Notre série sur les chasseurs de menaces a couvert ce qu’ils sont et ce qu’ils font. L’article de cette semaine met en lumière deux erreurs courantes commises par les chasseurs de menaces et les trois plus grands défis auxquels ils sont confrontés, selon une étude récente de l’Université de Victoria. [insert link]. En fin de compte, ces erreurs et ces défis coûtent du temps et de l’attention, ce qui augmente les risques.
Cette discussion fait partie de notre série en cours « The Rise of the Threat Hunter ». Pour en savoir plus sur la série regarde l’introduction ici ou lisez l’entrée de la semaine dernière sur Chasseurs de menaces – Une journée dans la vie
Deux erreurs courantes dans la chasse aux menaces
Vous avez vu les gros titres. Les violations de données et les cyberattaques très médiatisées sont partout. Il est compréhensible que les chasseurs de menaces commettent deux erreurs courantes : surestimer la gravité d’une anomalie et identifier à tort une activité comme suspecte ou malveillante.
Surestimation de la gravité des menaces
Lorsqu’il y a un écart ou une irrégularité dans un ensemble de données, les chasseurs de menaces enquêtent sur l’anomalie. Cependant, toutes les anomalies ne sont pas égales. Et ce qu’un chasseur de menaces peut considérer comme une violation de données pourrait s’avérer n’être qu’une faille de sécurité mineure.
Surestimer la gravité d’une menace peut provoquer des alarmes inutiles et détourner des ressources des tâches critiques, en particulier dans les grandes organisations. Trop se concentrer sur des anomalies mineures peut conduire à une lassitude des alertes, rendant plus difficile l’identification des menaces réelles. Cette désensibilisation fait perdre du temps et des ressources précieuses. Les chasseurs de menaces peuvent passer des heures sur des problèmes sans importance au lieu de traquer les menaces de manière proactive et d’améliorer les mesures de sécurité.
Faux positifs
Il peut également être difficile pour les chasseurs de menaces de faire la différence entre de mauvais acteurs et des erreurs inoffensives. N’oubliez pas que les menaces internes ne font pas uniquement référence aux utilisateurs malveillants, mais également à toute personne négligente avec ses informations d’identification.
Le défi des faux positifs est aggravé par l’immense volume de données que les chasseurs de menaces doivent analyser. Les faux positifs non seulement font perdre du temps, mais peuvent également susciter une méfiance à l’égard des systèmes de détection des menaces. Les fausses alarmes répétées entraînent des hésitations dans la prise de décision et des temps de réponse plus lents. L’enquête sur les faux positifs nécessite souvent une analyse approfondie des journaux et une collaboration interdépartementale, ce qui met à rude épreuve les ressources et réduit l’efficacité. Au fil du temps, cela peut entraîner une lassitude en matière d’alerte, ce qui permet de négliger plus facilement les menaces réelles. Améliorer la précision de la détection et réduire les faux positifs est crucial pour une chasse efficace aux menaces.
Comprendre ces erreurs courantes est la première étape pour améliorer les pratiques de chasse aux menaces. Cependant, au-delà de ces pièges, les chasseurs de menaces sont confrontés à des défis systémiques plus vastes qui ont un impact sur leur capacité à détecter et à répondre efficacement aux menaces.
Les trois principaux défis
Les erreurs courantes commises par les chasseurs de menaces, comme la surestimation de la gravité des menaces et le traitement des faux positifs, proviennent souvent de problèmes plus profonds. Les problèmes d’outillage, le manque de temps de concentration et les obstacles organisationnels créent un environnement dans lequel ces erreurs sont plus probables. En relevant ces trois principaux défis, nous pouvons améliorer l’efficacité de la recherche des menaces et réduire les erreurs.
Problèmes d’outillage
Les chasseurs de menaces s’appuient sur de nombreux outils différents. D’une manière générale, ces outils peuvent être classés comme techniques ou non techniques. Les outils techniques facilitent la chasse aux menaces, tandis que les outils non techniques prennent principalement en charge la prise de notes, les présentations, le reporting, etc.
Interrogés sur les inconvénients de leurs outils existants, les chasseurs de menaces ont évoqué un manque de cohésion entre les outils, des performances médiocres et des visualisations inefficaces. Ces problèmes peuvent conduire à des menaces manquées et à une perte de temps à corréler les résultats entre des outils déconnectés.
Il est temps de se concentrer
Les chasseurs de menaces doivent constamment jongler avec différents types de tâches. Le changement de contexte entre les clients, ainsi que le saut entre les tâches administratives et de recherche, attirent l’attention.
En parlant de clients, les chasseurs de menaces travaillent généralement avec plusieurs collaborateurs, tant en interne qu’en externe. Comme vous pouvez l’imaginer, la communication et le transfert entre ces collaborateurs peuvent être délicats sans un protocole de transfert standardisé.
Obstacles organisationnels
Compte tenu de l’importance de la chasse aux menaces, vous pourriez être surpris de voir certaines des résistances internes auxquelles les équipes peuvent être confrontées. Il y a les suspects habituels auxquels toutes les équipes sont confrontées, comme l’allocation des ressources. Mais il y a aussi souvent des problèmes culturels. Toutes les équipes d’une organisation ne donnent pas la priorité à la sécurité. Et parfois, les équipes choisissent de ne pas partager d’informations sur les menaces.
Surmonter les défis de la chasse aux menaces
Pour réussir, les chasseurs de menaces ont besoin du soutien de toutes les équipes et de l’organisation dans son ensemble. Existe-t-il un moyen d’aider les chasseurs de menaces à éviter les erreurs courantes et à résoudre leurs défis ? Ironiquement, la solution réside dans le premier défi : l’outillage. Les chasseurs de menaces interrogés ont déclaré que les bons outils peuvent faire une grande différence. Un ensemble d’outils intégrés qui les aide à mieux détecter les anomalies et à hiérarchiser les menaces peut permettre de gagner du temps, de renforcer la sécurité et d’améliorer la confiance entre les chasseurs de menaces et l’organisation dans son ensemble qu’ils servent.
Regardez le prochain article de cette série pour en savoir plus sur les différents personnages de chasseurs de menaces.
En savoir plus sur la cybersécurité OpenText
Prêt à offrir à votre équipe de chasse aux menaces des produits, des services et des formations pour protéger vos informations les plus précieuses et les plus sensibles ? Consultez notre portefeuille de cybersécurité pour un portefeuille moderne de solutions de sécurité complémentaires qui offrent aux chasseurs de menaces et aux analystes de sécurité une visibilité à 360 degrés sur les points finaux et le trafic réseau pour identifier, trier et enquêter de manière proactive sur les comportements anormaux et malveillants.
Source link