Threat hunting & MSP : surmonter les obstacles pour réussir sa mise en œuvre

La mise en place d’un programme de threat hunting interne présente plusieurs défis :

Manque d’expertise humaine dédiée au threat hunting

Seuls des traqueurs de menaces expérimentés peuvent savoir quand et comment automatiser les analyses pour assurer une détection proactive et répondre aux questions. Les décisions à prendre dans ce domaine évoluent en permanence, ce qui implique de mettre en place une traque continue des menaces dans vos workflows de sécurité quotidiens. Nombreuses sont les entreprises qui confient ces responsabilités à des analystes de sécurité déjà trop souvent surchargés. Par conséquent, les opérations de traque sont réalisées uniquement lorsque le temps le permet et ne sont pas suffisamment structurées pour en tirer des enseignements et des observations, les exécuter et les appliquer correctement.

Le service de threat hunting de WatchGuard apporte une expertise de pointe en la matière et renforce les capacités des équipes de sécurité.

Manque de workflows structurés pour accélérer le traitement

La réussite d’un programme de threat hunting dépend avant tout de la cohérence et de la structure des workflows mis en œuvre. Une approche non structurée des opérations de threat hunting limite les chances de réussite contre les menaces provenant d’ennemis parfaitement organisés et dotés de moyens importants.

Le processus de threat hunting de WatchGuard repose sur une méthode judicieusement structurée pour exploiter au mieux une télémétrie précieuse sur le long terme. Il s’appuie sur des outils et des workflows qui recherchent les menaces passées inaperçues dans la télémétrie, tout en s’assurant que les découvertes sont mises à profit pour améliorer les capacités de détection automatisées et fournir immédiatement des informations afin d’atténuer les menaces et de réduire la surface d’attaque.

Manque de visibilité

L’accès à long terme à la télémétrie est essentiel aussi bien pour la traque que pour l’enquête et l’analyse. Il est donc important que la télémétrie soit accessible sur tous les postes de travail afin d’assurer une détection et une gestion optimales des menaces. Les agents légers pour les postes de travail collectent des données de télémétrie solides, fournissant une grande visibilité qui permet d’améliorer et d’accélérer la traque, l’investigation et la réponse aux incidents tout au long du cycle de protection contre les menaces.

La télémétrie doit être automatiquement normalisée, stockée à grande échelle et accessible pour être analysée immédiatement et systématiquement. Le Ponemon Institute a découvert qu’en moyenne, en 2021, une faille était détectée au bout de 212 jours et endiguée 75 jours après sa détection. Les traqueurs de menaces doivent enquêter rétrospectivement pendant au moins 300 jours, sans quoi les résultats de leurs études et de leurs investigations risqueraient d’être faussés.

Pour WatchGuard, un minimum de 365 jours doit être observé. Nos traqueurs de menaces utilisent la télémétrie en temps réel et bénéficient ainsi d’une visibilité totale et immédiate.

Manque de technologies, d’outils et d’informations à jour sur les menaces

Pour qu’une solution EDR soit efficace, les volumes massifs de données de télémétrie collectées par les postes de travail doivent être contextualisés et corrélés afin de révéler d’éventuels signes d’attaque. Les traqueurs ont besoin d’outils permettant de rechercher rapidement et facilement les menaces dans la télémétrie, en adaptant les entités, les événements et les paramètres pour repérer les schémas d’attaque et analyser ce qu’il se passe sur les postes de travail.

Pour être vraiment efficace, un programme de threat hunting doit être complété par une veille. La plupart des entreprises qui mènent aujourd’hui des opérations de threat hunting en interne ne disposent pas d’un programme suffisamment mature : leurs opérations sont réactives et se basent souvent sur des indicateurs de compromission (IoC) connus. Pourtant, un vrai threat hunting doit être proactif et non pas réactif, et implique de rechercher des comportements inconnus pour mettre au jour et contrer les menaces avant qu’elles ne provoquent des dégâts irréparables. Aussi, afin d'être pleinement efficaces dans leur mission, les traqueurs doivent disposer d’informations de qualité, contextualisées et mises à jour en temps réel.

WatchGuard Unified Security Platform™ enrichit la télémétrie grâce à notre service Zero-Trust Application et à un volume considérable de données de qualité sur les menaces, contextualisées et actualisées toutes les minutes.

Procédures chères et complexes

Les entreprises sont de plus en plus conscientes de la nécessité de traquer les menaces, qui sont en constante évolution. Néanmoins, celles qui ont essayé de mettre en place un programme de threat hunting mature en interne se sont vite rendu compte des difficultés et du coût que cela implique, du fait de l’infrastructure, des outils, de l’expertise, de la veille et des workflows nécessaires pour y parvenir.

Même pour les équipes de sécurité les plus performantes, inscrire cette pratique dans la durée sans aide extérieure peut s’avérer une tâche irréalisable.

Téléchargez notre dernier eBook « Traquer les menaces n’a jamais été aussi simple avec WatchGuard » et lancez votre programme de threat hunting avec WatchGuard Advanced Endpoint Security.

Classé sous : Security Operations Center (SOC), Threat Hunting, Zero Trust, Sécurité des terminaux, Tendances du secteur, Informations sur les produits

Blog Home

Subscribe Via RSS

Partner Blog via RSS

Posts concernés

Plus de flexibilité pour le MDR WatchGuard avec l’offre 8h/j et 5j/7

Plus de flexibilité pour le MDR WatchGuard avec l’offre 8h/j et 5j/7

Les nouveautésWatchGuard : Q3 2024

Les nouveautésWatchGuard : Q3 2024

Attaques par force brute de VPN SSL et interruptions du service AuthPoint

Attaques par force brute de VPN SSL et interruptions du service AuthPoint