4 différences entre traque des menaces et détection des menaces

Les entreprises prennent de plus en plus conscience de l’importance de mettre en place des fonctionnalités de détection et de traque des menaces qui permettent de protéger leur activité. Afin d’assurer la cybersécurité des entreprises et de fournir des solutions et des services de sécurité informatique efficaces, les entreprises et les MSP ne peuvent plus se contenter de n’agir qu’au moment où survient la cyberattaque, ils se doivent d’agir en amont de la menace.

La transition vers le télétravail et l’e-Learning à l’échelle mondiale, les inquiétudes liées au choix de la bonne solution de cybersécurité et l’augmentation générale du nombre d’attaques ont indéniablement fait de la cybersécurité un enjeu majeur soumis à de nouvelles exigences. L’approche recommandée est proactive et ne se limite pas à la prévention des menaces connues ; elle étudie aussi les nouvelles tactiques utilisées par les cybercriminels pour contourner les mesures de sécurité en place. En d’autres termes, la détection traditionnelle des menaces se doit d’aller de pair avec une traque proactive des menaces.

L'enquête sur la traque des menaces menée par SANS révèle que 65 % des entreprises interrogées traquent déjà les menaces d’une manière ou d’une autre et que 29 % prévoient de commencer à le faire au cours des 12 prochains mois. De nombreux secteurs tels que les services financiers, les nouvelles technologies, l’armée, les administrations et les télécommunications doivent neutraliser les menaces le plus rapidement possible. Si la prévention reste la meilleure réponse aux cyberattaques, la détection précoce des attaques cumulée à une réponse rapide sont essentielles pour réduire le nombre de cyberattaques potentielles.

Le processus de traque des menaces face aux cybermenaces

Afin de détecter à un stade précoce les activités suspectes et les cyberattaques sophistiquées, nos analystes de sécurité réalisent une traque active des menaces. À l’aide des informations recueillies au cours de nos 30 années d’expérience dans le secteur, nos traqueurs cherchent de nouvelles menaces et vérifient la légitimité des hypothèses en les comparant avec les données collectées par notre solution EDR (WatchGuard EDR/WatchGuard EPDR et Panda Adaptive Defense/Panda Adaptive Defense 360).

Une fois la légitimité avérée, si la nouvelle technique de détection est entièrement déterminée, elle est ajoutée en tant que nouvelle technique de détection. Si la technique de détection n’est pas entièrement déterminée, mais nous permet de détecter avec un haut degré de fiabilité qu’un appareil est compromis, un indicateur d’attaque (IoA) est généré. Ce dernier doit être traité rapidement pour confirmer qu’il s’agit bien d’une attaque et prendre les mesures nécessaires pour la confiner et la corriger.

Les indicateurs d’attaque (IoA) générés par notre service de Threat Hunting automatisé incluent la détection précoce d’activités telles que :

• Les attaques par force brute RDP
• La compromission d’identifiants après une attaque RDP par force brute
• L’exécution de cmd.exe avec une ligne de commande obfusquée
• L’exécution de script en mémoire via PowerShell
• Le téléchargement de fichier via le processus Svchost.exe
• L’exécution en mémoire d’un script distant
• L’exploitation de la vulnérabilité de l’éditeur d’équations d’Office
• L’installation de fichiers distants via le processus renommé msiexec.exe
• La persistance et l’élévation de privilège via les fonctionnalités d’accessibilité
• Le dump des identifiants du processus lsass en utilisant PowerShell ou Procdump

Notre service de Threat Hunting, inclus dans les solutions WatchGuard EDR et WatchGuard EPDR, affiche ces indicateurs d’attaque ainsi que des indicateurs d’attaque supplémentaires qui sont ajoutés dès que notre équipe en charge identifie de nouvelles attaques potentielles via la console Web de nos solutions. De plus, notre solution permet de configurer des adresses email pour être informé en temps réel de ces indicateurs d’attaque afin que des actions de confinement et de remédiation puissent être effectuées le plus rapidement possible.

Quelles différences entre traque des menaces et détection des menaces ?

Certaines personnes confondent parfois traque des menaces (threat hunting) et détection des menaces (threat detection), nous avons donc listé ci-dessous les principales différences entre les deux.

1. La traque des menaces est réalisée de manière proactive. Les traqueurs de menaces n’attendent pas de recevoir une alerte concernant un modèle connu ; ils essayent plutôt de trouver des indices avant qu’une violation de données ne survienne ou qu’un binaire inconnu ou malveillant ne soit détecté au niveau des postes de travail.
2. La traque des menaces est basée sur les soupçons et la formulation de nouvelles hypothèses. La traque consiste à exploiter des indices et des idées et non à vérifier des règles connues.
3. Seuls les traqueurs de menaces qui sont des analystes spécialisés dans la recherche de modèles d’attaque pour ce type de données peuvent fournir ce service. Les traqueurs de menaces sont expérimentés et connaissent la façon de penser et de procéder des pirates informatiques. Ils savent qu’à tout moment, le client est compromis, et recherchent tout indice permettant d’identifier l’attaquant sur le réseau sans attendre de recevoir une alerte de détection d’une règle connue ou d’un binaire malveillant.
4. La détection des menaces est un processus qui, la plupart du temps, est automatisé et vise à détecter les menaces connues, tandis que la traque des menaces est un processus créatif doté d’une méthodologie flexible axée sur la traque des pirates informatiques.

Grâce à ces fonctionnalités, nous apportons davantage de visibilité et de contrôle à nos solutions de sécurité pour postes de travail, ordinateurs portables et serveurs, ce qui permet à nos partenaires d’offrir une protection et des services supplémentaires à leurs clients. Cliquez ici pour en savoir plus sur le service Threat Hunting de WatchGuard.