Même avec un budget serré, de nombreux outils peuvent aider les professionnels de la sécurité à mettre sur pied un solide programme de détection des menaces.
Les pertes mondiales dues à la cybercriminalité dépassent désormais le milliard de dollars, d’après des chiffres récents. Chaque entreprise doit désormais mettre en œuvre un programme efficace de détection des menaces pour protéger la sécurité de ses données, et son avenir à long terme. L’élaboration d’un programme de détection des menaces de A à Z peut effrayer, mais ce n’est pas justifié. Comme pour beaucoup de choses dans la vie, le plus difficile est de faire le premier pas.
Premiers pas
Même avec un budget serré, de nombreux outils (incluant gestion des informations et des événements de sécurité, journaux et analyses) peuvent aider les professionnels de la sécurité à mettre sur pied un solide programme de détection des menaces.
Vous trouverez ci-dessous les trois principales étapes à suivre :
> Première étape : la visibilité des données
La visibilité des données, ainsi que certaines compétences, représentent la première marche pour établir un programme de détection des menaces. La visibilité des données se traduit typiquement par l’accès à un journal de sécurité (ou un ensemble de journaux), car ce sont ceux qui vous permettront de mener vos détections. Chaque journal répertorie un ensemble particulier de types d’événements ou de comportements utilisateurs à examiner par le chasseur de menaces.
> Deuxième étape : l’analyse
L’analyse nécessite un emplacement centralisé de journaux qui vous sert à alimenter une base de données de type SIEM (Security Information and Event Management, soit gestion des événements et informations de sécurité) ou autre. Bien que vous puissiez interroger manuellement les journaux d’événements de chaque point de terminaison un par un, c’est tout simplement non viable d’un point de vue de gestion du temps. Il est également préférable d’avoir un lac de données à analyser plutôt que quelques petits étangs.
> Troisième étape : la recherche
La troisième étape, la recherche, consiste à déterminer les types d’événements à rechercher. Si le chasseur de menaces a accès aux journaux de chaque point de terminaison dans l’environnement, commencez par créer une liste des identifiants d’événements susceptibles d’indiquer une activité malveillante.
Ayez toujours un plan
La mise en place d’un plan robuste avant de vous lancer permettra d’économiser du temps et des ressources sur le long terme en évitant de lancer vos recherches dans des millions d’événements inutiles. Le tri et le filtrage peuvent également aider les chasseurs à identifier rapidement des événements suspects.
Mais n’oubliez pas : l’existence d’un identifiant d’événement particulier ne signifie pas forcément qu’une menace se cache sur un appareil. Des analyses et des interrogations supplémentaires des données peuvent être nécessaires pour déterminer la cause profonde.
Une fois établie une ligne de référence du comportement normal de l’utilisateur final, retirez toutes les données qui s’y conforment. Cela réduira à la fois les distractions et le volume des données, et permettra à l’équipe de se concentrer sur les anomalies, qui sont plus susceptibles d’indiquer la présence d’une menace réelle.
La maturité est mère d’efficacité (et de résultats)
Si les étapes ci-dessus permettent de lancer un programme solide de détection des menaces, elles ne constituent vraiment que le début du processus. Plus un programme est mûr et doté en personnel, meilleurs seront les résultats au bout du compte, ce qui devrait toujours être l’objectif.
À mesure que le programme gagne en maturité, réfléchissez aux outils supplémentaires qui pourraient améliorer le rendement. La collecte des informations sur les événements d’exécution des processus, les connexions réseau, les déplacements de fichiers et l’activité des registres, par exemple, peut optimiser la détection des menaces. Ailleurs, un outil de détection et de réponse sur les points de terminaison (EDR) peut mettre au jour une multitude de données précieuses.
Ces outils ne représentent pas forcément un investissement coûteux. De nombreux utilitaires gratuits sont disponibles, comme Sysmon de Microsoft. Ils sont vraiment efficaces et offrent la visibilité nécessaire.
Une fois que les pièces du puzzle des données sont en place, réfléchissez à la manière dont les signatures de détection et les alertes peuvent minimiser les temps de réponse aux menaces graves. Ces fonctions permettront d’étendre la détection des menaces aux événements de moindre gravité.
Les événements de moindre gravité peuvent générer davantage de faux positifs, mais ces derniers peuvent aussi être affinés pour en améliorer la précision au fil du temps.
Lors de la mise au point de ces détections, il est également avisé de les aligner sur une matrice d’attaque établie telle que le cadre MITRE ATT&CK, un cadre disponible publiquement et régulièrement mis à jour, basé sur des tactiques et techniques adverses réelles. Il n’est pas nécessaire de créer immédiatement des alertes pour chaque technique, mais chaque alerte créée renforcera l’efficacité du programme.
Il est bon de se concentrer initialement sur les zones susceptibles de générer un événement de haute gravité. Par exemple, les détections d’éléments tels que l’abus des mécanismes de contrôle d’élévation, l’exploitation de services à distance et le camouflage conduiront toutes à des événements auxquels les analystes principaux pourront rapidement répondre.
Ensuite, l’élaboration de signatures sur lesquelles l’équipe de chasseurs de menaces peut s’appuyer, comme le mouvement latéral, la création de comptes ou les tâches programmées, aide à rechercher plus efficacement les activités adverses en cas de besoin.
N’oubliez pas, le passé peut être aussi important que le présent
Lorsque l’on recherche des activités d’attaque, le comportement passé de l’utilisateur peut être tout aussi important que son comportement présent. Si des outils gratuits comme Sysmon sont excellents, leur visibilité se limite à l’activité actuelle des utilisateurs. Ainsi, une fois qu’une équipe s’est familiarisée avec les détections dans les journaux des points de terminaison, il est bon d’étendre ses missions pour inclure des techniques plus proactives qui collectent des données sur les équipements de l’entreprise, par exemple des clés de registre spécifiques.
Les équipes peuvent même effectuer des balayages ciblés à l’aide d’utilitaires gratuits tels que YARA pour obtenir une vue historique. Cette technique permet de mieux comprendre des attaques qui ont déjà eu lieu, mais qui n’ont peut-être pas été détectées. YARA est un outil open source et multiplateforme utilisé par les professionnels de la sécurité du monde entier pour détecter les logiciels malveillants en fonction de certaines caractéristiques ou règles.
L’idée d’un programme dédié à la détection des menaces peut paraître compliquée et intimidante aux organisations qui n’en ont pas déjà un, mais rassurez-vous. Avec tout juste un budget modeste et les connaissances nécessaires, il peut être remarquablement simple de lancer un programme efficace.
Une fois ce programme établi, comme pour beaucoup de choses dans la vie, plus les organisations y investiront, plus elles en tireront de bénéfices.
