Chasse aux menaces vs sécurité réactive : l'importance de la proactivité

Au fur et à mesure que les entreprises évoluent et grandissent, il en va de même pour leur technologie et leurs réseaux. Bien qu'il s'agisse d'un effet attendu sur la croissance de l'entreprise, un réseau étendu nécessite une gestion dédiée de la surface d'attaque.

Les entreprises doivent mettre en œuvre plusieurs couches de protection pour sécuriser les appareils, les données, les réseaux et les personnes. En plus de la mise à l'échelle massive des réseaux d'entreprise, les acteurs malveillants développent continuellement des cyberattaques de plus en plus sophistiquées pour tenter de trouver des vulnérabilités exploitables et de pénétrer les défenses réseau d'une organisation.

Il est impossible de lutter à la fois contre les vulnérabilités et expositions courantes (CVE) et contre les cybermenaces inconnues par le seul biais d'une approche de sécurité réactive. Cela peut suffire pour les menaces courantes et connues, mais rendra votre réseau vulnérable à diverses  menaces avancées : vulnérabilités zero-day, menaces persistantes avancées (APT) et vecteurs d'attaque sophistiqués. C'est pourquoi il est préférable de combiner une sécurité réactive avec une approche proactive.

Ci-dessous, nous explorerons la sécurité réactive et proactive, leur fonctionnement, leur mise en œuvre et les meilleures pratiques à utiliser dans les deux approches.

La sécurité réactive utilise des outils de cybersécurité et les meilleures pratiques pour mettre en place des défenses robustes contre les approches d'attaque courantes et les cybermenaces. Il permet également de détecter les activités malveillantes lorsque des tiers mal intentionnés pénètrent dans les défenses de votre réseau et obtiennent un accès non autorisé à votre système.

Les fonctionnalités de sécurité réactive les plus courantes comprennent les pare-feu, les antivirus et les filtres anti-spam, l'évaluation réaliste des vulnérabilités et un plan de reprise après sinistre.

La sécurité réactive est mieux utilisée pour faire face aux cyberattaques plus traditionnelles. Il s'appuie sur des systèmes de détection d'intrusion et des indicateurs de compromission (IoC) pour identifier les activités malveillantes et prendre des mesures après coup. Étant donné que les attaquants mettent généralement plus de temps à endommager un système que la réponse aux incidents à se déclencher, la sécurité réactive permet d'éviter l'impact négatif des virus et des logiciels malveillants connus. Même en cas d'incident de sécurité, vous pouvez détecter et contrer les attaquants.

Même si la sécurité réactive est moins bien équipée pour faire face aux menaces sophistiquées que la sécurité proactive, les entreprises doivent tout de même mettre en œuvre des pratiques de sécurité réactives judicieuses pour optimiser leur stratégie de cybersécurité. Explorons ci-dessous quelques-unes des approches les plus courantes et les plus efficaces en matière de sécurité réactive.

Un plan de reprise après sinistre (PRA) décrit les mesures que les organisations doivent prendre à la suite d'une cyberattaque. Il comprend toutes les politiques, procédures et outils pour aider une entreprise à se remettre d'une cyberattaque, d'une catastrophe naturelle ou d'une violation de données. Une PRA adéquate doit inclure l'identification et la classification des actifs de données critiques et sensibles, un inventaire de toutes les ressources de l'entreprise, une assurance générale et une assurance contre la cybersécurité, le personnel clé autorisé à aider dans un scénario de reprise après sinistre, les mesures d'intervention d'urgence, le plan d'intervention médiatique et juridique, etc.

Même si des auteurs de menace pénètrent dans la sécurité du réseau de l'entreprise et provoquent une grave violation de données, un plan de reprise après sinistre robuste minimisera les dommages, évitera toute panique, aidera à reprendre rapidement les activités normales et, en fin de compte, assurera un flux de revenus optimisé.

L'évaluation des vulnérabilités (ou analyse des vulnérabilités) est une approche systématique utilisée pour détecter, évaluer, hiérarchiser et proposer des mesures d'atténuation et de correction des vulnérabilités de sécurité sur un réseau ou un système cible. L'objectif principal de l'évaluation des vulnérabilités est d'examiner toutes les faiblesses de sécurité du système informatique d'une entreprise.

L'approche comprend généralement quatre étapes principales :

• Tests de sécurité

Permet de découvrir toutes les vulnérabilités d'une application cible, d'un serveur ou d'un système entier.

• Analyse des vulnérabilités

Permet de déterminer la ou les causes profondes des vulnérabilités existantes.

• Évaluation du risque

Permet de catégoriser et de hiérarchiser les failles de sécurité en fonction de la sensibilité des données et des systèmes affectés, du potentiel d'attaque et des dommages potentiels associés à une attaque réussie.

• Remédiation

Utilisé pour décrire les étapes appropriées et les pratiques d'atténuation à mettre en œuvre dans un ordre spécifique pour remédier aux failles de sécurité.

L'évaluation de la vulnérabilité est une méthodologie complexe comprenant de nombreux processus. Certains peuvent être considérés comme réactifs, tandis que d'autres sont proactifs. Cependant, comme toutes les tactiques d'AV se concentrent principalement sur les vulnérabilités existantes, elles sont perçues comme des mesures de sécurité réactives.

Les incidents de sécurité peuvent rapidement dégénérer en une violation de données à part entière s'ils sont mal gérés. Une telle violation peut entraîner un effondrement des opérations et des pertes financières diverses. La réponse aux incidents se concentre sur les politiques et les procédures visant à traiter et à atténuer une cyberattaque et ses conséquences potentielles.

Un plan de RI solide comprend généralement six étapes :

• Préparation

Un plan de RI efficace décrit les mesures que les entreprises doivent prendre à l'avance pour contrer les événements perturbateurs. La planification des RI commence par un plan d'atténuation des violations de données approprié.

Au cours de la phase de préparation, les entreprises doivent aligner les politiques de protection des données sur les objectifs de cybersécurité et les défenses de l'infrastructure informatique. Vous devez vous assurer que tous les employés de l'entreprise sont au courant de la formation RI requise ; Vous devez également effectuer un audit complet du système pour vous assurer que les données sensibles sont correctement sécurisées.

• Identification, détection et réponse aux activités malveillantes

Après préparation, votre entreprise doit créer un processus fiable d'identification des vulnérabilités pour détecter quand les systèmes ont été compromis. Si vous pouvez détecter une faille de sécurité suffisamment tôt, vous serez mieux équipé pour atténuer l'attaque. Même si vous ne pouvez pas atténuer complètement les cybermenaces, vous serez en mesure d'accélérer le processus de détection et de réponse afin de minimiser les dommages et d'économiser du temps et de l'argent.

Lors de l'analyse d'un incident de sécurité, vous devez vous concentrer sur l'identité de la personne qui a découvert la violation, son étendue, la manière dont elle affecte vos opérations et la source (cause première) de la compromission.

• Confinement et atténuation

Le confinement concerne les mesures prises par votre entreprise pour atténuer les dommages après une violation. Selon le scénario de l'incident, vous devrez peut-être isoler les terminaux ou les données compromis ou supprimer un acteur malveillant de vos systèmes. Pendant la phase de confinement, vous devriez être en mesure de déterminer s'il faut maintenir un système en ligne ou le supprimer. En outre, vous devez connaître les mesures immédiates potentielles que vous pouvez prendre pour combler les vulnérabilités.

• Éradication

La phase d'éradication d'un plan de réponse aux incidents se concentre sur la correction des vulnérabilités qui ont permis la violation en premier lieu. Les mesures spécifiques que vous prendrez dépendront du scénario d'attaque. Cependant, votre plan de RI doit décrire des processus capables d'identifier comment les données ont été compromises et comment éradiquer le risque de sécurité dans tous les scénarios potentiels.

Supposons que vos systèmes aient été infectés par des logiciels malveillants. Vous devez supprimer le code malveillant et isoler tous les appareils, applications et systèmes concernés de votre réseau principal. Si un attaquant parvenait à violer la sécurité du réseau via des informations d'identification d'employés compromises, vous gèleriez immédiatement le compte correspondant.

• Récupération des données et du système

Une fois que vous avez supprimé la menace, vous pouvez vous concentrer sur la restauration de vos systèmes. En fonction de la gravité de l'attaque et de la complexité de votre environnement, ce processus peut s'avérer difficile. Un plan d'IR dédié devrait éliminer le risque que des attaques similaires réussissent à neutraliser davantage les menaces et à annuler les dommages cumulés.

Vous devez tester et surveiller tous les systèmes concernés une fois la correction terminée. Cela garantira que vos mesures de réponse aux incidents ont fonctionné comme prévu et vous donnera le temps de corriger toute faille de vulnérabilité persistante.

• Rapports et résumé des RI

Une fois que vous avez terminé l'étape précédente, vos équipes de sécurité doivent examiner l'incident et identifier les possibilités de l'améliorer. Votre équipe de RI doit évaluer quelles parties de votre plan de RI ont fonctionné et lesquelles ont rencontré des problèmes.

Il est essentiel d'évaluer chaque étape du processus : discutez de ce qui s'est passé, pourquoi cela s'est produit, comment vous avez réussi à contenir la situation et ce qui aurait pu être exécuté différemment. Il est essentiel d'identifier les lacunes de votre plan et de déterminer s'il est facile à comprendre et à suivre.

En règle générale, il est préférable d'évaluer un incident passé une semaine ou deux après sa survenance afin que vos équipes puissent avoir suffisamment de temps pour examiner la situation sous tous les angles, l'incident étant encore frais dans leur mémoire.

L'objectif principal de la dernière étape est d'identifier les problèmes et les lacunes de votre plan de RI, d'interpeller les membres responsables pour les erreurs commises et de s'assurer que des inefficacités ne se produiront pas à l'avenir. Si le processus de RI ne s'est pas déroulé comme prévu, cela peut indiquer que la documentation n'est pas claire, que le personnel n'a pas reçu une formation adéquate ou que les mesures d'intervention ont été mal définies.

Aussi pratique soit-elle, la sécurité réactive présente un inconvénient majeur. Les auteurs de menace conçoivent et améliorent des menaces sophistiquées qui ciblent souvent des vulnérabilités inconnues et passent inaperçues par les solutions de sécurité traditionnelles. Si une telle menace contourne la sécurité du réseau, l'ensemble de votre environnement informatique peut être compromis. Et au moment où les outils réactifs y réagissent, vous subissez peut-être déjà des failles de sécurité entraînant des pertes de données, des temps d'arrêt et des processus métier entravés. C'est pourquoi il est essentiel d'utiliser des mesures de sécurité proactives en plus des moyens de cybersécurité traditionnels.

Voyons ce que c'est, comment cela fonctionne et comment le mettre en œuvre le plus efficacement possible dans votre entreprise.

La chasse aux menaces (ou « chasse aux cybermenaces ») est une approche de sécurité proactive axée sur la détection et la réponse aux menaces potentielles qui se cachent dans votre réseau. Un programme de chasse aux cybermenaces surveillera l'activité des terminaux, collectera des données de télémétrie, recherchera des indicateurs d'attaque (IoA) et analysera les renseignements sur les menaces recueillis pour identifier les activités suspectes et remédier aux menaces avant qu'elles ne deviennent une violation de données à part entière.

Si des attaquants accèdent à votre système, ils peuvent rester cachés pendant des mois, collecter méticuleusement des données de sécurité et des documents confidentiels, ou obtenir des identifiants de connexion pour infiltrer l'ensemble de votre réseau. Si un attaquant provoque une faille de sécurité, votre organisation aura besoin d'une stratégie de sécurité fiable et proactive pour traquer les menaces avancées et les arrêter dans leur élan.

Dans le paysage actuel des menaces, la chasse aux menaces est nécessaire pour garantir la détection des activités suspectes, l'évaluation des risques à long terme et l'identification des vulnérabilités de sécurité.

La chasse aux cybermenaces combine la puissance de traitement du Big Data avec l'élément humain. Ici, nous disposons d'outils de sécurité automatisés qui collectent d'immenses quantités de données sur l'activité des terminaux afin de détecter, d'identifier et d'enquêter sur les menaces potentielles et d'alerter les chasseurs de menaces humaines des actions de remédiation et de réponse aux incidents possibles.

Un programme de chasse aux menaces efficace permettra d'enquêter sur des incidents de sécurité complexes afin d'étudier les tactiques, les techniques et les procédures (TTP) des cyberacteurs afin de présenter aux professionnels de la sécurité une connaissance approfondie d'une attaque en cours. Il contribuera également à la gestion de la surface d'attaque, aux tests d'intrusion, à l'évaluation des vulnérabilités, à la détection et à la réponse aux terminaux, ainsi qu'aux stratégies de prévention des pertes de données.

Comme les chasseurs de menaces automatisés s'appuient sur l'apprentissage automatique pour examiner tous les composants de la surface d'attaque de votre réseau, ils peuvent contourner le facteur d'erreur humaine dans la détection des menaces. Néanmoins, la chasse proactive aux menaces repose sur le suivi de résultats fiables par vos équipes de sécurité et l'atténuation des menaces le plus rapidement possible.

Les chasseurs de menaces partent du principe qu'un attaquant se trouve déjà dans un système cible, ils lancent donc des enquêtes de renseignement sur les menaces pour identifier les comportements suspects susceptibles d'être liés à une activité malveillante. En règle générale, les enquêtes sur la chasse aux menaces sont divisées en trois catégories principales.

Cette approche combine une analyse approfondie des données et l'apprentissage automatique pour analyser des quantités massives d'informations afin de détecter les activités suspectes susceptibles de suggérer des actions malveillantes. Une fois les anomalies détectées, les équipes de sécurité peuvent commencer à traquer les menaces pour neutraliser les menaces potentielles.

Cette approche de chasse aux menaces s'appuie souvent sur de nouvelles données sur les menaces identifiées comme malveillantes grâce à un grand volume de renseignements sur les menaces provenant de la foule, qui présente des informations sur les tactiques, les techniques et les procédures (TTP) des attaquants potentiels.

Une fois que la technologie de sécurité a identifié un nouveau TTP, les chasseurs de menaces inspectent leur propre environnement à la recherche d'indicateurs TTP spécifiques et atténuent les risques potentiels.

La chasse aux menaces dédiée peut utiliser des renseignements tactiques sur les menaces pour tenir un inventaire de tous les indicateurs connus de compromission (IoC) et d'indicateurs d'attaque (IoA) associés au pool de cybermenaces actuel.

Tous les IoC et IoA catalogués agiront comme des déclencheurs qui alerteront les chasseurs de cybermenaces des attaques potentielles en cours ou du trafic réseau inhabituel sur le système cible. Cependant, s'appuyer sur des indicateurs de menace de compromission est davantage une mesure de sécurité réactive. (une telle approche basée sur Intel vérifiera également les valeurs de hachage, les adresses IP et les noms de domaine)

Être « proactif » consiste à anticiper les besoins, les enjeux, les changements ou les problèmes futurs et à prendre les mesures appropriées. Lorsqu'il s'agit de cybermenaces, la sécurité proactive signifie la même chose : elle englobe tout ce que vous devez faire avant qu'une attaque ne se produise sur votre réseau. Contrairement à la sécurité réactive, qui réagit à une attaque après qu'elle ait déjà eu lieu, la sécurité proactive se concentre en premier lieu sur la lutte contre les attaques.

Les méthodes de sécurité proactives comprennent l'ensemble des processus et des activités effectués régulièrement au sein d'une entreprise pour prévenir les risques. Ces processus peuvent inclure :

• Identifier et corriger les vulnérabilités de l'infrastructure réseau pour éliminer les failles de sécurité
• Prévention des violations de sécurité et de données
• Évaluations régulières des vulnérabilités et tests de sécurité
• Tests d'intrusion

La conception d'un excellent programme de chasse aux cybermenaces est un processus complexe et très intensif. Les entreprises doivent s'efforcer de rationaliser les tâches critiques pour garantir la fidélité et l'évolutivité. Bien que les outils modernes de chasse aux menaces fassent une différence significative, il est essentiel d'adopter une approche bien organisée et suffisamment structurée de la chasse aux menaces.

Pour qu'un chasseur de menaces soit efficace, les entreprises doivent se procurer la préparation requise. Il est essentiel de recueillir des informations, de décider de la hiérarchie des menaces et de définir des approches d'atténuation des menaces.

Voyons comment décomposer le processus pour économiser du temps et des ressources.

Évaluez vos actifs de données critiques

La première phase d'un plan robuste de chasse aux menaces est l'inventaire des informations critiques. Les entreprises doivent effectuer une analyse des cybermenaces pour traiter les données pertinentes sur le réseau de l'entreprise, où il se trouve, qui peut y accéder et quelles défenses sont en place pour le protéger.

La collecte d'autant de données de sécurité que possible avant que les chasseurs de menaces ne lancent le programme facilitera et accélérera le processus. Dans le meilleur des cas, votre inventaire couvrira toutes les données critiques et fournira les détails suivants :

• Topologies physiques et logiques
• Données de contrôle de sécurité : marque, modèle, système d'exploitation et configuration
• Données des périphériques réseau - marque, modèle, système d'exploitation, configuration
• Données de l'hôte : marque, modèle, système d'exploitation et configuration, ainsi que configuration matérielle
• Données pan-infrastructure pour les systèmes de gestion de contenu, les hyperviseurs et les systèmes d'échange de données (les informations doivent inclure les versions, les listes d'accès et les contrôles de sécurité)
• Contrôle d'accès et liste d'accès pour tous les actifs numériques critiques (y compris les appareils mobiles)
• Flux de données entre les applications et les hôtes pour les solutions et les services
• Points de contact principaux pour tous les actifs critiques
• Formats, emplacements et types de journaux pour toutes les ressources critiques

Une fois que vous disposez d'un inventaire complet des actifs critiques, vous devez les catégoriser et les hiérarchiser afin de déterminer les actifs les plus cruciaux à protéger via la chasse aux menaces.

Pour déterminer quels actifs numériques nécessitent le plus haut niveau de protection, chaque entreprise doit examiner ses besoins spécifiques, ses objectifs et les menaces potentielles qui pèsent sur ses données. Qu'il s'agisse de propriété intellectuelle, de comptes clients ou d'une plateforme de services, chaque organisation doit adapter un programme unique de chasse aux menaces.

Les chasseurs de menaces de votre organisation bénéficieront grandement d'une feuille de route de chasse aux menaces. Savoir quelles menaces se cachent, comment elles peuvent avoir un impact sur votre réseau et comment vous pouvez les atténuer le plus efficacement possible facilitera considérablement le processus de chasse aux menaces.

Si vous disposez des ressources nécessaires, vous pouvez combiner une équipe dédiée à la chasse aux menaces avec une solution de cybersécurité robuste pour collecter des tonnes de données de sécurité. Vos équipes de sécurité peuvent ensuite utiliser ces mêmes données pour élaborer une approche hautement personnalisée de la recherche de cybermenaces et de l'appel d'alertes automatiques en fonction du paysage des menaces du secteur d'activité de votre entreprise et des actifs essentiels de votre inventaire.

Une fois l'inventaire, la hiérarchisation des actifs et les rapports d'activité sur les menaces terminés, un analyste des menaces peut créer une feuille de route sophistiquée des menaces les plus urgentes à examiner.

En règle générale, le processus comprend la génération d'une liste d'exigences prioritaires en matière de renseignement (PIR) qui vous posera des questions précises concernant les cybermenaces (et les auteurs de menaces) afin de guider votre programme de chasse aux menaces.

Un chasseur de menaces proactif suit généralement trois étapes principales pour mener à bien une chasse : un déclencheur, une enquête et une résolution. Un programme de chasse aux menaces efficace contribuera grandement à atténuer les menaces avancées et à garantir une stratégie fiable de prévention des pertes de données.

Les chasseurs de menaces utilisent des points de déclenchement pour identifier une zone ou un système spécifique du réseau afin d'enquêter plus en détail lorsque les outils EDR détectent une activité suspecte susceptible de suggérer des actions malveillantes. Une approche basée sur des hypothèses à l'égard d'une nouvelle menace est souvent un déclencheur pour une chasse proactive aux menaces.

Les chasseurs de menaces utilisent des technologies avancées de renseignement sur les menaces, telles que les outils de détection et de réponse aux points de terminaison (EDR), pour analyser les activités malveillantes potentielles (ou compromission) au sein d'un système cible. La phase d'enquête se poursuit jusqu'à ce que les actions malveillantes soient entièrement étudiées et corrigées ou jugées bénignes pour conclure une chasse aux menaces réussie.

La dernière phase consiste à communiquer efficacement les renseignements pertinents sur les activités malveillantes aux équipes de sécurité afin qu'elles puissent réagir correctement à l'incident et atténuer les cybermenaces. Les informations recueillies sur les activités malveillantes et non nuisibles sont généralement introduites dans la technologie de sécurité automatisée afin d'améliorer l'efficacité et de minimiser les faux positifs sans autre intervention humaine.

Au cours de la dernière phase, les chasseurs de cybermenaces recueilleront autant de données que possible sur le comportement des attaquants, les modèles d'attaque et les techniques opérationnelles afin de déterminer les tendances de l'environnement de sécurité de l'entreprise, d'éliminer les lacunes actuelles et de proposer des améliorations à la stratégie de cybersécurité à l'avenir.