La recherche de menaces aide les organisations à éviter les attaques en analysant le comportement des attaquants et en identifiant les menaces potentielles.
Cet article s'articule autour des points suivants :
Contenu associé
Informations sur les menaces
Défense en profondeur
Vecteur d'attaque
Centre d'opérations de sécurité (SOC)
Top 10 de l'OWASP en matière de sécurité des API
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
La recherche de menaces est un terme générique qui désigne les techniques et les outils utilisés par les organisations pour identifier les cybermenaces. La recherche de menaces traditionnelle était autrefois un processus d'investigation manuel qui dépendait entièrement de l'expertise d'un analyste de sécurité. Cependant, avec les avancées technologiques, la recherche de menaces moderne a évolué pour combiner les compétences humaines et l'automatisation des outils de sécurité. Aujourd'hui, la détection des menaces repose sur une synergie entre les deux, permettant une meilleure efficacité et une détection plus rapide des menaces.
La "recherche de menaces" désigne généralement la détection proactive des menaces, tant internes qu'externes, sur un site web ou un réseau d'entreprise. Cette pratique consiste à évaluer régulièrement le réseau afin de détecter toute activité suspecte ou malveillante, qu'elle soit interne ou externe. En se concentrant sur l'identification précoce des signes d'infiltration, la recherche de menaces permet aux entreprises de réagir rapidement et efficacement pour minimiser les dommages potentiels causés par une attaque.Moins souvent, ce terme désigne également la détection réactive des menaces, au cours de laquelle les organisations analysent leur propre infrastructure pour en déceler les faiblesses à la suite d'une violation de données ou d'une attaque similaire.
Dans le cadre de la recherche de menaces, les organisations cherchent activement des indicateurs d'attaque (IoA)* pour comprendre l'intention et le comportement des attaquants potentiels. Un indicateur d'attaque correspond à une action ou une série d'actions qu'un acteur malveillant doit réaliser pour mener à bien l'attaque - par exemple, inciter une cible à ouvrir un e-mail de phishing pour l'amener à cliquer sur un lien malveillant, exécuter le téléchargement d'un logiciel malveillant, et ainsi de suite. Si les organisations comprennent les tactiques et procédures spécifiques d'un acteur malveillant, il peut leur être plus facile d'élaborer une défense contre les menaces avec plus d'anticipation.
Un indicateur de compromission (IoC) est une preuve tangible d'une activité malveillante. Il peut s'agir d'une anomalie dans le trafic réseau, de connexions suspectes, de mises à jour inattendues de comptes ou de fichiers au niveau de l'administrateur, ou d'autres signes indiquant qu'une organisation a été victime d'une intrusion. Les IoC sont des éléments essentiels des processus réactifs de détection de menaces, car ils signalent souvent qu'une organisation a déjà subi une intrusion.
*On parle également des tactiques, techniques et procédures (TTP) de l'attaquant .
Les procédures de recherche de menaces peuvent varier en fonction des besoins d'une organisation et des compétences de son équipe de sécurité, mais elles se regroupent généralement en trois catégories : la recherche structurée, la recherche non structurée et la recherche situationnelle.
Pour mieux comprendre la différence entre ces processus, prenons l'exemple de Bob qui cherche à identifier des oiseaux en utilisant trois techniques d'observation différentes. Une méthode peut nécessiter beaucoup de planification : l'analyse des schémas de migration d'un oiseau, de ses rituels d'accouplement, de ses horaires d'alimentation et de tout autre facteur comportemental susceptible d'aider à déterminer où et quand l'oiseau est susceptible d'être repéré. Cette approche est similaire à celle de la chasse structurée, qui se concentre sur la découverte des tactiques et comportements connus d'un attaquant.
En adoptant une approche différente, Bob pourrait explorer une forêt à la recherche de nids, de fientes ou d'autres signes physiques indiquant la présence d'oiseaux. Ceci est similaire à la recherche non structurée, qui est souvent entreprise lorsqu'un IoC est détecté.
Une troisième méthode consisterait à demander à Bob de donner la priorité au suivi des oiseaux en danger plutôt que des espèces plus communes, puis d'adapter son approche à l'oiseau spécifique qu'il essaie d'identifier. Cela s'apparente à la chasse situationnelle, qui utilise une stratégie personnalisée pour identifier les menaces pesant sur les cibles à haut risque.
Traditionnellement, la recherche de menaces reposait sur les analystes en sécurité qui examinaient manuellement le réseau, l'infrastructure et les systèmes de l'organisation. Ils créaient ensuite des hypothèses et les testaient pour détecter les menaces internes et externes telles que les violations de données ou les mouvements latéraux malveillants.
En comparaison, la recherche de menaces moderne utilise des outils de cybersécurité pour automatiser et rationaliser le processus d'investigation. Les outils les plus courants sont les suivants :
La recherche de menaces est le processus de découverte et d'analyse du comportement des attaquants, des preuves de cyberattaques ou d'autres menaces potentielles auxquelles une organisation est confrontée. L'objectif de la recherche de menaces n'est pas seulement de découvrir les vulnérabilités de l'infrastructure d'une organisation, mais aussi de repérer les menaces et les attaques qui n'ont pas encore été menées.
En revanche, le renseignement sur les menaces est un ensemble de données sur les cyberattaques, qu'il s'agisse de menaces potentielles ou d'attaques déjà survenues. Souvent, ces données sont compilées dans un flux de renseignements sur les menaces, que les organisations peuvent utiliser pour mettre à jour leurs processus de recherche de menaces et leurs procédures de sécurité.
En bref, la recherche de menaces s'apparente à une enquête sur une scène de crime, tandis que les renseignements sur les menaces sont les éléments de preuve recueillis sur place.
Pour en savoir plus sur les catégories et les objectifs de la veille sur les menaces, voir Qu'est-ce que la veille sur les menaces ?
Le Cloudflare Security Center offre des fonctionnalités d'investigation des menaces conçues pour aider les équipes de sécurité à identifier, suivre et atténuer les attaques potentielles à partir d'une interface unique et unifiée. Dans le portail d'investigation des menaces, les utilisateurs peuvent interroger des adresses IP, des noms d'hôtes et des systèmes autonomes (AS) spécifiques pour déterminer l'origine des menaces émergentes.
En savoir plus sur Le Cloudflare Security Center.