en plus fréquentes et aux conséquences toujours plus onéreuses

Comment fonctionne la traque des menaces ?

Une traque efficace des menaces consiste à mener des enquêtes pratiques, à prévenir et à réduire les risques, mais cela ne peut se faire en vase clos. Bien au contraire, il s’agit d’une course aux armements avec des acteurs malveillants qui s’efforcent de lancer des attaques toujours plus rapides et plus nombreuses et de les rendre plus difficiles à détecter. Le processus de base de la traque des menaces peut être divisé en quatre parties :

1. Collecter et analyser les données

Les chasseurs de menaces recueillent de grandes quantités de données au sein et à l’extérieur du réseau de l’entreprise, notamment des journaux, des données sur le trafic et les terminaux, ainsi que des flux de renseignements sur les menaces. L’analyse comportementale et l’apprentissage automatique permettent d’établir une base de référence du comportement normal à partir de ces données, dont tout écart pourrait indiquer une menace potentielle.

2. Élaborer une hypothèse

Sur la base des informations recueillies lors de l’analyse des données, les chasseurs de menaces formulent des hypothèses concernant les menaces potentielles, en se concentrant sur l’identification des anomalies ou des activités suspectes susceptibles d’indiquer la présence d’un malware ou d’un autre incident de sécurité imminent.

3. Enquêter et valider

Les chasseurs de menaces recherchent des IOC, des signes d’activité malveillante ou des schémas inhabituels dans les données en examinant le trafic réseau, les journaux, l’activité des terminaux, etc. L’objectif est de déterminer si les indicateurs signalent de véritables menaces ou s’il s’agit simplement de faux positifs. La validation est essentielle pour permettre aux entreprises de répondre plus rapidement et plus efficacement aux menaces.

4. Améliorer en permanence

Pour s’adapter en permanence à l’évolution des menaces, le processus de traque est cyclique : les chasseurs de menaces appliquent les enseignements tirés pour affiner leurs techniques, actualiser leurs hypothèses, intégrer de nouveaux renseignements sur les menaces et de nouvelles solutions de sécurité, et bien d’autres choses encore, afin de mieux éclairer leur prochaine analyse.

Types de traque des menaces

L’approche qu’adoptent les chasseurs de menaces dépend des informations dont ils disposent d’emblée. Par exemple, un flux de menaces a-t-il fourni de nouvelles informations spécifiques à une souche de malware émergente, telles que des données de signature ? L’entreprise a-t-elle remarqué un pic soudain de son trafic sortant ?

La traque des menaces basée sur des pistes (ou traque structurée) est fondée sur des hypothèses ou sur des IOC spécifiques qui guident l’enquête. Par exemple, si les chasseurs reçoivent des informations spécifiques sur les malwares émergents, comme mentionné ci-dessus, ils peuvent alors rechercher les signes connus de ces malwares dans leur environnement.

La traque des menaces sans piste (également appelée traque non structurée) ne dépend pas de pistes ou d’indicateurs spécifiques. Les chasseurs de menaces utilisent plutôt des techniques d’analyse de données et de détection d’anomalies pour découvrir des éléments tels que le pic de trafic réseau précité, puis recherchent la cause de l’anomalie à partir de là.

Ces approches ne s’excluent pas mutuellement : les équipes de chasseurs de menaces doivent souvent s’appuyer sur une combinaison des deux dans le cadre d’une méthodologie de traque complète.

Avantages de l’automatisation dans le cadre de la traque des cybermenaces

L’automatisation est essentielle pour une traque efficace des menaces, associée à la pensée latérale et à la créativité humaine. Les acteurs malveillants exploiteront tout avantage disponible : cela signifie qu’aujourd’hui ils utilisent de plus en plus l’intelligence artificielle et l’automatisation pour alimenter leurs attaques.

L’automatisation accélère la détection et la réponse aux menaces en collectant, corrélant et identifiant les anomalies dans de grandes quantités de données en temps réel, bien plus efficacement que les humains ne peuvent le faire. De leur côté, les analystes humains disposent de plus de temps et d’attention pour se concentrer sur les incidents qui nécessitent une prise de décision contextuelle nuancée ou pour lesquels il n’existe pas de données de sécurité historiques permettant aux outils automatisés de procéder à des déterminations.

Modèles et méthodologies de la traque aux menaces

Différents modèles et méthodologies de traque des menaces aident les chasseurs à identifier, enquêter et atténuer les menaces en se concentrant sur différents aspects, en fonction de la spécificité de leur équipe ou de la menace elle-même. Voici quelques modèles courants :

Cadre MITRE ATT&CK

Base de connaissances des TTP des adversaires connus, le cadre MITRE ATT&CK offre un moyen normalisé de catégoriser et d’analyser les comportements des menaces aux différents stades d’une attaque, ce qui aide les chasseurs de menaces à aligner leurs efforts de détection et de réponse.

Lockheed Martin Cyber Kill Chain

Ce modèle décompose les sept étapes d’une cyberattaque, de la reconnaissance à l’exfiltration, pour faciliter les efforts proactifs de traque des menaces en identifiant les vulnérabilités et les stratégies d’atténuation potentielles efficaces aux différents points de la chaîne d’attaque.

Cyber Threat Intelligence Life Cycle

Ce processus continu de collecte, d’analyse et de diffusion des renseignements sur les menaces aide les chasseurs de menaces à intégrer des renseignements opportuns et pertinents sur les menaces dans leurs efforts de détection et de réponse, ce qui permet aux entreprises de garder une longueur d’avance sur les menaces émergentes.

Pour en savoir plus, consultez notre article dédié, Que sont les renseignements sur les menaces ?

Boucle OODA ou « Observe, Orient, Decide, Act » (Observer, Orienter, Décider, Agir)

Ce cadre en quatre étapes, développé à l’origine pour l’armée de l’air américaine, aide les chasseurs de menaces à contextualiser les informations relatives à l’évolution des menaces afin de s’adapter plus rapidement aux situations changeantes, de prendre des décisions éclairées et d’entreprendre des actions efficaces.

Diamond Model of Intrusion Analysis

Ce cadre d’attribution des cybermenaces définit les quatre caractéristiques principales de l’activité d’intrusion (l’adversaire, l’infrastructure, la victime et la capacité) et leurs relations afin d’aider les chasseurs de menaces à comprendre le qui, le quoi, le où et le comment d’une attaque.

Outils de traque des menaces

Tout comme il existe de nombreuses méthodologies de traque, la boîte à outils du chasseur de cybermenaces comporte de nombreux outils. Voici quelques-unes des technologies les plus courantes :

• Les outils de gestion des informations et des événements de sécurité (SIEM) collectent et analysent les données de journaux du réseau d’une entreprise et fournissent une plateforme centrale de surveillance et d’alerte.
• Les outils d’analyse du trafic réseau (NTA) analysent les modèles et les comportements du trafic réseau pour détecter les activités suspectes et identifier les menaces potentielles.
• Les outils de détection et de réponse des terminaux (EDR) détectent les activités suspectes sur les terminaux en temps réel tout en fournissant des services d’enquête, de traque des menaces, de triage et de correction.
• Les plateformes de renseignements sur les menaces (TIP) regroupent, corrèlent, analysent et enrichissent les renseignements sur les menaces provenant de diverses sources pour aider les analystes et leurs outils à prendre des décisions éclairées.
• Les plateformes SOAR (orchestration de la sécurité, automatisation et réponse) automatisent et orchestrent les tâches de réponse aux incidents, permettant une atténuation plus rapide et plus efficace des menaces.
• Les outils d’analyse des vulnérabilités prennent en charge la gestion des correctifs et l’évaluation des risques en analysant les environnements et les applications d’une entreprise pour identifier les vulnérabilités que pourraient exploiter les attaquants.
• Les outils de gestion de la surface d’attaque (ASM) procurent une visibilité sur la surface d’attaque d’une entreprise, contribuant à la réduire en identifiant, en surveillant et en atténuant les vulnérabilités et les vecteurs d’attaque potentiels.
• Les sandbox pour malwares isolent et analysent les fichiers et programmes suspects dans un environnement contrôlé. Ils sont utilisés pour identifier un comportement typique de malware et évaluer les menaces potentielles.
• Les outils d’émulation des menaces et de Red-Teaming simulent des cyberattaques réelles pour aider les entreprises à évaluer leur posture de sécurité et à identifier les vulnérabilités.
• La technologie de tromperie déploie des leurres dans un réseau aux côtés de ressources réelles pour attirer les hackers et générer des alertes extrêmement fiables qui réduisent le temps d’attente et accélèrent la réponse aux incidents.

Qui devrait être impliqué dans la traque des menaces ?

Les analystes de sécurité familiarisés avec les outils de détection et de traque des menaces sont les acteurs les plus essentiels de vos efforts de chasse aux menaces, assumant la direction de la surveillance et de l’analyse des alertes, du suivi des comportements suspects, de l’identification des indicateurs d’attaque (IOA), et bien plus encore. Les petites entreprises peuvent n’employer qu’un seul analyste à temps plein, tandis que les plus grandes entreprises peuvent disposer d’équipes de centre d’opérations de sécurité (SOC) ou de services gérés importants.

Parmi les autres membres importants du personnel de support figurent souvent les personnes suivantes :

• Les analystes de renseignements sur les menaces distillent les renseignements sur les menaces dans un contexte critique et des indicateurs de compromission.
• Les équipes juridiques et de conformité aident à maintenir le respect des exigences légales et réglementaires.
• Les dirigeants et les membres du conseil d’administration doivent prendre des décisions de haut niveau concernant la stratégie, les ressources humaines et la budgétisation.

Que vous faut-il pour commencer à traquer les menaces ?

Votre entreprise doit disposer de quatre éléments essentiels pour traquer efficacement les menaces :

1. Équipe de chasseurs et d’analystes qualifiés. Si vous disposez d’une équipe de sécurité interne, investissez dans la formation et le développement continus pour les aider à protéger votre entreprise contre l’évolution des menaces sophistiquées.
2. Bonne combinaison de technologies de traque des menaces et d’outils automatisés, notamment des plateformes SIEM, des solutions EDR, des outils NTA et des plateformes de renseignement sur les menaces.
3. Accès aux journaux, aux données de trafic réseau, aux données comportementales et bien plus encore pour garantir à vos chasseurs de menaces une vue complète sur le paysage des menaces.
4. Cadre stratégique clair pour la traque des menaces, avec des objectifs et des stratégies définis qui s’alignent sur votre tolérance au risque et votre posture de sécurité.

Rôle de Zscaler dans la traque des menaces

Les experts en traque des menaces de Zscaler ThreatLabz surveillent les anomalies au sein des 500 000 milliards de points de données qui traversent le plus grand cloud de sécurité au monde, identifiant et détectant les activités malveillantes ainsi que les menaces émergentes.

Zscaler ThreatLabz utilise des renseignements sur les menaces et des outils exclusifs pour traquer de manière proactive les tactiques, outils et procédures (TTP) révélateurs des menaces, des groupes d’adversaires les plus sophistiqués aux malwares de base, ce qui permet une couverture complète des menaces actuelles.

Ces points de données sont également utilisés pour entraîner des modèles d’apprentissage automatique afin de permettre des détections plus rapides et plus étendues. Cette approche proactive contribue à l’identification et au blocage de 9 milliards de menaces potentielles par jour, avant qu’elles ne puissent affecter nos clients ou causer des préjudices.