Détection active d’incidents
La chasse aux assaillants cachés
Pourquoi attendre qu’un assaillant se révèle au grand jour? Le threat hunting est une méthode visant à détecter les incidents de sécurité le plus tôt possible. Les experts en sécurité inspectent l’infrastructure de leur entreprise, afin de repérer des traces d’attaque et d’éviter ainsi le pire.
Texte: Andreas Heer, Image: Plainpicture,
Au mois de juin de cette année, plusieurs médias ont fait état d’une cyberattaque de grande envergure contre un opérateur de télécommunications européen. Andreas Hunkeler, qui travaille en tant qu’expert en sécurité dans l’équipe CSIRT (Computer Security Incident Response Team) de Swisscom, déclare: «Cela nous a naturellement mis en alerte. Nous nous sommes demandé si une attaque de ce genre pouvait réussir sur notre infrastructure.»
Une information publique de ce type peut être le point de départ du threat hunting, soit la recherche d’attaquants non identifiés sur le réseau interne. A ce sujet, Andreas Hunkeler observe: «Nous prenons en compte différentes sources de déclenchement du threat hunting. Outre les avertissements publics, nous considérons aussi les informations que partagent avec nous certains groupes de confiance, des sources spécialisées comme le framework MITRE ATT&CK, ainsi que nos échanges avec des collègues d’autres équipes CSIRT.» Le chasseur solitaire dans le cyberespace n’existe guère que dans les films. La cybersécurité est un travail d’équipe et il en va de même pour le threat hunting. In fine, l’échange mutuel de connaissances permet à toutes les entreprises de mieux se préserver des attaques.
Threat hunting: traquer l’inconnu
Après l’attaque à l’encontre de l’opérateur de télécommunications, un spécialiste de la sécurité de Swisscom a donc endossé le rôle du chasseur et inspecté l’infrastructure de l’entreprise à la recherche d’éventuels signes d’attaque. Le threat hunting est une méthode de détection des incidents de sécurité. Il s’agit de rechercher des modèles d’attaque qui passent inaperçus des systèmes automatisés car trop complexes ou trop discrets. Andreas Hunkeler détaille: «Lorsqu’un utilisateur se connecte à un système à une heure inhabituelle ou depuis un lieu inhabituel, est-ce une cyberattaque ou une opération légitime? Lorsque les assaillants utilisent un logiciel standard dans un but malveillant, quelle est la différence par rapport à l’utilisation légitime?» Ces questions ont beau être simples, elles sont difficiles à trancher et peuvent donner lieu à de fausses alertes ou «faux positifs» si les systèmes automatisés confondent utilisation malveillante et légitime.
Ce sont ces questions qui constituent le point de départ du threat hunting. Andreas Hunkeler décrit le mode opératoire: «En hypothèse, nous commençons par définir les modèles que nous voulons rechercher exactement. Ce processus de relevé d’empreintes est particulièrement fastidieux et nécessite de recueillir des informations en provenance de différents systèmes.» Ainsi, les threat hunters ou chasseurs de menaces doivent lire toutes sortes de traces – ici une commande système inoffensive en soi, là une tentative de connexion à un serveur – et savoir en déduire des modèles. Andreas Hunkeler apprécie cette tâche: «Il s’agit d’une partie créative et vraiment passionnante de mon travail. Elle suppose en effet d’expérimenter librement différentes approches de détection.»
Parfois, le modèle est encore inconnu parce que l’attaque est d’un genre nouveau, qui n’est pas encore suffisamment documenté. Andreas Hunkeler explique: «Dans ce cas, nous examinons l’infrastructure à la recherche d’anomalies par rapport à la situation normale qui, elle, nous est parfaitement connue.» De cette façon, même les attaques inconnues sont décelables. Les chasseurs de menaces ont parfois aussi besoin d’un peu de chance, tout comme les chasseurs de gibier dans la nature.
Augmenter le niveau de maturité de la sécurité informatique
Après la détection d’une attaque par les cyberchasseurs, deux tâches sont à effectuer: d’une part, il importe d’analyser les TTP (techniques, tactiques et procédures). D’autre part, il s’agit de se débarrasser de l’assaillant. Cette tâche incombe à l’équipe de gestion des incidents. Andreas Hunkeler ajoute: «L’objectif du threat hunting est d’alimenter ensuite les systèmes automatisés avec les connaissances acquises.» En cas d’attaque ultérieure semblable, l’infrastructure de sécurité sera alors capable de déceler l’intrusion et idéalement de la bloquer. Swisscom fait ainsi progresser le niveau de maturité de sa propre sécurité informatique.
Si les chasseurs de menaces ne trouvent rien, l’opération aura tout de même été utile, comme le souligne Andreas Hunkeler: «Nous avons dans ce cas l’entière certitude d’avoir été épargnés par un modèle d’attaque particulier.» En définitive, le threat hunting fait office de baromètre de santé du réseau de l’entreprise.
Il arrive aussi que les cyberchasseurs fassent de surprenantes découvertes, raconte Andreas Hunkeler: «Le threat hunting nous a permis une fois de repérer une simulation d’attaque de notre propre Red Team, dont nous n’étions pas informés.»
Newsletter
Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?
En savoir plus:
