Chasse aux menaces

Les environnements professionnels sont en constante évolution, de nouveaux outils sont introduits, d'anciens outils sont supprimés, et ces changements de configuration sont effectués pour soutenir les changements, ce qui peut introduire de nouvelles vulnérabilités dans l'environnement. Parmi les exemples récents, citons la vulnérabilité CVE-2020-5902 de F5 qui a affecté l'interface utilisateur de gestion du trafic (TMUI) du BIG-IP de F5 ; ce port ne devrait jamais être accessible au public et devrait exiger que les utilisateurs s'authentifient et se connectent d'abord au réseau local avant de pouvoir y accéder. Sur Vectra AI, nous avons vu des cas où ce n'était pas le cas et où le TMUI a été accédé et exploité.

L'année 2020 a été marquée par une forte évolution du travail à distance en raison de la directive COVID-19, et les équipes opérationnelles ont dû faire des pieds et des mains pour y remédier :

1. Soutenir ce nouvel environnement de travail
2. Sécuriser les utilisateurs lorsqu'ils passent du bureau à la maison.

La prise en charge de ce type de changement, en particulier pour une entreprise qui n'est pas prête à le faire, entraîne une multitude de problèmes de sécurité.

Lors d'un tel changement, l'objectif principal de l'entreprise est de s'assurer que les opérations ne sont pas interrompues, ce qui laisse les équipes de sécurité avec moins d'influence sur la mise en œuvre et coincées dans le soutien d'une solution qui n'a pas été conçue avec la sécurité à l'esprit. Sans une supervision adéquate, les vulnérabilités peuvent être exposées et les attaquants en profiteront.

Il existe de nombreux exemples de l'importance de la chasse, et les deux que nous évoquons ci-dessous soulignent la nécessité des programmes de chasse.

Voyons comment les équipes de sécurité peuvent exploiter Vectra Detect et vos métadonnées réseau pour rechercher des comportements malveillants. En outre, bien que nous fassions référence à Vectra Recall dans ce document, les techniques décrites pour Vectra Recall peuvent facilement être mises en œuvre en utilisant les données de Vectra Stream.

Pourquoi la chasse aux menaces est-elle importante ?

La chasse aux menaces consiste à consacrer du temps à des recherches approfondies sur les particularités de votre propre réseau.

L'objectif d'une chasse aux menaces n'est pas seulement de trouver des acteurs malveillants au sein de votre réseau que les détections comportementales de Vectra n'ont pas nécessairement repérés ou de trouver des activités précurseurs. Il s'agit également de trouver des activités réseau qui ne sont pas nécessairement malveillantes, mais qui pourraient être en violation de votre posture de sécurité, ou inutilement peu sûres. La chasse aux menaces est avant tout une expérience d'apprentissage qui vous aide à comprendre ce qui se passe sur votre réseau. Cela devrait simplifier les investigations futures, car vous avez déjà une idée de ce qui se passe sur le réseau.

En tant qu'organisation, vous souhaiterez peut-être documenter vos résultats afin de partager vos connaissances au sein de l'entreprise. Vous pourriez réserver un certain temps chaque semaine ou chaque mois à la chasse aux menaces en équipe, avec une discussion à la fin où l'équipe discute de ce qu'elle a repéré et de ce que vous savez maintenant sur votre organisation et que vous ne saviez pas auparavant. Il peut s'agir d'un serveur qui sauvegarde tous les jours à 1 heure du matin un grand nombre de fichiers via SMB, ou de certains serveurs d'un centre de données qui envoient beaucoup de données à l'extérieur sur le port 46780 à des fins professionnelles légitimes. Ces constatations vous feront gagner du temps à l'avenir, car vous pourrez rapidement écarter et exclure les cas d'utilisation connus et légitimes pour vous concentrer sur tout ce qui est nouveau et inquiétant.

La chasse aux menaces avec les métadonnées du réseau

Du point de vue de l'enquêteur, il existe deux sources principales de preuves au cours d'une enquête : les preuves endpoint et les preuves de réseau. La meilleure façon de décrire la différence entre ces deux sources est de faire l'analogie avec le vol de voiture. Il y a plusieurs étapes, depuis le car-jacking jusqu'à la conclusion, qui peut être un accident de voiture, en passant par la balade. Se trouver sur les lieux du crime est une bonne chose, mais cela ne permet pas d'avoir une vue d'ensemble de la situation. Comment le voleur a-t-il trouvé la voiture ? D'où vient-il ? Quel itinéraire la voiture a-t-elle emprunté ? La seule façon d'obtenir un tableau complet est de combiner tous les éléments.

Si le site endpoint permet d'identifier le lieu initial de la violation, les données de réseau sont plus utiles pour avoir une vue d'ensemble et relier les points entre eux. Imaginez que vous soyez à bord d'un hélicoptère qui observe le détournement d'une voiture et que vous regardiez la voiture se faufiler dans la circulation, dans les rues et à travers la ville. Nous verrons tout, et nous verrons exactement où cela s'arrête.

Voici une référence rapide aux métadonnées disponibles et aux attributs communs à chaque flux de métadonnées.

L'intérêt de la chasse aux menaces

La chasse prend du temps, et c'est pour cette raison que la plupart des organisations hésitent à chasser. Du point de vue du gestionnaire, il est difficile d'approuver le temps d'analyse lorsque vous n'êtes pas assuré d'obtenir un résultat. Selon nous, deux choses résultent généralement d'une chasse réussie.

1. Connaissances

Tout analyste qui consacre du temps à une chasse tirera inévitablement des enseignements de son expérience et devra faire des recherches et tester sa théorie. Cela signifie qu'un nouveau sujet est exploré à mesure qu'il devient plus à l'aise avec l'utilisation de la plateforme Vectra AI , ce qui peut se traduire par du temps passé lors des investigations. Ils connaîtront la syntaxe de Lucene, la manière d'empiler les données avec visualize et les champs de métadonnées disponibles.

2. Compréhension de l'environnement

Ces recherches leur permettront également de mieux comprendre leur propre environnement, car chaque réseau d'entreprise dispose d'un ensemble spécifique de politiques et d'outils qu'il utilise. Comprendre ce qui est normal permet d'identifier ce qui est anormal. Lorsqu'un analyste passe du temps à chercher, il améliore sa compréhension, ce qui se traduit par une plus grande efficacité.

Le résultat tangible sera un modèle personnalisé, de sorte que les connaissances et la compréhension de l'environnement peuvent être appliquées pour créer un modèle personnalisé sur mesure qui fonctionnera pour votre organisation. Cela permettra d'activer le modèle personnalisé dans Vectra Detect et de l'intégrer dans le flux de travail quotidien des analystes, ce qui augmentera la couverture des attaques et l'efficacité.

Dans l'environnement dynamique des menaces d'aujourd'hui, la chasse proactive aux menaces n'est pas seulement bénéfique, elle est essentielle pour maintenir des défenses de cybersécurité robustes. Vectra AI Les solutions avancées d'EMC permettent aux équipes de sécurité de découvrir et de traiter efficacement les menaces cachées, améliorant ainsi la résilience de votre organisation contre les cyber-attaques. Contactez-nous dès aujourd'hui pour savoir comment nous pouvons soutenir vos initiatives de chasse aux menaces et renforcer votre posture de sécurité.