Threat hunting 101

Magazine
Marque
MISC
Numéro
94
Mois de parution
novembre 2017
Domaines


Résumé

« Il ne faut pas vendre la peau de l’ours avant d’avoir sinkholé tous ses domaines »-- Ancien proverbe chinois


On pourrait commencer cet article par la fameuse blague : « le threat hunting, tout le monde dit en faire, mais personne ne sait ce que c’est », mais ça ne serait pas tout à fait vrai. La réalité est bien plus complexe (ou cocasse) : tout le monde est persuadé que leur produit arrive à en faire, et en plus ils essayent de le refourguer à leur voisin. Cet article n’a pas pour but d’apprendre au lecteur à faire du threat hunting (d’ailleurs, « faire du threat hunting » ne veut pas dire grand- chose), mais plutôt d’explorer le concept et donner les clés nécessaires pour décider si l’établissement d’un programme de threat hunting a du sens.

1. Dans une coquille de noix de coco

Soyons sérieux : on ne chasse pas les menaces comme un Néandertal chassait le mammouth. Une manière de parler de « threat hunting » serait d’expliquer comment une équipe de réponse à incidents de sécurité (CERT, CSIRT…) décide de ne pas rester les bras croisés...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références

[SANS] Incident Handler's Handbook - https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901

[F3EAD] The Targeting Process : D3A and F3EAD - http://www.dtic.mil/dtic/tr/fulltext/u2/a547092.pdf

[BANG] Two Bytes To $951M - http://baesystemsai.blogspot.ch/2016/04/two-bytes-to-951m.html

[JPCERT] Detecting Lateral Movement through Tracking Event Logs - http://blog.jpcert.or.jp/2017/06/1-ae0d.html

[GRR-HASH] Hashing : The Maslow's Hammer of Forensics - http://grr-response.blogspot.ch/2015/05/hashing-maslows-hammer-of-forensics.html

[MISP] MISP - Malware Information Sharing Platform and Threat Sharing - Open Source TIP - http://www.misp-project.org/

[CORTEX] Powerful Observable Analysis Engine - https://github.com/CERT-BDF/Cortex

[YETI] Your Everyday Threat Intelligence - https://yeti-platform.github.io

[THEHIVE] Security Incident Response For The Masses - https://thehive-project.org

[FIR] Fast Incident Response - https://github.com/certsocietegenerale/FIR

[ELK] The Open Source Elastic Stack - https://www.elastic.co/products

[CUCKOO] Automated Malware Analysis - https://cuckoosandbox.org/

[FAME] FAME Automates Malware Evaluation - https://certsocietegenerale.github.io/fame/

[MIASM] Reverse engineering framework in Python - https://github.com/cea-sec/miasm

[VIRUSTOTAL] VirusTotal - https://www.virustotal.com/

[PASSIVETOTAL] PassiveTotal - http://passivetotal.org/

[GRR] GRR Rapid Response : remote live forensics for incident response - https://github.com/google/grr

[OSQUERY] Performant Endpoint Visibility - https://osquery.io/

[PAIN] The Pyramid of Pain - http://detect-respond.blogspot.ch/2013/03/the-pyramid-of-pain.html



Articles qui pourraient vous intéresser...

Les dangers de pastebin

Magazine
Marque
MISC
Numéro
115
Mois de parution
mai 2021
Domaines
Résumé

Pastebin est un simple service de mise en ligne de portions de textes bruts qui a gagné en popularité, notamment chez les développeurs. Ces morceaux de textes sont appelés des pastes, en référence à l’anglais copy/paste (copier/coller). Les pastes créés ont, la plupart du temps, une visibilité publique et sont accessibles par tous. Cependant, les problèmes de sécurité que ces derniers posent peuvent être importants et avoir de lourdes conséquences. En effet, certains utilisateurs de ces services, sous couvert d’une adresse web générée aléatoirement à l’aide de tokens, imaginent que seuls eux ont accès au contenu. Toutefois, nous allons voir dans cet article que la nature publique du contenu partagé permet à tous d’avoir accès à des données sensibles. Nous verrons également comment les opérateurs malintentionnés s’en servent à des fins malveillantes.

Où en est-on du Pearl Harbor numérique ?

Magazine
Marque
MISC
Numéro
114
Mois de parution
mars 2021
Domaines
Résumé

Emblème du marketing par la peur pour les uns, cygne noir pour les autres, cette appellation désigne l’éventualité d’une attaque informatique éclair contre un pays et qui serait paralysante pour son économie. Le terme fait couler de l’encre depuis au moins 20 ans [1] et nourrit moult fantasmes. Mais sont-ce des fantasmes ? D’aucuns diraient que si en 20 ans il ne s’est rien passé, c’est probablement qu’il y a eu un alarmisme exagéré.

Doper votre SIEM pour la réponse sur incident

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Quand on doit s'occuper de protéger un réseau, on se voit proposer une pléthore de stratégies, allant de l'analyse locale (par machine) à l'analyse globale (orientée sur la donnée). La première est largement couverte par des outils comme les antivirus et les EDR, la seconde va nous permettre de mettre en évidence des menaces plus avancées.

L’analyse de disques durs

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

L’analyse forensique de disques durs a toujours présenté des défis quotidiens, mais le problème actuel est la taille grandissante des supports de stockage. Quelles conséquences pour les experts et comment s’adapter ?