« Il ne faut pas vendre la peau de l’ours avant d’avoir sinkholé tous ses domaines » -- Ancien proverbe chinois
On pourrait commencer cet article par la fameuse blague : « le threat hunting, tout le monde dit en faire, mais personne ne sait ce que c’est », mais ça ne serait pas tout à fait vrai. La réalité est bien plus complexe (ou cocasse) : tout le monde est persuadé que leur produit arrive à en faire, et en plus ils essayent de le refourguer à leur voisin. Cet article n’a pas pour but d’apprendre au lecteur à faire du threat hunting (d’ailleurs, « faire du threat hunting » ne veut pas dire grand- chose), mais plutôt d’explorer le concept et donner les clés nécessaires pour décider si l’établissement d’un programme de threat hunting a du sens.
1. Dans une coquille de noix de coco
Soyons sérieux : on ne chasse pas les menaces comme un Néandertal chassait le mammouth. Une manière de parler de « threat hunting » serait d’expliquer comment une équipe de réponse à incidents de sécurité (CERT, CSIRT…) décide de ne pas rester les bras croisés...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[SANS] Incident Handler's Handbook - https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901
[F3EAD] The Targeting Process : D3A and F3EAD - http://www.dtic.mil/dtic/tr/fulltext/u2/a547092.pdf
[BANG] Two Bytes To $951M - http://baesystemsai.blogspot.ch/2016/04/two-bytes-to-951m.html
[JPCERT] Detecting Lateral Movement through Tracking Event Logs -
http://blog.jpcert.or.jp/2017/06/1-ae0d.html
[GRR-HASH] Hashing : The Maslow's Hammer of Forensics -
http://grr-response.blogspot.ch/2015/05/hashing-maslows-hammer-of-forensics.html
[MISP] MISP - Malware Information Sharing Platform and Threat Sharing - Open Source TIP - http://www.misp-project.org/
[CORTEX] Powerful Observable Analysis Engine - https://github.com/CERT-BDF/Cortex
[YETI] Your Everyday Threat Intelligence - https://yeti-platform.github.io
[THEHIVE] Security Incident Response For The Masses - https://thehive-project.org
[FIR] Fast Incident Response - https://github.com/certsocietegenerale/FIR
[ELK] The Open Source Elastic Stack - https://www.elastic.co/products
[CUCKOO] Automated Malware Analysis - https://cuckoosandbox.org/
[FAME] FAME Automates Malware Evaluation - https://certsocietegenerale.github.io/fame/
[MIASM] Reverse engineering framework in Python - https://github.com/cea-sec/miasm
[VIRUSTOTAL] VirusTotal - https://www.virustotal.com/
[PASSIVETOTAL] PassiveTotal - http://passivetotal.org/
[GRR] GRR Rapid Response : remote live forensics for incident response - https://github.com/google/grr
[OSQUERY] Performant Endpoint Visibility - https://osquery.io/
[PAIN] The Pyramid of Pain - http://detect-respond.blogspot.ch/2013/03/the-pyramid-of-pain.html