Christophe Renard, spécialiste en réponse à incidents, discute des nuances entre détection proactive et recherche de compromissions. Il aborde la complémentarité entre détection d'intrusions et hunting, avec des méthodes innovantes comme le retro-hunting. Les défis de gestion des journaux dans Windows et Linux sont également explorés, tout comme l'importance des tests d'intrusion pour les équipes Purple Team. En outre, il met en lumière l'optimisation des analyses de logs et l'évolution nécessaire des stratégies de détection face à la complexité des menaces.
L'épisode souligne l'importance de différencier la détection d'activités malveillantes et la recherche de compromissions pour une sécurité efficace.
Il met en avant la nécessité d'une stratégie proactive en cybersécurité, intégrant des techniques modernes et l'expertise humaine pour une détection optimisée.
Deep dives
Différences entre détection et hunting
L'épisode aborde la distinction cruciale entre l'approche de détection d'activités malveillantes et celle de la recherche de compromissions, aussi appelée 'hunting'. Le hunting est défini comme une démarche proactive pour identifier des signes d'intrusion dans un système d'information, même si aucune compromission n'est actuellement confirmée. Deux méthodes principales sont mises en avant : le retro-hunting, qui consiste à analyser les journaux de sécurité passés, et le hunting direct, qui cherche à détecter des activités suspectes sur les systèmes en temps réel. Cela met en évidence les avantages et inconvénients de chaque approche, notamment le risque de données manquantes dans les journaux par rapport à la volatilité des traces sur les systèmes.
Stratégies de collecte de journaux
La centralisation des journaux de sécurité pour faciliter le retro-hunting est examinée, avec un accent sur l'importance d'un bon stockage et d'une gestion des données. La plateforme centralisée permet de maintenir un historique significatif et d'effectuer des requêtes diverses, mais des coûts de traitement et de bande passante notables sont à prendre en compte. Des techniques telles que la création de puits de logs locaux sont proposées pour éviter la surcharge et optimiser les ressources. La nécessité d'une infrastructure bien configurée est essentielle pour assurer une collecte efficace et exploitable des logs.
Rôle des marqueurs de compromission
L'épisode explore l'utilisation d'indicateurs de compromission (IOC) pour la détection, en soulignant que ces marqueurs peuvent souvent être obsolètes au moment de leur réception. Les attaquants changent fréquemment d'infrastructure, rendant difficile la détection des activités malveillantes réelles. Pour optimiser l'hunting, l’intégration d’IOC récents, en lien avec des opérations suspectes passées, se révèle plus efficace. Cela nécessite un suivi proactif des menaces, en tenant compte des spécificités matérielles et des environnements de réseau.
L'évolution vers une détection proactive
Une évolution notable dans la cybersécurité est la transition d'un paradigme de défense passive à une approche proactive, où l'on 'part du principe que l'on est compromis'. Cette stratégie, qui inclut une interaction délibérée avec l'adversaire, vise à détecter les intrusions dès les premières étapes. Les systèmes de leurre, tels que les honeypots, sont discutés comme moyens d'attirer les attaquants avec des leurres attrayants, tout en faisant attention à ne pas alerter les utilisateurs légitimes. Cependant, l'épisode conclut que les méthodes d'automatisation et d'intelligence artificielle dans la détection doivent encore s'appuyer sur l'expertise humaine pour véritablement réussir.
