Qu’est-ce que la recherche de menaces ?

La recherche de menaces est une fonction de sécurité qui combine une méthodologie proactive, une technologie innovante et des informations sur les menaces, en vue de détecter et d’arrêter les activités malveillantes.

Pour les entreprises prêtes à adopter une approche plus proactive de la cybersécurité, c’est-à-dire une approche qui tente d’arrêter les attaques avant qu’elles ne s’étendent, l’ajout de la recherche de menaces à leur programme de sécurité constitue l’étape logique suivante.

Après avoir renforcé leurs stratégies de sécurité des terminaux et de réponse aux incidents pour limiter les attaques de logiciels malveillants inévitables aujourd’hui, les entreprises peuvent passer à l’offensive. Elles sont prêtes à approfondir les investigations et à trouver ce qui n’a pas encore été détecté ; c’est exactement le but de la recherche de menaces.

La recherche de menaces est une tactique agressive qui repose sur l’hypothèse de la violation, laquelle présuppose que les cybercriminels se trouvent déjà à l’intérieur du réseau d’une entreprise, qu’ils le surveillent et s’y déplacent secrètement. Cela peut sembler exagéré, mais en réalité les cybercriminels peuvent demeurer dans un réseau pendant des jours, des semaines, voire des mois, à préparer et à exécuter des attaques telles que des menaces persistantes avancées, sans qu’aucune défense automatisée ne détecte leur présence. La recherche de menaces arrête ces attaques en recherchant des indicateurs de compromission cachés, de manière à les atténuer avant qu’elles n’atteignent leurs objectifs.

L’objectif de la recherche de menaces est de surveiller les activités quotidiennes et le trafic sur le réseau, et d’enquêter sur les anomalies possibles afin de détecter les activités malveillantes encore à découvrir qui pourraient mener à une violation complète. Pour atteindre ce niveau de détection précoce, la recherche de menaces intègre quatre composants d’égale importance :

Méthodologie. Pour réussir leur recherche de menaces, les entreprises doivent s’engager sur une approche proactive à plein temps, continue et en constante évolution. Une perspective réactive, ad hoc, de type « quand nous trouverons le temps » est vouée à l’échec et ne donnera que des résultats minimes.

Technologie. La plupart des entreprises disposent déjà de solutions de sécurité des terminaux complètes avec détection automatisée. La recherche de menaces s’ajoute à celles-ci au moyen de technologies avancées destinées à rechercher les anomalies, les schémas inhabituels et d’autres traces de cybercriminels qui ne devraient pas être présentes dans les systèmes et les fichiers. Les nouvelles plates-formes Cloud de protection des terminaux qui reposent sur les données chiffrées du Big Data permettent de capturer et d’analyser d’importants volumes de données de terminaux non filtrées, tandis que les analyses comportementales et l’intelligence artificielle offrent une visibilité étendue et rapide sur les comportements malveillants qui peuvent sembler normaux au premier abord.

Personnel hautement qualifié et dédié. Les spécialistes en recherche de menaces, ou analystes des menaces de cybersécurité, sont une espèce à part. Ces experts ne savent pas seulement utiliser la technologie de sécurité mentionnée, mais combinent également une aspiration implacable à passer à l’offensive à l’aide de capacités intuitives d’analyse et de résolution de problèmes qui leur permettent de détecter et de limiter les menaces cachées.

Informations sur les menaces L’accès à des informations reposant sur des données probantes fournies par des experts du monde entier améliore et accélère encore la recherche d’indicateurs de compromission existants. Les spécialistes sont aidés par des informations telles que la classification des attaques pour l’identification des logiciels malveillants et des groupes de menaces, ainsi que par des indicateurs de menace avancés qui peuvent aider à cibler les indicateurs de compromission malveillants.

L’étude du rapport de recherche de menaces 2018 de Crowd Research Partners confirme l’importance de ces fonctionnalités de recherche de menaces. À propos du classement des fonctionnalités par ordre d’importance, l’enquête a révélé que :

69 % des personnes interrogées ont choisi les informations sur les menaces

57 % ont choisi l’analyse comportementale

56 % ont choisi la détection automatique

54 % ont choisi l’autoapprentissage et les analyses automatisées

Les spécialistes en détection de menaces recherchent les cybercriminels qui passent inaperçus par l’intermédiaire de vulnérabilités dont l’entreprise ne connaît peut-être même pas l’existence. Ces cybercriminels passent un temps considérable à planifier et à effectuer des opérations de reconnaissance, et n’agissent que lorsqu’ils savent qu’ils peuvent pénétrer le réseau sans préavis. Ils implantent et créent également des logiciels malveillants qui n’ont pas encore été reconnus, ou utilisent des techniques qui ne s’appuient pas du tout sur des logiciels malveillants pour installer une base persistante à partir de laquelle ils peuvent attaquer.

Alors, que faut-il pour déjouer même les plus astucieux cybercriminels ?

Les spécialistes en recherche de cybermenaces sont infatigables et en mesure de détecter la plus infime trace abandonnée par les cybercriminels.

Les spécialistes en recherche de menaces s’appuient sur leurs compétences aiguisées pour détecter les infimes modifications qui se produisent lorsque les cybercriminels se déplacent à l’intérieur d’un système ou d’un fichier.

Les meilleurs spécialistes en recherche se fient à leur instinct pour détecter les attaques furtives des cybercriminels les plus dangereux.