Qu'est-ce que Cyber Threat Hunting?

Le logiciel primé ThreatDown MDR arrête les menaces que les autres ne voient pas.

Explorer le MDR

Introduction

threat hunting Threat hunting une technique de cybersécurité dans laquelle les chasseurs de menaces passent au crible les réseaux, les systèmes et les appareils à la recherche d'anomalies afin de détecter de manière proactive les cybermenaces. threat hunting proactive threat hunting une mesure importante qui permet aux analystes d'examiner en profondeur la surface d'attaque et de mettre au jour les menaces malveillantes. Ces menaces avancées ont souvent réussi à infiltrer les couches de sécurité initiales des terminaux sans être détectées.

Contrairement à la détection des menaces, threat hunting pas une approche réactive. threat hunting utilise des techniques préventives pour surveiller les systèmes et les informations en conjonction avecles renseignements sur les menacesafin d'identifier et de hiérarchiser les activités suspectes. Son objectif principal est d'empêcher les cyberattaques sophistiquées et les menaces persistantes avancées de causer des ravages au sein du réseau.

Comment fonctionne threat hunting et quelles sont les étapes ?

threat hunting comprennent 5 étapes principales pour mener à bien une campagne, à savoir l'hypothèse, le déclencheur, les données de renseignement sur les menaces, l'enquête sur les menaces et la réponse.


d'hypothèses La recherche de menaces commence par l'élaboration d'une hypothèse. La campagne vise à explorer les idées, les déclarations ou les suppositions éclairées d'un chasseur de menaces sur les activités malveillantes en cours, ainsi que sur la manière et les raisons pour lesquelles les acteurs malveillants infiltrent un environnement. Les chasseurs de menaces utilisentle cadre MITRE ATT&CK, les tactiques, techniques et procédures (TTP),les indicateurs de compromission (IOC) et les renseignements sur les menaces pour mieux comprendre le comportement des adversaires et formuler ces hypothèses. Un exemple de technique utilisée par les adversaires est le déplacement latéral sur le réseau, un comportement courant chez les cyberattaquants qui consiste à rechercher de manière malveillante des données et des actifs ciblés.

Déclencheur
Lorsqu'une alerte est déclenchée, les chasseurs de menaces utilisent ce déclencheur comme guide pour identifier les schémas et les points communs entre les incidents. Des outils Advanced de détection Advanced permettent aux chasseurs de menaces de remarquer les alertes déclenchées afin de pouvoir commencer le processus d'enquête sur les menaces. L'hypothèse élaborée par un chasseur de menaces peut également servir de déclencheur dans le cadre d'une chasse proactive lorsque de nouvelles menaces apparaissent.

Collecte de données sur les menaces
La compilation des données sur les menaces est assurée par threat hunting tels quela gestion des informations et des événements de sécurité (SIEM),la détection et la réponse gérées (MDR) et l'orchestration, l'automatisation et la réponse en matière de sécurité (SOAR). Cette bibliothèque de données de sécurité soutient le processus de détection, d'enquête et d'analyse des menaces.

Enquête sur les menaces
Le processus d'enquête sur les menaces s'appuie sur des technologies de détection des menaces pour examiner en profondeur les activités suspectes afin de distinguer les comportements malveillants des alertes bénignes et fausses. Outre les outils de sécurité mentionnés ci-dessus,Endpoint Detection and Response EDR)aide à fournir des informations contextuelles recueillies à partir des appareils des utilisateurs finaux surveillés.


de réponse Une fois qu'une activité suspecte est jugée malveillante, les équipes de sécurité utilisent les données de renseignements sur les menaces collectées pour préparer unestratégie de réponse aux incidentsafin de prendre des mesures contre l'attaque confirmée. Cela peut inclure le déploiementde correctifs logiciels, l'exécution d'un outil de suppression des logiciels malveillants ou la configuration de modifications dans uneplateforme de sécurité basée sur le cloud.

Comprendre les modèles threat hunting

Les méthodologies threat hunting threat hunting threat hunting peuvent être classées en deux modèles :

Enquête sur les menaces basée sur des hypothèses
Dans ce modèle, threat hunting guidée par une hypothèse fondée sur les observations du chasseur de menaces, les renseignements sur les menaces et les années d'expérience acquises. threat hunting basée sur des hypothèses threat hunting trois étapes clés : la formulation d'une hypothèse, la mise en œuvre des prédictions et le test des résultats. Les chasseurs de menaces se concentrent sur la pertinence, l'applicabilité et la testabilité de leurs hypothèses. Les hypothèses doivent tenir compte des tendances actuelles du secteur, des besoins de l'organisation et de l'accessibilité aux outils de sécurité.

threat hunting basée sur les renseignements
Dans un modèle basé sur les renseignements sur les menaces, threat hunting sur les tactiques, techniques et procédures (TTP), les indicateurs de compromission (IOC), les indicateurs d'attaque (IOA) et la collecte de données sur les menaces afin de comprendre pleinement les menaces, de surveiller les déclencheurs et d'exposer les activités en cours des attaquants.

Threat hunting vs renseignement sur les menaces : quelle est la différence ?

Les renseignements sur les cybermenaces sont un ensemble de données collectées qui sont traitées et analysées afin de mieux comprendre les intentions des adversaires. Les renseignements peuvent être recueillis et examinés à l'aide de systèmes automatisés grâce à l'apprentissage automatique (ML) et à l'intelligence artificielle (IA).

threat hunting une pratique qui s'appuie sur les renseignements sur les menaces pour mener des campagnes à l'échelle du réseau. Ces threat hunting visent principalement à repérer les cyberattaquants au sein des systèmes. La recherche de menaces est un processus qui dépend des données de renseignements sur les menaces récupérées à partir d'outils de sécurité critiques.

Ressources en vedette

Cyber Threat Hunting FAQs

Quelles sont les conditions requises pour démarrer threat hunting?

Pour commencer à enquêter sur threat hunting , les chasseurs de menaces doivent créer une hypothèse de base sur laquelle axer leurs campagnes. Ces équipes threat hunting doivent avoir accès aux technologies de renseignement et de détection des menaces pour mieux identifier les anomalies, les IOC et les IOA qu'elles anticipent. Threat hunting requiert des talents en cybersécurité ayant les compétences nécessaires pour analyser le renseignement sur les menaces et les données de détection des logiciels malveillants, ainsi qu'une expérience globale des systèmes.

Qu'est-ce que la gestion threat hunting?

Managed threat hunting est un service qui assure une surveillance proactive, 24 heures sur 24 et 7 jours sur 7, des activités suspectes et des cybermenaces, grâce à des experts de haut niveau en matière de détection et de réaction, qui s'appuient sur des données de renseignement sur les menaces. Pour plus d'informations, consultez le site MDR security.

Pourquoi les outils threat hunting sont-ils importants pour votre petite entreprise ?

Threat hunting est une mesure qui recherche de manière proactive les signes d'une violation de données ou d'une cyberattaque. Pour les petites entreprises dont les ressources sont limitées et dont les compétences en matière de cybersécurité sont insuffisantes, threat hunting aide le personnel informatique à se tenir au courant de l'évolution des TTP (tactiques, techniques et procédures) et des IOC (indicateurs de compromission), qui deviennent de plus en plus sophistiqués.