Threat hunting : quels leviers pour une réelle efficacité ?

Élément essentiel des services SOC (Security Operations Center), le threat hunting doit être intégré à un stade précoce. Même si les entreprises utilisent cette technique depuis plusieurs années, son adoption et son utilisation continuent de faire l’objet de débats animés. La définition même du rôle du « threat hunter » (chasseur de menaces) n’a été adoptée que depuis cinq ou six ans. Au travers de l’enquête Threat Hunting Survey 2020 du SANS Institute, ThreatQuotient tente de mieux comprendre l’usage du threat hunting par les entreprises et les bénéfices qu’elles en retirent.

Différentes méthodes peuvent être mises à profit par les entreprises pour implémenter des stratégies de threat hunting afin de démasquer les activités malveillantes. Selon l’enquête SANS, certaines entreprises déterminent quel doit être le mode de fonctionnement de leur stratégie de threat hunting et constituent ensuite des équipes afin d’atteindre les objectifs visés. Malheureusement, d’autres, encore très nombreuses, lancent des opérations de threat hunting avec les ressources déjà en place. Au lieu de se fixer des objectifs permettant de tirer le meilleur parti de leur stratégie de threat hunting, elles se contentent d’en faire une simple tâche de plus pour les équipes existantes. Si cette approche donne certains résultats, elle n’est pas aussi performante qu’elle le pourrait et ne permet pas de renforcer suffisamment le niveau de sécurité de l’entreprise. Cette approche est souvent utilisée par les entreprises IT afin de se conformer à certaines normes exigeant la mise en place d’une fonction de threat hunting.

Fait intéressant, le récent rapport Global Threat Report 2020 de VMware Carbon Black, pour lequel plus de 3 000 responsables IT de 13 pays ont été interrogés, montre que des équipes dédiées au threat hunting commencent à formaliser leurs processus et procédures, et que cette tendance s’étend progressivement à l’ensemble du secteur. 80 % des répondants indiquent que les attaques sont de plus en plus sophistiquées. Ils déclarent également sans équivoque que le threat hunting donne des résultats remarquables et que sa capacité à détecter les cybercriminels déjà présents dans le système est de plus en plus reconnue. À la question « Au cours des 12 derniers mois, la fonction de threat hunting de votre entreprise a-t-elle permis de renforcer vos défenses contre les cyberattaques et d’identifier une activité malveillante qui serait autrement passée entre les mailles du filet ? », 88 % des personnes interrogées ont répondu que cette fonction, utilisée dans le cadre de leur stratégie de cybersécurité, s’est avérée efficace, tandis que 86 % ont déclaré qu’elle a renforcé les défenses de leur entreprise.

Le rapport SANS montre également que de nombreuses entreprises intègrent les activités de threat hunting dans leur stratégie de réponse à incident. Ces deux activités présentent indubitablement des points communs et des différences. Le threat hunting existe sous différentes formes, la plus sophistiquée étant la traque basée sur des hypothèses. Dans ce cas, le « chasseur » imagine un scénario d’attaque pouvant cibler l’entreprise. À partir de ce scénario, une hypothèse est élaborée, puis testée. Pour tester cette hypothèse, il est essentiel de parfaitement maîtriser la voie susceptible d’être empruntée par l’attaque, ainsi que de disposer des outils et de la visibilité permettant d’accepter ou de rejeter l’hypothèse.

Les intervenants sur incident, quant à eux, lancent une investigation après la survenue d’une attaque et disposent d’informations limitées sur la voie empruntée. Ils peuvent ainsi renforcer leurs connaissances concernant l’attaque et améliorer leur visibilité pour la poursuite de l’enquête. Les outils et techniques utilisés dans le cadre de ces deux approches se recoupent en grande partie. C’est pourquoi il peut être intéressant de faire appel à des intervenants sur incident pour mettre sur pied des activités de threat hunting. Il convient néanmoins de passer progressivement d’une simple approche de réponse à incident à une stratégie dédiée de threat hunting.

Le rapport identifie également d’importantes lacunes dans l’utilisation des outils automatisés pour faciliter la conservation de renseignements utiles et exploitables sur les menaces. Il précise également que la plupart des threat hunters n’exercent pas cette activité à plein temps, mais assument également d’autres responsabilités. Le recours à des intervenants sur incident et à des analystes de SOC pour constituer l’équipe de threat hunting est également en plein essor. Si les premiers ont l’habitude d’identifier les menaces émergentes et inconnues, les seconds peuvent éprouver quelques difficultés à passer de l’analyse des alertes à la recherche active de signes de compromission.

Selon le rapport, les fréquents changements de contexte constituent le pire cauchemar des threat hunters. En effet, seul un petit nombre de répondants ont déclaré n’avoir jamais besoin de changer d’outil pour effectuer leur travail. La limitation des changements d’applications offre donc de réelles perspectives d’amélioration de l’efficacité. Un pourcentage élevé de répondants (36,3 %) déclare appliquer manuellement les renseignements sur les menaces collectés, ce qui limite l’efficacité de l’opération. En effet, près de la moitié des personnes interrogées ne stockent pas ces renseignements sur une plateforme et optent pour des méthodes traditionnelles de stockage dans des fichiers, tels que des feuilles de calcul ou des fichiers PDF.

On peut s’étonner que la moitié des personnes interrogées aient déclaré ne pas comprendre l’intérêt de traquer les menaces émergentes ou inconnues, car l’identification des menaces inconnues est l’un des principaux arguments du threat hunting, tandis que la gestion des menaces quotidiennes peut être assurée par les SOC.

Pour résumer et prolonger la réflexion, nous devons parvenir à un consensus sur le concept de threat hunting, améliorer les outils qui réduisent les changements de contexte, automatiser le processus et faciliter la mesure du threat hunting. Pour la plupart des personnes interrogées, la solution de facilité consiste à passer d’une gestion sur documents à une gestion sur une plateforme open source ou commerciale des renseignements sur les menaces afin de faciliter leur utilisation, leur évolutivité et leur application.

Yann Le Borgne, directeur technique Europe ThreatQuotient

Poursuivez votre lecture avec nos différents articles sur les sujets du moment en cybersécurité.