Comment renseignement et chasse aux cybermenaces vont de pair
Comprendre et utiliser conjointement le renseignement sur les menaces et la chasse aux menaces permet aux entreprises de disposer d’un dispositif de sécurité bien équilibré. Découvrez comment élaborer votre plan.
Le renseignement sur les menaces et la chasse aux menaces sont deux composantes de l’espace défensif de la cybersécurité qui aident les organisations à atténuer les menaces de manière proactive. En fin de compte, ces deux méthodes constituent des disciplines défensives distinctes, mais complémentaires pour protéger l’infrastructure numérique.
Examinons les différences entre les deux disciplines et voyons comment les utiliser conjointement pour renforcer la sécurité face aux menaces.
Qu’est-ce que le renseignement sur les menaces ?
Le renseignement sur les menaces (ou CTI, pour Cyber Threat Intelligence) concerne la collecte, l’analyse et l’utilisation de données provenant de diverses sources afin de prévenir et d’atténuer les cybermenaces potentielles ou effectives. L’objectif du renseignement sur les menaces est de fournir des informations exploitables qui peuvent aider les équipes de sécurité à mieux comprendre les tactiques, techniques et procédures (TTP) des attaquants.
Principaux éléments de la veille sur les menaces
Plusieurs aspects essentiels du renseignement sur les menaces sont utilisés pour recueillir des données et des informations sur les tendances en matière de cybersécurité. Les éléments suivants servent de feuille de route pour s’assurer que les informations collectées sont utiles et pertinentes pour une organisation et les nouvelles menaces auxquelles elle est confrontée :
- Collecte de données. La recherche et la collecte de données brutes provenant de diverses sources constituent la première étape du renseignement sur les menaces. Les sources peuvent être ouvertes (recherches publiques sur le web, les forums en ligne, médias sociaux, archives publiques en ligne, etc.), ou plus complètes (places de marché du dark web, flux de menaces, examen des CVE récents, des incidents de sécurité et des journaux des systèmes internes). Lors de la collecte de données pour le renseignement sur les menaces, l’objectif est de rassembler des informations pertinentes pour identifier les schémas et les méthodes d’attaque ainsi que d’autres menaces.
- Analyse des données. Une fois les données brutes collectées, elles doivent être examinées et analysées. L’objectif de cette étape est de filtrer le bruit médiatique concernant les menaces émergentes, de supprimer les informations inutiles et de fournir des informations sur les menaces actives et les vulnérabilités découvertes, y compris les menaces inédites de type 0day. L’IA a permis d’automatiser en partie ce processus en triant de vastes ensembles de données afin de reconnaître plus rapidement et plus efficacement les activités et les comportements douteux.
- Contextualisation. Les données de renseignement sur les menaces qui ont été recueillies n’ont de valeur que si elles sont pertinentes pour l’organisation concernée. L’objectif de la contextualisation est de cartographier les menaces potentielles qui pèsent sur l’infrastructure et les actifs numériques d’une organisation. Pour ce faire, il faut comprendre quels types de menaces et quelles menaces spécifiques sont susceptibles de concerner des systèmes précis, ainsi que leur impact.
- Informations exploitables. Une fois que les données ont été collectées, analysées et mises en contexte, elles devraient fournir des indications sur les mesures proactives que les équipes de sécurité peuvent prendre. Par exemple, ces informations peuvent permettre aux équipes de corriger les vulnérabilités, de modifier et de reconfigurer les règles de pare-feu, d’ajuster les procédures et les plans de réponse aux incidents et de mettre à jour la formation de sensibilisation à la sécurité des employés en fonction des méthodes d’attaque spécifiques par lesquelles l’organisation est concernée.
Qu’est-ce que la chasse aux menaces ?
La chasse aux menaces consiste à rechercher activement des signes de compromission, des comportements suspects ou des vulnérabilités. Il s’agit d’un mélange de techniques manuelles et automatisées qui ne s’appuie pas sur les mesures d’alerte et de défense passives traditionnelles, telles que les pare-feu : il s’agit de se concentrer sur les menaces qui ne sont pas aisément et immédiatement détectables.
Principales caractéristiques de la chasse aux menaces
Plusieurs caractéristiques clés de la chasse aux menaces permettent aux équipes de sécurité d’avoir une meilleure visibilité sur les menaces émergentes et de les atténuer avec succès. Les étapes suivantes se concentrent sur des mesures proactives qui visent à approfondir les menaces invisibles pour l’organisation :
- Axée sur l’hypothèse. La chasse aux menaces commence par une hypothèse dérivée des renseignements, des anomalies observées et d’autres analyses des menaces. Cela permet aux chasseurs de menaces de mener des enquêtes plus ciblées. Par exemple, les chasseurs peuvent enquêter sur un trafic réseau inhabituel ou excessif qui pourrait indiquer une cyberattaque. Cette étape consiste également à surveiller le comportement des utilisateurs pour détecter d’éventuels signes de compromission.
- Une analyse compétente. Comme pour le renseignement sur les menaces, les chasseurs de menaces doivent avoir une connaissance approfondie des TTP pour comprendre les types d’attaques spécifiques auxquelles l’organisation est confrontée. Les chasseurs de menaces utilisent une variété d’outils et de mesures qui reposent sur une analyse humaine qualifiée et sur le repérage des comportements inhabituels des utilisateurs.
- Outils d’analyse des données. De nombreux chasseurs de menaces utilisent une combinaison d’outils et de tactiques manuels et automatisés pour identifier les modèles et les corrélations des menaces émergentes. Il s’agit notamment d’analyser les journaux des systèmes, des réseaux et des utilisateurs, et d’utiliser des outils SIEM pour examiner les anomalies.
- Se concentrer sur les menaces avancées. La chasse aux menaces vise à détecter les menaces persistantes avancées, les cyberattaques complexes et les logiciels malveillants uniques que les contrôles et mesures de sécurité traditionnels pourraient manquer. En se concentrant sur les menaces plus avancées, les équipes de sécurité peuvent approfondir les tactiques furtives utilisées par les acteurs malveillants pour échapper à la détection.
Comment utiliser conjointement le renseignement sur les menaces et la chasse aux menaces ?
Le renseignement sur les menaces et la chasse font tous deux appel à des mesures proactives et à la collecte de données pour lutter contre les cybermenaces et les tendances émergentes. Bien qu’elles aient des approches différentes pour faire face aux menaces de sécurité, l’intégration des deux peut garantir une meilleure protection contre les menaces.
Voici comment les organisations peuvent utiliser conjointement le renseignement sur les menaces et la chasse pour optimiser leur dispositif de sécurité.
Utiliser les renseignements sur les menaces pour obtenir des informations fondées sur des données et formuler des hypothèses de chasse
L’objectif du renseignement est de rechercher les menaces, les tendances et les vulnérabilités afin de mieux comprendre les adversaires auxquels l’organisation est confrontée. Les équipes de sécurité peuvent ainsi mieux planifier et hiérarchiser leurs hypothèses de recherche de menaces.
Transformer les renseignements sur les menaces en chasse aux menaces et en actions proactives
Les données de renseignement sur les menaces aident les équipes de sécurité à rechercher des menaces spécifiques dans les systèmes et les réseaux. Par exemple, les données recueillies grâce au renseignement peuvent permettre aux chasseurs de menaces d’utiliser des mesures telles que l’exploration de données et les références croisées pour enquêter sur les anomalies, ou encore des implants malveillants tels que des webshells déposés sur des équipements réseau suite à l’exploitation de vulnérabilités connues, mais pour lesquelles les correctifs disponibles n’ont pas été appliqués suffisamment vite.
L’intelligence améliore les mises à jour en temps réel de la chasse aux menaces
La combinaison de la chasse aux menaces et du renseignement permet aux organisations d’adopter une posture de sécurité à la fois réactive et proactive. Au fur et à mesure que de nouvelles menaces apparaissent, ces renseignements aident les chasseurs de menaces à se concentrer sur les cybermenaces les plus urgentes. Si les renseignements en temps réel identifient une recrudescence des campagnes d’hameçonnage ciblant le secteur d’activité d’une organisation, par exemple, les chasseurs de menaces doivent rechercher les signes de compromission possibles afin de les combattre avant qu’une attaque réussie ne se matérialise.
Valider les renseignements sur les menaces grâce à la chasse aux menaces
Le développement d’une relation réciproque entre le renseignement sur les menaces et la chasse donne des résultats positifs, permettant aux chasseurs de menaces de générer des renseignements en découvrant des menaces inconnues. Par exemple, après avoir détecté une nouvelle menace, les chasseurs de menaces doivent documenter leurs conclusions et les communiquer à l’équipe chargée du renseignement. Cela permet aux équipes de mieux se défendre et de minimiser l’impact des cybermenaces émergentes.
Favoriser la collaboration et la communication entre les équipes
Pour que les organisations puissent mener à bien la chasse aux menaces et le renseignement, l’intégration doit reposer en grande partie sur la collaboration. Les équipes de chasse et de renseignement sur les menaces doivent travailler en étroite collaboration pour partager leurs découvertes, vérifier les données et actualiser en permanence les ressources. Lorsque les entreprises instaurent une culture du retour d’information où les informations issues de la chasse aux menaces alimentent en permanence les renseignements sur les menaces, les deux processus peuvent lutter plus efficacement contre les menaces de sécurité.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
![]()
Comment choisir un service MDR adapté à votre entreprise
Par: Sean Kerner
-
![]()
GooseEgg s’avère être une affaire en or pour Fancy Bear, selon Microsoft
Par: Alex Scroxton
-
![]()
CrowdStrike lance un service de chasse aux menaces dans le cloud
Par: Alexander Culafi
-
![]()
Ivanti s’offre RiskSense pour rendre plus opérationnelle la gestion des vulnérabilités
Par: Valéry Rieß-Marchive
