Site icon Sophos News

Guide d’introduction à la chasse aux menaces : cinq étapes pour obtenir des résultats fructueux

chasse aux menaces

Au cours de l’année passée, 59 % des entreprises ont connu une augmentation de la complexité des cyberattaques1. Les acteurs malveillants sont plus rusés que jamais, déployant de plus en plus de techniques furtives pilotées manuellement pour mener à bien leurs attaques.

Par conséquent, les équipes de sécurité se sont naturellement tournées vers la chasse aux menaces afin de stopper ces menaces avancées, mais la mise en œuvre de cette approche n’est pas si simple.

Dans notre nouveau Guide d’introduction à la chasse aux menaces, nous expliquons ce qu’est la chasse aux menaces, pourquoi elle est devenue un élément essentiel de votre stratégie de sécurité et comment la déployer de manière efficace.  Nous fournissons également un résumé des outils et des frameworks que les équipes de sécurité utilisent pour garder une longueur d’avance sur les dernières cybermenaces et répondre ainsi rapidement à toute attaque potentielle.

Consultez le rapport en vous rendant sur la page dédiée ou bien en cliquant sur l’image ci-contre.

Cinq étapes pour vous aider à préparer votre chasse aux menaces

En ce qui concerne les opérations de sécurité, la préparation est la clé du succès. Il est important de s’appuyer sur des bases solides avant de commencer sérieusement à chasser. Nous vous recommandons les cinq étapes suivantes pour bien préparer votre entreprise et unir vos forces afin de réussir votre chasse aux menaces :

1. Comprendre la maturité de vos opérations de cybersécurité actuelles

La mise en correspondance de vos processus avec un modèle de maturité de la cybersécurité (tel que le CMMC, Cybersecurity Maturity Model Certification) est un excellent moyen d’établir dans quelle mesure vous êtes bien équipé (ou non) pour commencer la chasse aux menaces. Il est également judicieux d’auditer votre posture de sécurité afin de déterminer votre niveau de vulnérabilités aux menaces.

2. Décider comment vous voulez vous y prendre pour chasser les menaces
Une fois que vous avez établi votre cybermaturité, vous pouvez décider si la chasse aux menaces est une activité que vous souhaitez réaliser en interne, externaliser entièrement ou combiner les deux.

3. Identifier les failles technologiques
Passez en revue vos outils existants et identifiez ce dont vous avez besoin pour effectuer une chasse aux menaces efficace. Quelle est l’efficacité de votre technologie de prévention ? Possède-t-il ou prend-il en charge des capacités de chasse aux menaces ?

4. Identifier les lacunes en matière de compétences

La chasse aux menaces nécessite des compétences expertes. Si vous ne disposez pas de l’expérience nécessaire en interne, envisagez de suivre des formations pour vous aider à développer les compétences requises. Envisagez également de travailler avec un prestataire externe pour compléter votre équipe.

5. Élaborer et mettre en œuvre un plan de réponse aux incidents
Il est essentiel de mettre en place un plan de réponse aux incidents complet afin de garantir que toute réponse soit mesurée et contrôlée.  Un plan de réponse bien préparé et bien compris, que toutes les parties clés peuvent immédiatement mettre en œuvre, réduira considérablement l’impact d’une attaque sur votre organisation.

Pour obtenir plus de détails, consultez notre Guide d’introduction à la chasse aux menaces.

Éléments facilitant la chasse aux menaces

Une chasse aux menaces efficace nécessite une combinaison de technologies Next-Gen avec une importante expertise humaine.

Technologies de prévention : réduction de la surproduction de signaux

Les chasseurs de menaces ne peuvent remplir leur rôle efficacement que s’ils ne sont pas inondés d’alertes de sécurité. Une façon d’y parvenir est d’introduire les meilleures technologies de prévention afin que les défenseurs puissent se concentrer sur des détections moins nombreuses et plus précises, et rationaliser le processus d’investigation et de réponse qui s’ensuivent.

Les capacités de prévention de la protection Sophos Intercept X Endpoint bloquent 99,98 % des menaces2, permettant ainsi aux défenseurs de mieux se concentrer sur les signaux suspects qui nécessitent une intervention humaine.

Vous pouvez obtenir plus d’informations ou bien essayer Intercept X Endpoint en vous rendant sur la page dédiée.

Les technologies de chasse aux menaces EDR/XDR (Endpoint/Extended Detection and Response)

Pour que les chasseurs de menaces puissent identifier et enquêter sur des activités potentiellement malveillantes, ils ont besoin de données et d’outils d’investigation. C’est là qu’interviennent les technologies EDR et XDR. Elles permettent aux chasseurs de voir rapidement les détections suspectes et de les examiner en profondeur.

L’EDR (Endpoint Detection and Response) fournit des données provenant de la solution Endpoint. En revanche, le XDR corrèle les signaux provenant de l’environnement informatique au sens large, notamment des solutions de pare-feu, de sécurité mobile, de messagerie et sécurité du Cloud. Étant donné que les adversaires exploitent toutes les opportunités d’attaque, plus vous élargissez votre réseau de signaux, mieux vous pouvez les détecter rapidement.

Conçu pour les analystes en sécurité et les administrateurs IT, Sophos XDR permet à votre équipe de détecter, d’enquêter et de répondre aux incidents au sein de votre parc informatique. Accédez immédiatement aux informations qui vous intéressent en choisissant parmi une bibliothèque de requêtes pré-écrites et personnalisables couvrant de nombreux scénarios différents de chasse aux menaces et d’opérations informatiques, ou bien rédigez les vôtres.

Pour évaluer les capacités de chasse aux menaces de Sophos XDR, vous pouvez tester le produit directement dans Sophos Central (si vous avez un compte Sophos Central) ou bien tester Sophos Intercept X Endpoint, qui inclut Sophos XDR.

Services de chasse aux menaces : notre solution MDR (Managed Detection and Response)

Le MDR (Managed Detection and Response), fourni sous forme de service entièrement géré, permet aux organisations de disposer d’une équipe dédiée d’analystes de sécurité qui chassent les menaces 24 h/24, 7 j/7 et 365 j/an. Selon ESG Research : “51% utilisent un fournisseur de services MDR (Managed Detection and Response) pour les aider à intégrer les données de télémétrie pour la détection et la réponse aux menaces”.

Les fournisseurs de services MDR, comme Sophos Managed Threat Response (MTR), présentent de nombreux avantages par rapport à un programme d’opérations de sécurité uniquement interne.  Le plus grand avantage de ces fournisseurs est l’expérience.

L’équipe Sophos MTR a des milliers d’heures d’expérience, ayant vu et traité tous les défis que les attaquants leur ont lancés. Ils peuvent également tirer des leçons d’une attaque ciblant une organisation et les appliquer à tous leurs clients. Un autre avantage est l’échelle : l’équipe Sophos MTR peut fournir un support 24 h/24, 7 j/7 assuré par trois équipes internationales.

Pour discuter de la façon dont Sophos MTR peut aider votre organisation, contactez votre représentant Sophos ou demandez à être rappelé. En attendant, consultez les dernières recherches et les dernières études de cas de Sophos MTR.

1L’état des ransomwares 2022 – Sophos

2AV-Test average score: (Janvier-Février 2021)

Billet inspiré de Getting started with threat hunting: five steps to support successful outcomes, sur le Blog Sophos.

Exit mobile version