Fermer

août 20, 2024

Comment les chasseurs de menaces restent informés et collaborent

Comment les chasseurs de menaces restent informés et collaborent


Dans le paysage en constante évolution de la cybersécurité, les chasseurs de menaces jouent un rôle crucial dans la détection et l’atténuation proactives des menaces de sécurité. Une étude récente réalisée par le groupe CHISEL de l’Université de Victoria met en lumière les pratiques de collaboration et de partage d’informations des chasseurs de menaces. Voici quelques conclusions clés du rapport qui peuvent aider les chasseurs de menaces et leurs responsables à améliorer leurs stratégies.

C’est le 7ème article dans notre série de blogs en cours « The Rise of the Threat Hunter ». Pour en savoir plus sur la série regarde l’introduction ici ou lisez le message de la semaine dernière « Comprendre les personnalités des chasseurs de menaces

Collaboration dans la chasse aux menaces

Des collaborateurs diversifiés

Les chasseurs de menaces interagissent avec un large éventail de collaborateurs, tant internes qu’externes. En interne, ils travaillent en étroite collaboration avec des équipes telles que le Security Operations Center (SOC), la science des données et le renseignement sur les menaces. En externe, ils collaborent avec des clients, des compagnies d’assurance de cybersécurité, des fournisseurs de chaînes d’approvisionnement et d’autres connexions du secteur. Disposer d’un réseau diversifié de collaborateurs permet aux chasseurs de menaces de se tenir au courant des nouvelles menaces, des tactiques de défense et des meilleures pratiques pour améliorer la sécurité de tous.

Canaux de communication

Une communication efficace est essentielle pour une chasse aux menaces réussie. Les équipes utilisent diverses plateformes telles que Slack, Teams et la messagerie électronique pour la communication synchrone et asynchrone. Des réunions régulières, quotidiennes et hebdomadaires, aident à maintenir l’alignement et à garantir un partage d’informations en temps opportun. Cependant, la dispersion géographique des équipes peut poser des problèmes, ce qui rend essentiel l’établissement de protocoles de communication clairs. Une rupture de communication peut conduire à des menaces manquées et à des systèmes vulnérables. Il est donc important de planifier la manière dont la communication sera gérée de manière synchrone et asynchrone.

Collaboration synchrone

La communication synchrone permet une interaction immédiate et une prise de décision rapide. Des outils comme Slack, Microsoft Teams et Zoom sont essentiels pour faciliter ce type de communication en temps réel. Des réunions régulières, qu’il s’agisse de stand-ups quotidiens, de séances d’information sur les menaces ou de séances ponctuelles de résolution de problèmes, garantissent que les membres de l’équipe peuvent discuter des problèmes, partager des mises à jour et s’aligner rapidement sur les objectifs.

Pour maximiser la collaboration synchrone, il est important d’établir des normes de communication claires. Cela implique de définir des attentes en matière de délais de réponse pendant les heures de travail, de convenir de protocoles de communication pour différents types d’informations et d’utiliser des documents ou des tableaux de bord partagés pour que tout le monde soit sur la même longueur d’onde.

Collaboration asynchrone

La communication asynchrone, en revanche, est essentielle lorsque vous travaillez sur différents fuseaux horaires ou lorsque des réponses immédiates ne sont pas nécessaires. Gérer efficacement les transferts est crucial dans ce contexte. Par exemple, lorsqu’un membre de l’équipe termine son quart de travail, il peut laisser des notes détaillées et des actions à entreprendre dans des outils partagés comme Confluence, Jira ou Trello. Cela garantit que la prochaine personne qui reprendra la tâche disposera de toutes les informations dont elle a besoin pour poursuivre le travail de manière transparente.

De nombreux outils de communication offrent également des fonctionnalités prenant en charge la collaboration asynchrone, telles que les discussions basées sur des fils de discussion dans Slack ou Teams, où les conversations peuvent être revisitées et complétées selon les besoins. Documenter les décisions, enregistrer les actions clés et marquer les membres concernés de l’équipe peut aider à tenir tout le monde informé sans avoir besoin d’interaction en temps réel.

En combinant des méthodes synchrones et asynchrones, les équipes peuvent maintenir leur élan et garantir que les informations critiques sont communiquées efficacement, quels que soient le moment et l’endroit où les membres de l’équipe travaillent.

Recommandations d’amélioration

Pour surmonter les défis de collaboration, les chasseurs de menaces du rapport recommandent d’automatiser la génération de rapports, de réduire le nombre de réunions et d’établir un protocole de transfert formel. La chasse aux menaces est autant un art qu’une science. En supprimant la création de rapports et en réduisant les réunions, les chasseurs de menaces disposent du temps dont ils ont besoin pour se concentrer sur des tâches critiques et chronophages. Lorsqu’elles sont bien mises en œuvre, ces suggestions peuvent rationaliser les processus et améliorer l’efficacité, permettant ainsi aux chasseurs de menaces de se concentrer davantage sur leurs tâches principales.

Rester informé

Compétences de base et stratégies d’apprentissage

Comme nous le savons tous, les chasseurs de menaces ont besoin d’un mélange de compétences techniques et non techniques. Les compétences techniques comprennent la connaissance des systèmes d’exploitation, des réseaux, de la programmation et des bases de la cybersécurité. Les compétences non techniques telles que la communication, la résolution de problèmes et la capacité d’analyse sont tout aussi importantes.

Les compétences techniques essentielles pour les chasseurs de menaces comprennent la connaissance des bases des systèmes d’exploitation, des réseaux, de la programmation et de la cybersécurité. La maîtrise des langages de script tels que Python, Bash et PowerShell est cruciale, ainsi que la familiarité avec les interfaces de ligne de commande et l’administration système. Comprendre l’analyse des logiciels malveillants, l’investigation informatique et le paysage des menaces est également essentiel.

Ces compétences peuvent être acquises grâce à une combinaison d’éducation formelle (telle que des diplômes en informatique ou en cybersécurité), de certifications (telles que SANS, OSCP, CISSP) et de formation sur le terrain. Une expérience pratique peut être acquise grâce à des exercices de capture du drapeau, des hackathons et des simulations. De plus, rester informé des dernières nouvelles en matière de cybersécurité, participer à des webinaires, des conférences et des programmes de mentorat, et interagir avec des communautés et des ressources en ligne comme GitHub et Stack Overflow sont des stratégies efficaces pour l’apprentissage continu.

Les compétences non techniques incluent des éléments tels que la communication, la résolution de problèmes et la capacité d’analyse. Une communication efficace garantit une transmission claire de concepts complexes à des publics divers, tandis que les compétences en résolution de problèmes et en analyse permettent aux chasseurs de menaces d’analyser les problèmes et de concevoir des solutions innovantes. Ces compétences peuvent être perfectionnées grâce au mentorat, à la formation sur le terrain et à l’apprentissage autonome. Participer à des réunions d’équipe, à des présentations de partage de connaissances et à des conférences aide également à affiner ces capacités. De plus, la lecture d’articles, le visionnage de vidéos et l’obtention de certifications offrent des opportunités de formation continue, permettant aux chasseurs de menaces d’être informés des dernières tendances et pratiques en matière de cybersécurité.

Ressources d’information

Les chasseurs de menaces s’appuient sur diverses ressources d’information, notamment OSINT, GitHub, des podcasts et des plateformes de renseignement sur les menaces, sans oublier les conférences industrielles et autres événements. Souvent, j’apprends le plus lors d’événements comme RSA et Black Hat, pas nécessairement pendant les briefings ou les présentations mais pendant les soirées et après la conférence tout en socialisant et en discutant avec d’autres personnes qui travaillent dans ce domaine. La socialisation est formidable pour avoir leur point de vue sur ce qui les concerne le plus.

Il convient de noter que certaines ressources ont des limites, telles que le manque de fiabilité des informations et les paywalls. Il faut souvent du temps pour trouver des données de haute qualité sur les menaces émergentes, ce qui ralentit le temps de réponse. L’intégration de ressources clés dans les outils de chasse aux menaces et la vérification de la fiabilité des sources d’informations peuvent contribuer à atténuer ces limitations.

Recommandations d’amélioration

Pour améliorer les ressources d’information, les chasseurs de menaces suggèrent une meilleure intégration des ressources dans leurs principaux outils et le développement de moyens de vérifier la fiabilité des informations. Cela peut améliorer la fiabilité et l’accessibilité des informations critiques, permettant ainsi aux chasseurs de menaces de garder une longueur d’avance sur les menaces émergentes. Tandis que l’industrie travaille sur de nouvelles et meilleures façons d’intégrer les renseignements sur les menaces, les chasseurs de menaces peuvent et doivent continuer à s’engager dans le partage des connaissances et la communication de l’industrie pour rester informés.

En savoir plus sur la cybersécurité OpenText

Prêt à offrir à votre équipe de chasse aux menaces des produits, des services et des formations pour protéger vos informations les plus précieuses et les plus sensibles ? Consultez notre portefeuille de cybersécurité pour un portefeuille moderne de solutions de sécurité complémentaires qui offrent aux chasseurs de menaces et aux analystes de sécurité une visibilité à 360 degrés sur les points finaux et le trafic réseau pour identifier, trier et enquêter de manière proactive sur les comportements anormaux et malveillants.




Source link