Dans la série Threat Hunting pour MSP : Nous vous aidons à saisir les opportunités
En ce qui concerne les opérations de threat hunting, les activités sous-jacentes peuvent être difficiles voire impossibles à réaliser sans les données, la technologie, les processus et l’expertise nécessaires.
Les opérations de threat hunting peuvent être regroupées dans l’une des trois catégories suivantes :
- L’approche axée sur l’analyse. À l’aide de méthodes statistiques, le processus de threat hunting implique souvent d’examiner les anomalies et d’effectuer des analyses systématiques pour détecter quelque chose d’inédit ou des irrégularités qui pourraient être malveillantes selon les données de référence de l’environnement.
- L’approche fondée sur des hypothèses consiste à faire preuve de créativité en mettant au point des techniques innovantes et en se mettant dans la peau de l’ennemi. Elle implique d’élaborer et de tester des hypothèses consistant à prédire le moment auquel un assaillant agira, les techniques qu’il emploiera, ses déplacements sur le réseau, avant de partir sans laisser de traces de son passage en attendant de trouver le meilleur moment pour attaquer.
- Enfin, l’approche fondée sur la veille est la plus répandue, et implique l’utilisation d’informations sur les menaces actualisées toutes les minutes pour déceler le moindre signe d’intrusion en passant les données historiques au crible.
La veille préalable au processus de threat hunting ne doit pas se limiter à l’analyse des IoC (indicateurs de compromis). S’il y a bien des informations vraiment capitales, ce sont les informations appelées outils, techniques et procédures (TTP - tools, techniques, and procedures). Les TTP peuvent être définis comme des « schémas d’activités ou des méthodes associés à une menace ou à un groupe de menaces particulier ».
Les TTP sont bien plus difficiles à modifier que les IoC pour les assaillants. Les ennemis réutilisent leur TTP dans leurs différentes attaques tout en modifiant les fichiers binaires ou l’infrastructure de contrôle-commande. Changer l’adresse IP du système de contrôle-commande ne présente par exemple aucun intérêt. Il est toutefois bien plus difficile de changer le protocole de communication utilisé car cela demande un travail de programmation considérable. Le cadre MITRE ATT&CK tente de convertir ces TTP en quelque chose d’exploitable.
WatchGuard Threat Hunting Service comme prolongement de votre équipe
Pour stopper net les cyberattaques et garantir le niveau de sécurité le plus élevé pour vos clients, la solution consiste à adopter une approche fondée sur la collaboration et la coordination.
Notre service Threat Hunting, inclus dans WatchGuard EDR et WatchGuard EPDR, vous offre un outil puissant de détection anticipée des techniques de sortie sans laisser de traces les plus courantes, réduisant ainsi la durée de vie des menaces et améliorant la défense contre les attaques futures.
Nos partenaires peuvent rapidement développer leurs services en mettant à profit les résultats du service Threat Hunting en validant les IoA (indicateurs d’attaques) et en répondant à l’attaque.
Les solutions WatchGuard EDR et WatchGuard EPDR peuvent informer immédiatement les partenaires en cas de nouvel IoA. Elles sont enrichies d’une liste de mesures recommandées pour bloquer, résoudre et éviter les attaques futures en utilisant les mêmes TTP comme point de départ pour les partenaires.
Chaque IoA est en outre mappé avec le cadre MITRE ATT&CK™ (une base de connaissances mondiale recensant des tactiques et techniques malveillantes à partir d’observations concrètes) afin d’améliorer la productivité des analystes lors de la validation des IoA identifiés dans les consoles de gestion de WatchGuard EDR et WatchGuard EPDR.
Envie d’en savoir plus sur Threat Hunting Service ? Téléchargez l’eBook « Traquer les menaces n’a jamais été aussi simple avec WatchGuard » et lancer votre service de threat hunting WatchGuard Advanced Endpoint Security.
