Menaces : quand les chasser et qui devrait le faire

Idées dégagées lors du RSA sur comment chasser les menaces dans les structures d’entreprise

La chasse aux menaces était un des sujets d’actualité du RSA 2018. Les experts sont d’accord pour dire qu’il s’agit d’une pratique nécessaire pour contrer les attaques modernes d’APT. Cependant, ils n’arrivent pas à se mettre d’accord sur ce qu’est réellement la chasse aux menaces, et sur ses pratiques. Ils ont décidé d’utiliser le livre How to Hunt for Security Threats (Comment chasser les menaces pour la sécurité) qui définit la chasse de menaces comme un processus axé sur les analystes, qui permet aux organisations de découvrir les menaces cachées avancées que les contrôles automatiques de prévention et de détection ont ratées.

Selon cette définition, un expert en sécurité informatique doit chasser les menaces. Ce processus ne peut pas être automatisé. Cependant, après que les experts aient recherché les anomalies, leurs résultats vont contribuer à améliorer les systèmes de détection automatique, qui apprennent à détecter les scénarios qui nécessitent d’abord un regard humain spécialisé.

Quand chasser

Les experts disent que la question  » les adversaires sont-ils dans votre réseau ?  » ne comprend pas ce principe puisqu’il est fort probable qu’ils y soient. Sur le fond, les experts disent que vous devriez déjà être en train de chasser. Personnellement, j’espère que ce n’est pas toujours vrai, mais cela ne signifie pas que vous ne devriez pas chasser, surtout si la structure de votre entreprise est largement distribuée.

Cependant, la chasse aux menaces est une pratique avancée en termes de sécurité, et elle exige de disposer de certaines ressources et d’un certain niveau de systèmes en sécurité. C’est pourquoi si vous aviez à choisir entre organiser un processus de chasse aux menaces et employer un système de détection et de réponse développé, vous devriez sans aucun doute choisir le dernier.

Les systèmes de détection et de réponse développés vont non seulement vous permettre d’exclure les menaces mineures du champ de la chasse aux menaces, mais aussi de fournir au chasseur professionnel des informations beaucoup plus utiles.

Qui devrait chasser

Ici, la question principale est de savoir si le chasseur devrait être un spécialiste qui travaille en interne ou un expert externe. Chaque possibilité a ses avantages et ses inconvénients. Un spécialiste interne dispose d’une connaissance unique de l’architecture du réseau local et de ses caractéristiques ; alors qu’un spécialiste externe en sécurité informatique apporte de vastes connaissances sur les diverses menaces, mais aura besoin d’un certain temps pour comprendre l’infrastructure locale. Les deux aspects sont importants. La situation idéale serait d’alterner les experts internes et externes, si cette procédure est autorisée dans votre entreprise et que vous avez déjà un spécialiste qui travaille en interne.

Les réseaux de la plupart des entreprises se ressemblent dans une certaine mesure. Bien sûr, il y a des exceptions, mais c’est assez rare. Un expert externe qui effectue régulièrement des chasses de menaces pour différentes entreprises sera à l’aise avec les légères différences qu’il y aura d’une entreprise à l’autre.

Un autre aspect de ce problème est que la chasse constante aux menaces ajoute une certaine monotonie aux journées des candidats internes. Analyser un registre pour trouver où un processus antagoniste est caché est une activité monotone qui peut même épuiser les professionnels en informatique les plus enthousiastes. Par conséquent, il peut être judicieux d’alterner les spécialistes de votre centre de gestion de la sécurité, plutôt que d’avoir un chasseur de menaces à temps complet.

Quant aux qualités personnelles du candidat, vous devez chercher une personne attentive, patiente et qui a de l’expérience en menaces informatiques. Cependant, l’intuition est tout aussi importante. Il peut être compliqué de trouver une telle personne parce qu’il est impossible de mesure l’intuition et elle n’est pas souvent mentionnée dans les CV.

Pour la fonction de l’expert externe, nous pouvons vous proposer les services de nos spécialistes en chasse de menaces. Ils peuvent examiner votre infrastructure pour identifier tous les signes présents ou historiques d’un compromis, mais ils peuvent aussi organiser des surveillances permanentes et des analyses continues des données de vos menaces informatiques. Pour en savoir plus sur les services de Kaspersky Threat Hunting, veuillez visiter cette page.

Conseils