La chasse aux menaces ou Threat Hunting peut se définir comme étant un ensemble de processus qui vise à détecter le plus vite possible une activité malicieuse au sein du système d’information. Si, à l’heure actuelle, il est permis de considérer que la plupart des entreprises sont dotées des outils de base tels qu’un pare-feu, un antivirus voire un collaborateur dédié à la sécurité ; ce n’est pas nécessairement suffisant pour être en mesure de répondre aux menaces toujours plus nombreuses et sophistiquées. La mise en place d’une stratégie de Threat Hunting peut constituer l’une des réponses à la multiplication des attaques, mais comment en évaluer son efficacité ? Quant à la question du coût de la mise en place de cette démarche, elle ne se pose que dans une moindre mesure face au montant exponentiel des sommes en jeu dans le cadre d’une attaque.

Tous concernés face à l’extension des menaces

Les attaques par ransomwares se sont multipliées ces derniers temps. Dans la majorité des cas, les infections proviennent initialement de l’ouverture d’une pièce jointe piégée incluse dans un mail semblant anodin, d’un phishing ou d’un accès distant. La compromission de codes sources et de logiciels fournis par des tiers peut représenter un danger, à l’instar du piratage dont fut victime SolarWinds l’an dernier. Face à l’évolution de ces menaces, déployer une stratégie de Threat Hunting s’avère indispensable pour toute entreprise.

L’expérience a montré que la taille ou l’activité de l’entreprise importait peu pour les attaquants. Aujourd’hui la résilience du système d’information est nécessaire au bon fonctionnement de l’entreprise. Les attaquants en ont conscience et considèrent chaque victime comme un ‘client’ potentiel. Mais si la taille n’a pas d’importance pour évaluer la nécessité d’entreprendre une démarche de Threat Hunting, le nombre de collaborateurs a, lui, une certaine importance, car il est indispensable de disposer de ressources idoines (collaborateurs, budget, veille technologique, …). Ces derniers en charge de la sécurité devraient connaître la culture d’entreprise, les méthodes de fonctionnement et les habitudes de travail.

Analyser, détecter, répondre : les 3 phases indispensables pour une démarche accomplie

Le Threat Hunting permet de disposer d’une capacité d’analyse et de mettre en exergue tout flux de communication suspect, tel qu’une activité qui apparaîtrait de manière inexpliquée en dehors des heures de travail. Ces « anomalies » devraient devenir des suspicions de compromission éventuelles et engendrer une enquête approfondie permettant ainsi de comprendre l’existence de cette activité et si nécessaire de la consigner dans les procédures d’exploitation. Cette approche permet l’agilité et l’adaptation dynamique au changement d’un système d’information.

L’analyse a pour principal objectif de disposer d’une vision globale du fonctionnement intrinsèque du système d’information de l’entreprise et de ses habitudes. L’information provenant d’outils disparates peut induire à une saturation et ainsi obfusquer l’information pertinente. Aussi l’analyse et la recherche requièrent une certaine expérience, voire une expertise pour les outils de corrélation. Ces signaux conduisent ensuite à une modification des procédures d’exploitation. Ainsi dès qu’un incident surgit, il faut pouvoir répondre le plus rapidement possible aux questions « Qui ? Quand ? Quoi ? Comment ? » Une connaissance approfondie des habitudes de fonctionnement du SI est indispensable avant d’envisager des investigations poussées en cas d’incident ou d’attaque. Ce savoir basé sur la collecte et la corrélation d’informations pertinentes permet de détecter toute activité anormale.

Les attaquants ciblant une victime potentielle entament une recherche d’information publique la concernant. Cette phase de reconnaissance permet de connaître les habitudes de cette victime potentielle et ainsi de forger des outils d’attaques spécifiques à l’exploitation des faiblesses découvertes lors des phases de reconnaissance. Le travail de ce dernier est facilité par le fait que désormais les entreprises communiquent énormément. Les forums techniques sont une véritable manne pour un hacker, car ils y trouvent souvent de précieux renseignements, simplement en parcourant des échanges entre des administrateurs réseau. Autant d’informations qui ont une réelle valeur pour un attaquant, car elle lui permet d’affûter sa stratégie d’attaque. L’attaque Kaseya est à ce titre un bon exemple, puisque si initialement ce sont plus de 70 fournisseurs MSP qui ont été impactés, les victimes ont été bien plus nombreuses dans un second temps, réparties dans de nombreuses régions du monde : la plupart aux États-Unis, en Allemagne et au Canada ; mais également en Australie, au Royaume-Uni, ainsi que dans d’autres zones géographiques.

La proactivité est au cœur de la démarche qualitative, elle permet de proposer des réponses appropriées aux évènements préalablement détectés et analysés. Par exemple, plusieurs tentatives de connexion infructueuses sur un laps de temps assez court pourraient être définies comme une tentative d’intrusion. Les règles d’exploitation doivent s’adapter aux besoins d’agilité, de dynamisme et d’évolution du système d’information et de ses usages. Considérer celles-ci de manière immuable serait une erreur. Et il ne faut pas oublier de prendre en considération la potentielle erreur humaine involontaire. Ces règles permettent ainsi de détecter et de répondre les plus rapidement possible à tout comportement classifier comme anormal.

La protection absolue n’existant pas à ce jour l’objectif du Threat Hunting est donc d’établir un référentiel des pratiques d’exploitation, ainsi toute anomalie sera consignée et la réponse appropriée pourra y être apportée dans les meilleurs délais.
___________________

Par Benjamin Mercusot, ingénieur avant-vente chez Sophos France