Threat hunting 101

Spécialité(s)


Résumé

« Il ne faut pas vendre la peau de l’ours avant d’avoir sinkholé tous ses domaines » -- Ancien proverbe chinois


On pourrait commencer cet article par la fameuse blague : « le threat hunting, tout le monde dit en faire, mais personne ne sait ce que c’est », mais ça ne serait pas tout à fait vrai. La réalité est bien plus complexe (ou cocasse) : tout le monde est persuadé que leur produit arrive à en faire, et en plus ils essayent de le refourguer à leur voisin. Cet article n’a pas pour but d’apprendre au lecteur à faire du threat hunting (d’ailleurs, « faire du threat hunting » ne veut pas dire grand- chose), mais plutôt d’explorer le concept et donner les clés nécessaires pour décider si l’établissement d’un programme de threat hunting a du sens.

1. Dans une coquille de noix de coco

Soyons sérieux : on ne chasse pas les menaces comme un Néandertal chassait le mammouth. Une manière de parler de « threat hunting » serait d’expliquer comment une équipe de réponse à incidents de sécurité (CERT, CSIRT…) décide de ne pas rester les bras croisés...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne
Références

[SANS] Incident Handler's Handbook - https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901

[F3EAD] The Targeting Process : D3A and F3EAD - http://www.dtic.mil/dtic/tr/fulltext/u2/a547092.pdf

[BANG] Two Bytes To $951M - http://baesystemsai.blogspot.ch/2016/04/two-bytes-to-951m.html

[JPCERT] Detecting Lateral Movement through Tracking Event Logs -
http://blog.jpcert.or.jp/2017/06/1-ae0d.html

[GRR-HASH] Hashing : The Maslow's Hammer of Forensics -
http://grr-response.blogspot.ch/2015/05/hashing-maslows-hammer-of-forensics.html

[MISP] MISP - Malware Information Sharing Platform and Threat Sharing - Open Source TIP - http://www.misp-project.org/

[CORTEX] Powerful Observable Analysis Engine - https://github.com/CERT-BDF/Cortex

[YETI] Your Everyday Threat Intelligence - https://yeti-platform.github.io

[THEHIVE] Security Incident Response For The Masses - https://thehive-project.org

[FIR] Fast Incident Response - https://github.com/certsocietegenerale/FIR

[ELK] The Open Source Elastic Stack - https://www.elastic.co/products

[CUCKOO] Automated Malware Analysis - https://cuckoosandbox.org/

[FAME] FAME Automates Malware Evaluation - https://certsocietegenerale.github.io/fame/

[MIASM] Reverse engineering framework in Python - https://github.com/cea-sec/miasm

[VIRUSTOTAL] VirusTotal - https://www.virustotal.com/

[PASSIVETOTAL] PassiveTotal - http://passivetotal.org/

[GRR] GRR Rapid Response : remote live forensics for incident response - https://github.com/google/grr

[OSQUERY] Performant Endpoint Visibility - https://osquery.io/

[PAIN] The Pyramid of Pain - http://detect-respond.blogspot.ch/2013/03/the-pyramid-of-pain.html



Article rédigé par

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous