Qu'est-ce que la recherche de menaces ?

La recherche de menaces aide les organisations à éviter les attaques en analysant le comportement des attaquants et en identifiant les menaces potentielles.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir la "recherche de menaces
  • Comparer les modèles courants de recherche de menaces
  • Comparer la recherche de menaces et le renseignement sur les menaces

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce que la recherche de menaces ?ockage

La recherche de menaces est un terme générique qui désigne les techniques et les outils utilisés par les organisations pour identifier les cybermenaces. La recherche de menaces traditionnelle était autrefois un processus d'investigation manuel qui dépendait entièrement de l'expertise d'un analyste de sécurité. Cependant, avec les avancées technologiques, la recherche de menaces moderne a évolué pour combiner les compétences humaines et l'automatisation des outils de sécurité. Aujourd'hui, la détection des menaces repose sur une synergie entre les deux, permettant une meilleure efficacité et une détection plus rapide des menaces.

La "recherche de menaces" désigne généralement la détection proactive des menaces, tant internes qu'externes, sur un site web ou un réseau d'entreprise. Cette pratique consiste à évaluer régulièrement le réseau afin de détecter toute activité suspecte ou malveillante, qu'elle soit interne ou externe. En se concentrant sur l'identification précoce des signes d'infiltration, la recherche de menaces permet aux entreprises de réagir rapidement et efficacement pour minimiser les dommages potentiels causés par une attaque.Moins souvent, ce terme désigne également la détection réactive des menaces, au cours de laquelle les organisations analysent leur propre infrastructure pour en déceler les faiblesses à la suite d'une violation de données ou d'une attaque similaire.

Qu'est-ce qu'un indicateur de d'attaque (IoA - indicator of attack) ?

Dans le cadre de la recherche de menaces, les organisations cherchent activement des indicateurs d'attaque (IoA)* pour comprendre l'intention et le comportement des attaquants potentiels. En utilisant des outils de détection avancés, les équipes de sécurité peuvent identifier des modèles d'activité inhabituels ou suspects sur le réseau, ce qui peut indiquer la présence d'une attaque en cours ou imminente. En analysant ces IoA, les organisations peuvent prendre des mesures de sécurité appropriées pour protéger leur réseau et leurs données sensibles contre les cybermenaces.Une entrée en matière est une action ou une série d'actions qu'un attaquant doit réaliser pour mener à bien l'attaque - par exemple, inciter une cible à ouvrir un courriel d'hameçonnage l'amener à cliquer sur un lien malveillant, exécuter le téléchargement d'un logiciel malveillant , et ainsi de suite. Comprendre les tactiques et procédures spécifiques d'un attaquant peut aider les organisations à élaborer une défense plus proactive contre les menaces.

Un indicateur de compromission (IoC) est une preuve tangible d'une activité malveillante. Il peut s'agir d'une anomalie dans le trafic réseau, de connexions suspectes, de mises à jour inattendues de comptes ou de fichiers au niveau de l'administrateur, ou d'autres signes indiquant qu'une organisation a été victime d'une intrusion. Les IoC sont des éléments essentiels des processus réactifs de détection de menaces, car ils signalent souvent qu'une organisation a déjà subi une intrusion.

*On parle également des tactiques, techniques et procédures (TTP) de l'attaquant .

Comment fonctionne la recherche de menaces ?

Les procédures de recherche de menaces peuvent varier en fonction des besoins d'une organisation et des compétences de son équipe de sécurité, mais elles se regroupent généralement en trois catégories : la recherche structurée, la recherche non structurée et la recherche situationnelle.

  1. La recherche structurée identifie et analyse les comportements et tactiques spécifiques des attaquants, ou IoA.Il utilise un modèle de chasse basé sur des hypothèses, dans lequel une hypothèse est créée conformément à un manuel de recherche de menaces (par exemple, le cadre ATT&CK de MITRE). L'objectif principal d'une chasse structurée est de repérer de manière proactive le comportement des attaquants avant qu'une attaque ne soit lancée contre une organisation.
  2. La recherche non structurée est déclenchée par la découverte d'un IoC - en d'autres termes, d'une preuve d'activité malveillante - qui peut indiquer une attaque récente ou passée au cours de laquelle une partie de l'organisation a été compromise.Une chasse non structurée utilise un modèle de chasse réactif, basé sur les renseignements, qui examine les adresses IP, les noms de domaine, les valeurs de hachage et d'autres données fournies par les plates-formes de partage de renseignements. Son objectif principal est d'étudier les vulnérabilités existantes dans l'infrastructure et les systèmes d'une organisation.
  3. La recherche situationnelle, également appelée entity-driven hunting, se concentre sur des systèmes, des actifs, des comptes ou des données spécifiques qui risquent d'être compromis.Un compte disposant de privilèges d'administrateur peut présenter un risque plus élevé d'être la cible d'une cyberattaque qu'un compte avec des privilèges limités, car ce dernier n'a généralement pas accès à des données ou des systèmes aussi sensibles.Une chasse situationnelle utilise un modèle de recherche de menaces personnalisé qui peut être adapté aux besoins d'une organisation, puisque son objectif principal est de sécuriser les cibles à haut risque et de comprendre les menaces auxquelles elles sont susceptibles d'être confrontées, plutôt que d'examiner les entrées-sorties ou les entrées-corps dans l'ensemble d'une organisation.

Pour mieux comprendre la différence entre ces processus, prenons l'exemple de Bob qui cherche à identifier des oiseaux en utilisant trois techniques d'observation différentes. Une méthode peut nécessiter beaucoup de planification : l'analyse des schémas de migration d'un oiseau, de ses rituels d'accouplement, de ses horaires d'alimentation et de tout autre facteur comportemental susceptible d'aider à déterminer où et quand l'oiseau est susceptible d'être repéré. Cette approche est similaire à celle de la chasse structurée, qui se concentre sur la découverte des tactiques et comportements connus d'un attaquant.

En adoptant une approche différente, Bob pourrait explorer une forêt à la recherche de nids, de fientes ou d'autres signes physiques indiquant la présence d'oiseaux. Ceci est similaire à la recherche non structurée, qui est souvent entreprise lorsqu'un IoC est détecté.

Une troisième méthode consisterait à demander à Bob de donner la priorité au suivi des oiseaux en danger plutôt que des espèces plus communes, puis d'adapter son approche à l'oiseau spécifique qu'il essaie d'identifier. Cela s'apparente à la chasse situationnelle, qui utilise une stratégie personnalisée pour identifier les menaces pesant sur les cibles à haut risque.

Types d'outils de recherche de menaces

Traditionnellement, la recherche de menaces reposait sur les analystes en sécurité qui examinaient manuellement le réseau, l'infrastructure et les systèmes de l'organisation. Ils créaient ensuite des hypothèses et les testaient pour détecter les menaces internes et externes telles que les violations de données ou les mouvements latéraux malveillants.

En comparaison, la recherche de menaces moderne utilise des outils de cybersécurité pour automatiser et rationaliser le processus d'investigation. Les outils les plus courants sont les suivants :

  • La gestion des informations et des événements liés à la sécurité (SIEM) est une solution de sécurité qui permet, entre autres, l'agrégation des données de journalisation, la surveillance des alertes, l'analyse des incidents de sécurité et l'établissement de rapports de conformité.
  • La détection et la réponse gérées (MDR) désigne un type de centre d'opérations de sécurité (SOC) géré qui suit l'activité du réseau, crée des alertes, enquête sur les menaces potentielles, élimine les faux positifs des alertes, offre des analyses avancées et aide à remédier aux incidents de sécurité.
  • L'analyse des comportements Utilisateur et Entité (UEBA) est un service de sécurité qui regroupe les données relatives aux utilisateurs et aux terminaux, établit une base de comportement normal et détecte et analyse les anomalies dans les systèmes d'une organisation.

Recherche de menaces et Renseignement sur les menaces

La recherche de menaces est le processus de découverte et d'analyse du comportement des attaquants, des preuves de cyberattaques ou d'autres menaces potentielles auxquelles une organisation est confrontée. L'objectif de la recherche de menaces n'est pas seulement de découvrir les vulnérabilités de l'infrastructure d'une organisation, mais aussi de repérer les menaces et les attaques qui n'ont pas encore été menées.

En revanche, le renseignement sur les menaces est un ensemble de données sur les cyberattaques, qu'il s'agisse de menaces potentielles ou d'attaques déjà survenues. Souvent, ces données sont compilées dans un flux de renseignements sur les menaces, que les organisations peuvent utiliser pour mettre à jour leurs processus de recherche de menaces et leurs procédures de sécurité.

En bref, la recherche de menaces s'apparente à une enquête sur une scène de crime, tandis que les renseignements sur les menaces sont les éléments de preuve recueillis sur place.

Pour en savoir plus sur les catégories et les objectifs de la veille sur les menaces, voir Qu'est-ce que la veille sur les menaces ?

Cloudflare propose-t-il des services de recherche de menaces ?

Le Cloudflare Security Center offre des fonctionnalités d'investigation des menaces conçues pour aider les équipes de sécurité à identifier, suivre et atténuer les attaques potentielles à partir d'une interface unique et unifiée. Dans le portail d'investigation des menaces, les utilisateurs peuvent interroger des adresses IP, des noms d'hôtes et des systèmes autonomes (AS) spécifiques pour déterminer l'origine des menaces émergentes.

En savoir plus sur Le Cloudflare Security Center.