Pas mission impossible pour le … – Bien choisir son serveur d impression

La chasse aux menaces est considérée comme un élément essentiel des opérations de cybersécurité modernes. Ce type d'activité présente de nombreux avantages, tels que l'identification proactive des acteurs de la menace dans votre environnement, la réduction potentielle du temps d'arrêt des adversaires de votre réseau, ainsi que l'identification et la résolution de problèmes anodins mais importants susceptibles d'améliorer les opérations informatiques globales de l'entreprise.

Pour les organisations à ressources limitées, la chasse aux menaces est souvent considérée comme une mission impossible. Ce n'est pas vrai. Les avantages de la recherche de menaces peuvent être réalisés en déployant une approche méthodique.

La première considération avant de mettre en œuvre des activités de recherche de menaces est la maturité de vos opérations de sécurité. Bien que l'idée de passer d'une posture passive, axée sur la détection, à un chasseur soit une perspective enthousiasmante pour de nombreuses équipes de défenseurs, il est probable que de nombreuses organisations seraient dans un premier temps en améliorant leurs efforts de gestion de configuration, de correctifs et de vulnérabilité, qui sont souvent difficiles pour les organisations avec des équipes dédiées dans ces domaines fonctionnels.

Ces processus importants, généralement, sont moins matures dans les petites organisations. De ce fait, les équipes de sécurité réduites ou aux ressources limitées seraient bien inspirées pour examiner leur maturité opérationnelle par rapport à certains des documents d’information sur la sécurité des informations disponibles, tels que le Centre pour les contrôles de sécurité essentiels de la sécurité Internet. Le CSC aide les organisations à donner la priorité à la mise en œuvre du contrôle de sécurité. Bien que la recherche de menaces soit l'un des éléments du CSC, il est recommandé uniquement lorsque les organisations ont atteint un niveau spécifique de maturité des opérations de sécurité.

À la chasse aux menaces
Après avoir démontré l'efficacité de la gestion des actifs, des correctifs et des vulnérabilités, une organisation est mieux à même de relancer les efforts de recherche de menaces. En ce qui concerne les systèmes informatiques d'une petite ou moyenne entreprise, nous trouvons souvent un poste de travail Windows dans un domaine Active Directory. Il est également probable qu'il y ait une sorte de présence dans le nuage, très probablement dans le domaine des logiciels en tant que services. C'est dans ce type d'environnement que nous pouvons explorer comment exploiter certaines fonctionnalités natives pour soutenir les efforts de recherche de menaces.

Les données de sécurité sont la pierre angulaire de la recherche de menaces. Il s'agit généralement de journaux, qu'il s'agisse de données liées au réseau, telles que les journaux de pare-feu ou de proxy Web, ou de données de points de terminaison provenant du système d'exploitation ou de la suite de points de terminaison. Pour chasser efficacement, les données des terminaux clients doivent être collectées de manière centralisée. Compte tenu de la prévalence d'attaques côté client, telles que le phishing, et des comportements d'attaque observés qui utilisent des clients compromis pour persister et se déplacer dans l'environnement, les données critiques liées à l'activité de l'adversaire ne se trouvent souvent que dans les journaux des noeuds finaux.

Bien que la collecte de journaux de points de terminaison puisse évoquer des solutions SIEM coûteuses ou encore un autre agent à déployer et à gérer, ce problème de collecte de données présente une solution simple. Une fonctionnalité native de Windows, Windows Event Forwarding, peut être utilisée pour résoudre le problème de la collecte de journaux des points de terminaison. Elle a un coût qui rendra la gestion heureuse: zéro. Gérés via une stratégie de groupe, les ordinateurs d'extrémité peuvent être configurés pour transmettre des données à un serveur central. Pour de nombreuses petites organisations, un seul serveur ou même un serveur existant peu actif conviendrait à ce rôle de collecte de données.

Une fois que les données des terminaux sont collectées de manière centralisée, la recherche peut commencer. Idéalement, ces données seraient encore consolidées dans une solution SIEM ou une solution d’agrégation de journaux existante afin de faciliter la recherche et la corrélation. Toutefois, si cette option n'existe pas, certains projets fournissent des scripts PowerShell pour analyser les données de journal transférées. Un exemple est le projet DeepBlueCLI écrit par Eric Conrad, disponible gratuitement sur son profil GitHub. Cette série de scripts fournit un ensemble de base de fonctionnalités de recherche de menaces en recherchant la preuve d'un comportement malveillant dans les données du journal du point de terminaison.

Données de journal et autres indicateurs
S'il est effectivement possible de convertir ces données en une sorte d'outil de corrélation de journal, la flexibilité de rechercher différents indicateurs augmente considérablement. Une ressource telle que le cadre Mitre ATT & CK peut être utilisée pour rechercher des éléments spécifiques issus des différentes étapes du cycle de vie d'une attaque, fournissant ainsi une multitude d'indicateurs pouvant être utilisés comme base du processus de chasse. Du point de vue des noeuds finaux, cette méthodologie constitue un moyen facile de se familiariser avec la recherche de points de terminaison dans les journaux d'événements Windows. Cependant, les journaux d'événements Windows ne sont pas la seule source de données pouvant prendre en charge les efforts de recherche de menaces.

Les données réseau constituent une autre source de données essentielle qui peut être utilisée pour rechercher des indications d'activité adverse dans votre environnement. Les données telles que netflow, les journaux de pare-feu, les journaux de proxy, les journaux DNS et les journaux DHCP peuvent tous jouer un rôle dans la recherche de menaces. La collecte de ces types de journaux peut s'avérer plus difficile dans certains environnements en raison de problèmes d'accès, de la surcharge de performances associée à la génération de journaux et de la possibilité d'analyser efficacement la source de données. Ces sources peuvent fournir une mine d'informations pouvant révéler des signes d'acteur menaçant, telles que des chaînes utilisateur-agent inhabituelles, des volumes de données inhabituels ou des adresses IP de destination, des flux de données client à client inhabituels pour des protocoles spécifiques tels que SMB, des noms d'hôte impairs ou Adresses MAC avec baux DHCP et indications de DGA dans les noms de certificat et les URL. Ce ne sont que quelques-uns des indicateurs qui peuvent être utilisés pour la chasse aux menaces, mais ils peuvent être des composants extrêmement efficaces pour mener à bien les efforts de chasse.

La recherche de la menace peut être efficacement effectuée dans des environnements plus petits ou aux ressources limitées. Exploiter les fonctionnalités natives du système d'exploitation et utiliser des ressources de chasse de haute qualité, disponibles gratuitement, peut permettre de surmonter les contraintes financières. Les contraintes de personnel peuvent être plus difficiles à résoudre, mais la hiérarchisation des tâches de sécurité en fonction de la valeur la plus élevée qu'elles offrent à l'organisation réduira le temps alloué à la recherche de menaces.

Si vous souhaitez en savoir plus sur la chasse aux menaces, David Mashburn donnera une conférence sur le sujet "Chasse des hauts et des bas: les mésaventures dans la chasse aux menaces" au SANS Pittsburgh en juillet, ou vous pouvez effectuer une recherche en ligne sur ces concepts.

Contenu connexe:

David Mashburn est un instructeur certifié SANS et un responsable de la sécurité informatique pour une organisation mondiale à but non lucratif basée à Washington, DC. Il a travaillé comme professionnel de la sécurité informatique pour plusieurs agences fédérales civiles et plus de 15 ans d'expérience dans l'informatique. … Voir la bio complète

Plus d'idées