Q:
Quels sont les principaux avantages de la chasse aux menaces?
UNE:Commençons par comprendre ce qu'est la chasse aux menaces: c'est un processus de recherche - ligne par ligne et événement par événement - d'indicateurs de menaces très spécifiques. Il ne s'agit pas de rechercher ce qui pourrait être une anomalie. C'est l'acte de détecter des indicateurs de choses que nous savons se produire. C'est comme vérifier les tiques après avoir traversé les bois. Si vous avez de bonnes raisons de croire qu'il y a des tiques dans les bois, vérifiez si certains ont fait du stop. L'avantage de leur chasse est que vous pouvez les trouver et vous en débarrasser avant qu'ils ne vous mordent et vous rendent malade.
Cela dit, en tant que précurseur de la chasse aux menaces, vous devez avoir une idée de ce que vous recherchez. Cela nécessite trois choses: l'analyse, la connaissance de la situation et l'intelligence. Les informations brutes peuvent provenir de nombreuses sources différentes, et les experts d'une équipe de chasse aux menaces peuvent analyser ces informations et en tirer un sens. Qu'est-ce que le bavardage sur le dark web? Est-ce que quelqu'un parle de cibler une entreprise ou une technologie particulière? Y a-t-il des discussions sur de nouveaux métiers ou des méthodologies d'exploitation?
Les analystes des menaces de l'équipe de recherche de menaces peuvent rassembler de grandes quantités d'informations brutes, et c'est là que la connaissance de la situation permet d'identifier les problèmes saillants pour différentes organisations et utilisateurs. Les informations identifiant un mode d'attaque contre un studio de cinéma, par exemple, peuvent être une préoccupation moins immédiate pour un constructeur automobile. Les techniques utilisées dans une attaque contre un studio peuvent être viables comme techniques pour attaquer un constructeur automobile, mais si l'intelligence suggère que le centre de l'attaque est local aux studios de cinéma, alors les équipes informatiques des constructeurs automobiles devraient rester concentrées sur le menaces qui leur sont adressées. Cela revient à cette promenade dans les bois: si les tiques sont un problème dans les bois où vous marchez mais pas les scorpions, alors vous devez vous soucier des tiques, pas des scorpions.
Une fois que les analystes des menaces ont identifié les menaces préoccupantes, les chasseurs de menaces peuvent commencer leur chasse. Ils peuvent rechercher des preuves de vulnérabilités spécifiques - un routeur mal configuré, par exemple - ou rechercher des fragments de code spécifiques ou des scripts intégrés dans leur réseau. Et s'ils trouvent les éléments pour lesquels ils chassent, ils peuvent entreprendre les actions appropriées et protéger l'entreprise des attaques.