apinan - Fotolia
La chasse aux menaces progresse, tout comme les menaces
De plus en plus d’entreprises se penchent sur la chasse aux menaces. Il y a une bonne raison à cela : la détection des menaces avancées constitue le principal défi de 55 % des centres de sécurité opérationnels.
Selon un récent sondage réalisé par Crowd Research Partners, de plus en plus d’entreprises mettent en place des fonctions de chasse aux menaces, mais la détection des menaces avancées reste difficile.
La recherche de menaces implique généralement des analystes qui identifient des incidents ou des attaques que les systèmes automatisés de détection peuvent avoir ratés. Mais les centres de sécurité opérationnels (SOC) continuent d’être submergés par la fréquence des menaces, et leurs dégâts potentiels, selon l’édition 2018 du rapport sur la chasse aux menaces de Crowd Research Partners.
Ainsi, 58 % des professionnels de la sécurité informatique interrogés ont déclaré que les cyber-menaces contre leurs organisations ont doublé en volume au cours des 12 derniers mois. Elles n’apparaissent moins nombreuses que pour 8 % des sondés. En moyenne, les SOC seraient passés à côté de 39 % des menaces – la majorité des attaques étant détectée en un à sept jours pour 58 % des organisations. En moyenne, les attaquants disposeraient de 30 jours pour œuvrer en toute impunité.
Pour les sondés, le principal défi qui affecte les SOC est la détection des menaces inconnues ou émergentes (55 %), les plus avancées en somme. Vient ensuite le manque de personnes compétentes (43 %), puis celui de la confiance dans les technologies de détection des menaces (36 %), le temps perdu sur les faux positifs (35%), ou encore des délais de réponse trop importants pour trouver ou détecter les menaces avancées (31%). Mais ce n’est pas tout : 29 % des sondés déplorent également des systèmes de gestion des informations et des événements de sécurité (SIEM) et des infrastructures SOC obsolètes.
Dans ce contexte, environ un tiers des sondés indiquent avoir recours à l’externalisation pour la chasse aux menaces. Mais la tâche reste traitée en interne pour 56 % des sondés.
Une combinaison d'analystes et d'outils
Dans le cadre de l’enquête, 40 % des répondants ont indiqué que les analystes de leurs organisations utilisaient des plateformes de chasse aux menaces, en hausse de 5 points par rapport à l’édition précédente de l’enquête. Les avantages évoqués vont de la détection améliorée des menaces avancées à la réduction du temps consacré pour la coordination des activités.
Les indicateurs de compromission les plus fréquemment étudiés par les analystes sont les anomalies comportementales (67 %), les adresses IP (58 %), les noms de domaine (46 %), les connexions refusées ou signalées (46 %) et les noms de fichiers (32 %).
La fonction chasse aux menaces apparaît légèrement plus répandue cette année que l’an passé : elle est présente dans les SOC de 17 % des sondés, contre 14 % en 2017. Dans plus de la moitié des cas, l’équipe dédiée au domaine compte un grand maximum de 5 analystes.
Pour autant, un tiers des sondés déplore des capacités de traitement des menaces émergentes limitées. Et seuls 28 % estiment disposer d’un SOC qualifié d’avancé, quand 15 % jugent le leur à la pointe.
Le SIEM est cité par 50 % des sondés comme outil utilisé pour la chasse aux menaces, contre 39 % pour les plateformes de gestion du renseignement sur les menaces, et 34 % pour les outils d’enrichissement et d’investigation.
Les outils les plus souhaités sont en priorité ceux de gestion du renseignement sur les menaces (69 %), suivis de ceux assurant l’analyse comportementale (57 %), et la détection automatique (56 %).
Pour son étude, Crowd Research Partners a interrogé en ligne 461 professionnels de la sécurité et des technologies de l'information du groupe Information Security Community sur LinkedIn. Les sondés représentent à 17 % le monde des nouvelles technologies, à 14 % celui des services financiers, banque et assurances, à 6 % celui télécommunications, et celui de la santé à 5 %. Les professionnels de la cybersécurité du secteur public représentaient 20% des personnes interrogées.