Les environnements professionnels sont en constante évolution, de nouveaux outils sont introduits, d'anciens outils sont supprimés, et ces changements de configuration sont effectués pour soutenir les changements, ce qui peut introduire de nouvelles vulnérabilités dans l'environnement. Parmi les exemples récents, citons la vulnérabilité CVE-2020-5902 de F5 qui a affecté l'interface utilisateur de gestion du trafic (TMUI) du BIG-IP de F5 ; ce port ne devrait jamais être accessible au public et devrait exiger que les utilisateurs s'authentifient de manière sécurisée et se connectent d'abord au réseau local avant de pouvoir y accéder. Chez Vectra AI, nous avons vu des cas où ce n'était pas le cas et où le TMUI a été accédé et exploité.
L'année 2020 a été marquée par une forte évolution du travail à distance en raison de la directive COVID-19, et les équipes opérationnelles ont dû faire des pieds et des mains pour y remédier :
La prise en charge de ce type de changement, en particulier pour une entreprise qui n'est pas prête à le faire, entraîne une multitude de problèmes de sécurité.
Lors d'un tel changement, l'objectif principal de l'entreprise est de s'assurer que les opérations ne sont pas interrompues, ce qui laisse les équipes de sécurité avec moins d'influence sur la mise en œuvre et coincées dans le soutien d'une solution qui n'a pas été conçue avec la sécurité à l'esprit. Sans une supervision adéquate, les vulnérabilités peuvent être exposées et les attaquants en profiteront.
Il existe de nombreux exemples de l'importance de la chasse, et les deux que nous évoquons ci-dessous soulignent la nécessité des programmes de chasse.
Voyons comment les équipes de sécurité peuvent exploiter Vectra Detect et les métadonnées de votre réseau pour rechercher des comportements malveillants. En outre, bien que nous fassions référence à Vectra Recall dans ce document, les techniques décrites pour Vectra Recall peuvent facilement être mises en œuvre en tirant parti de vos données de Vectra Stream.
La chasse aux menaces consiste à consacrer du temps à des recherches approfondies sur les particularités de votre propre réseau.
L'objectif d'une chasse aux menaces n'est pas seulement de trouver des acteurs malveillants au sein de votre réseau que les détections comportementales de Vectra n'ont pas nécessairement repérés ou de trouver des activités précurseurs. Il s'agit également de trouver des activités réseau qui ne sont pas nécessairement malveillantes, mais qui pourraient être en violation de votre posture de sécurité, ou inutilement peu sûres. La chasse aux menaces est avant tout une expérience d'apprentissage qui vous aide à comprendre ce qui se passe sur votre réseau. Cela devrait simplifier les investigations futures, car vous avez déjà une idée de ce qui se passe sur le réseau.
En tant qu'organisation, vous souhaiterez peut-être documenter vos résultats afin de partager vos connaissances au sein de l'entreprise. Vous pourriez réserver un certain temps chaque semaine ou chaque mois à la chasse aux menaces en équipe, avec une discussion à la fin où l'équipe discute de ce qu'elle a repéré et de ce que vous savez maintenant sur votre organisation et que vous ne saviez pas auparavant. Il peut s'agir d'un serveur qui sauvegarde tous les jours à 1 heure du matin un grand nombre de fichiers via SMB, ou de certains serveurs d'un centre de données qui envoient beaucoup de données à l'extérieur sur le port 46780 à des fins professionnelles légitimes. Ces constatations vous feront gagner du temps à l'avenir, car vous pourrez rapidement écarter et exclure les cas d'utilisation connus et légitimes pour vous concentrer sur tout ce qui est nouveau et inquiétant.
Du point de vue de l'enquêteur, il existe deux sources principales de preuves au cours d'une enquête : les preuves au endpoint et les preuves au niveau du réseau. La meilleure façon de décrire la différence entre ces deux sources est de faire l'analogie avec le vol de voiture. Il y a plusieurs étapes : le car-jacking, la balade et enfin la conclusion, qui peut être un accident de voiture. Se trouver sur les lieux du crime est une bonne chose, mais cela ne permet pas d'avoir une vue d'ensemble de la situation. Comment le voleur a-t-il trouvé la voiture ? D'où vient-il ? Quel itinéraire la voiture a-t-elle emprunté ? La seule façon d'obtenir un tableau complet est de combiner tous les éléments.
Si les données relatives endpoint sont plus utiles pour repérer le site initial de la violation, les données relatives au réseau sont plus utiles pour avoir une vue d'ensemble et relier les points entre eux. Imaginez que vous soyez à bord d'un hélicoptère qui observe le détournement d'une voiture et que vous regardiez la voiture se faufiler dans la circulation, dans les rues et à l'autre bout de la ville. Nous verrons tout, et nous verrons exactement où cela s'arrête.
Voici une référence rapide aux métadonnées disponibles et aux attributs communs à chaque flux de métadonnées.
La chasse prend du temps, et c'est pour cette raison que la plupart des organisations hésitent à chasser. Du point de vue du gestionnaire, il est difficile d'approuver le temps d'analyse lorsque vous n'êtes pas assuré d'obtenir un résultat. Selon nous, deux choses résultent généralement d'une chasse réussie.
Tout analyste qui consacre du temps à une chasse tirera inévitablement des enseignements de son expérience, et il devra faire des recherches et tester sa théorie. Cela signifie qu'un nouveau sujet est exploré au fur et à mesure qu'ils deviennent plus à l'aise avec l'utilisation de la plateforme Vectra AI , ce qui peut se traduire par du temps passé lors des investigations. Ils connaissent la syntaxe de Lucene, la façon d'empiler les données avec visualize et les champs de métadonnées disponibles.
Ces recherches leur permettront également de mieux comprendre leur propre environnement, car chaque réseau d'entreprise dispose d'un ensemble spécifique de politiques et d'outils qu'il utilise. Comprendre ce qui est normal permet d'identifier ce qui est anormal. Lorsqu'un analyste passe du temps à chercher, il améliore sa compréhension, ce qui se traduit par une plus grande efficacité.
Le résultat tangible sera un modèle personnalisé, de sorte que les connaissances et la compréhension de l'environnement peuvent être appliquées pour créer un modèle personnalisé sur mesure qui fonctionnera pour votre organisation. Cela permettra d'activer le modèle personnalisé dans Vectra Detect et de l'intégrer dans le flux de travail quotidien des analystes, ce qui augmentera la couverture des attaques et l'efficacité.
Dans l'environnement dynamique des menaces d'aujourd'hui, la chasse proactive aux menaces n'est pas seulement bénéfique, elle est essentielle pour maintenir des défenses de cybersécurité robustes. Les solutions avancées deVectra AI permettent aux équipes de sécurité de découvrir et de traiter efficacement les menaces cachées, améliorant ainsi la résilience de votre organisation contre les cyberattaques. Contactez-nous dès aujourd'hui pour savoir comment nous pouvons soutenir vos initiatives de chasse aux menaces et renforcer votre posture de sécurité.
La chasse aux menaces est la recherche proactive des cybermenaces qui se cachent dans un réseau sans être détectées. Contrairement aux mesures de sécurité traditionnelles qui s'appuient sur des alertes, la chasse aux menaces consiste à rechercher activement des indicateurs de compromission (IoC) afin d'identifier les activités malveillantes.
La chasse aux menaces est cruciale car elle aide les organisations à identifier et à atténuer les menaces avant qu'elles ne causent des dommages. Elle permet aux équipes de sécurité de garder une longueur d'avance sur les attaquants en découvrant les malware cachés, les menaces persistantes et les menaces individu qui échappent aux méthodes de détection traditionnelles.
Une chasse aux menaces efficace nécessite une combinaison de compétences techniques, notamment la connaissance de l'architecture des réseaux, des principes de cybersécurité et des techniques d'attaque les plus récentes, ainsi que des compétences analytiques permettant d'interpréter les données et d'identifier les schémas d'activité malveillante.
Vectra AI facilite la chasse aux menaces en offrant des capacités de détection basées sur l'IA qui identifient automatiquement les comportements indiquant des menaces avancées. Les équipes de sécurité peuvent ainsi concentrer leurs efforts sur l'étude des risques prioritaires, ce qui simplifie le processus de recherche des menaces.
Les outils et technologies couramment utilisés dans la chasse aux menaces comprennent les systèmes de gestion des informations et des événements de sécurité (SIEM), les plateformes de détection et de réponse aux Endpoint (EDR), l'analyse avancée et les flux de renseignements sur les menaces afin de recueillir et d'analyser des données provenant de diverses sources.
Les entreprises peuvent élaborer une stratégie de chasse aux menaces en définissant des objectifs clairs, en constituant une équipe de chasseurs de menaces compétente, en exploitant des solutions de sécurité avancées telles que Vectra AI et en mettant continuellement à jour leur base de connaissances avec les dernières informations sur les menaces.
L'apprentissage automatique joue un rôle central dans la chasse aux menaces en automatisant la détection des anomalies et des modèles qui peuvent indiquer une menace, ce qui permet aux équipes de sécurité de se concentrer sur une analyse et une investigation plus approfondies des risques potentiels.
Si certains aspects de la chasse aux menaces peuvent être automatisés, comme la collecte de données et l'analyse préliminaire, la nature complexe de l'identification et de l'interprétation des indicateurs subtils de compromission nécessite une expertise humaine et de l'intuition.
Les défis à relever sont notamment le besoin de personnel qualifié, la grande quantité de données à analyser, la distinction entre les faux positifs et les vraies menaces, et l'adaptation permanente à l'évolution des tactiques des attaquants.
La chasse aux menaces améliore le dispositif de sécurité global en identifiant rapidement les vulnérabilités et les menaces, ce qui permet de les atténuer à temps, de réduire la surface d'attaque de l'organisation et de renforcer l'efficacité des mesures de sécurité existantes.