Une étude sur les chasseurs de menaces

Ce blog est rédigé par l’équipe de recherche du groupe CHISEL de l’Université de Victoria, qui est également l’auteur du rapport sur lequel cette série est basée.

Dans le paysage actuel de la cybersécurité en constante évolution, le rôle des chasseurs de menaces devient de plus en plus vital. Ces professionnels sont les défenseurs de première ligne contre les cybermenaces sophistiquées. Les chasseurs de menaces utilisent une combinaison de compétences techniques avancées, de connaissance de la situation et d’état d’esprit proactif pour protéger les organisations. Cet article de blog plonge dans les résultats complets des recherches de l’Université de Victoria sur les chasseurs de menaces, offrant un aperçu de leurs flux de travail, des défis auxquels ils sont confrontés et capture les principaux personnages des chasseurs de menaces.

En collaboration avec OpenText, notre équipe au Groupe CHISEL de l’Université de Victoria s’est lancé dans un voyage de recherche pour découvrir les subtilités derrière le rôle de chasse aux menaces. Ce projet, dirigé par nos chercheurs dévoués, vise à fournir une compréhension détaillée des chasseurs de menaces et de leurs outils, flux de travail et défis. En fin de compte, nous avons créé des personnages qui aideront à la conception et au développement d’outils pour soutenir les chasseurs de menaces dans leur travail quotidien.

Cet article est le deuxième de la série de blogs « The Rise of the Threat Hunter » d’OpenText. Vous pouvez en savoir plus sur la série et trouver des liens vers tous nos articles ici.

Notre recherche

Notre équipe de l’Université de Victoria est composée d’experts en visualisation logicielle et en technologies sociales. Nous étudions comment la technologie peut aider les gens à explorer, comprendre et partager des informations et des connaissances complexes. Ensemble, nous avons mené 20 entretiens avec des chasseurs de menaces dans divers secteurs et du monde entier. Les données que nous avons recueillies ont révélé des thèmes et des modèles clés dans les expériences, les compétences, les flux de travail et les défis des chasseurs de menaces. Nous avons ensuite analysé les données à l’aide d’un codage qualitatif. Nous avons finalement développé 17 dimensions de chasseur de menaces et quatre personnages que nous présentons dans cet article.

Nos découvertes ont été documenté dans un rapport examiné par des experts de l’industrie chez OpenText et peut être trouvé ici.

Comprendre les chasseurs de menaces : tâches, outils, rôles, compétences et défis

Les chasseurs de menaces jouent un rôle crucial dans l’identification proactive et l’atténuation des menaces de sécurité avant que de telles attaques ne puissent causer des dommages importants. Chaque jour, les chasseurs de menaces assument un large éventail de tâches. Les chasseurs de menaces passent de l’examen des cas d’utilisation au tri des alertes, à la création de rapports, à la conduite de réunions, à la gestion des escalades, à l’élaboration de règles, à la gestion des communications, cette liste est longue ! De plus, les responsables des équipes de chasse aux menaces fournissent des conseils de sécurité de haut niveau et une assistance en cas d’incidents actifs, et signalent aux dirigeants.

Comme le montre la liste des tâches figurant dans le rapport, le rôle exige un mélange de compétences techniques et non techniques. Tout le monde ne peut pas mener une chasse aux menaces avancée nécessitant des capacités de résolution de problèmes et d’analyse, puis prendre des concepts complexes de cybersécurité ou des résultats de recherche et les présenter de manière claire et concise à la direction de l’entreprise. Ces compétences prennent du temps à se développer, c’est là qu’intervient l’apprentissage continu.

L’apprentissage continu et le fait de rester informé des dernières nouvelles et tendances en matière de cybersécurité sont des aspects essentiels pour être un chasseur de menaces. Même s’il serait formidable de tout apprendre uniquement au moyen d’articles et de vidéos, il existe un aspect social de l’apprentissage continu qui ne peut être sous-estimé. La participation à des réunions, le travail avec des mentors/mentorés et la participation à des conférences permettent aux chasseurs de menaces de partager leur expertise et de rester informés. L’obtention de certificats et une expérience continue de chasse peuvent renforcer la confiance des chasseurs de menaces ; cependant, une confiance totale est rare en raison de la nature évolutive des menaces.

Comme pour les compétences de chasseur de menaces, il existe des outils techniques et non techniques qui sont cruciaux pour détecter et atténuer les menaces, garantissant ainsi la mise en place de mesures de sécurité robustes. Pour souligner à quel point les boîtes à outils utilisées par les chasseurs de menaces sont variées, nous avons créé une visualisation des outils que les chasseurs de menaces ont déclaré utiliser lors de nos entretiens, voir ci-dessous.

Chacun de ces outils répond aux défis auxquels sont confrontés les chasseurs de menaces ou les équipes de chasse aux menaces, mais tous les outils ne sont pas parfaits. Parmi les défis qui subsistent, citons les équipes géographiquement dispersées qui peuvent lutter contre les fuseaux horaires mondiaux, la lutte quotidienne contre la surcharge d’informations et la fatigue, et le manque de protocoles de transfert formels. Les chasseurs de menaces sont des individus dynamiques qui sont confrontés à de nombreux défis qui peuvent être résolus en développant des outils basés sur une compréhension sous-jacente des besoins des chasseurs de menaces, pris en compte et mis en œuvre dès le premier jour.

Personnages

Nous souhaitons partager tout ce que nous avons appris de nos recherches avec la communauté de la cybersécurité, non seulement parce que nous comprenons la valeur de la formation continue, mais aussi parce que nous voulons vraiment voir les chasseurs de menaces réussir. Parallèlement à notre rapport complet, nous avons compilé quatre personnalités pour résumer les principales caractéristiques des chasseurs de menaces dans un outil utile que les responsables de la sécurité, les développeurs de produits, les équipes de direction et bien d’autres peuvent exploiter.

Au cours de nos recherches, nous avons identifié 17 caractéristiques clés des chasseurs de menaces que nous avons traduites en 17 dimensions. Vous pouvez trouver les définitions des 17 dimensions définies à la page 17 du rapport.

Voici quelques-unes des dimensions les plus intéressantes et les plus percutantes que nous avons découvertes :

Style de chasse (proactif à réactif) : cette dimension reflète l’approche d’un chasseur de menaces pour identifier les menaces. Un style proactif est crucial pour anticiper et atténuer les menaces potentielles avant qu’elles ne causent des dommages.

Approche cognitive (intuitif/créatif à analytique/méthodologique) : cette dimension mesure la manière dont les chasseurs de menaces traitent les informations et résolvent les problèmes. Une approche équilibrée combinant intuition et compétences analytiques est essentielle pour une chasse aux menaces efficace.

Stratégies d’apprentissage (autodidacte, essais et erreurs, certification formelle, mentorat et collaboration) : l’apprentissage continu est fondamental, les chasseurs de menaces améliorant leurs compétences grâce à diverses stratégies. Des stratégies d’apprentissage efficaces garantissent qu’ils restent à jour avec les dernières tendances en matière de cybersécurité.

Paysage de l’outillage (du commercial au construit en interne) : cette dimension fait référence aux types d’outils utilisés par les chasseurs de menaces. La possibilité d’exploiter à la fois des outils commerciaux et internes améliore leur capacité à détecter et à répondre aux menaces.

Lancement du processus (pratique à dirigé par des outils) : cette dimension reflète la manière dont les chasseurs de menaces commencent leurs enquêtes. Les chasseurs pratiques s’appuient sur des techniques manuelles et une expertise personnelle, tandis que les chasseurs guidés par des outils utilisent des outils et des logiciels automatisés. Comprendre cela aide les organisations à équilibrer les approches manuelles et automatisées pour une détection optimale des menaces.

Validation des résultats (peer to peer to use of resources) : cette dimension reflète la manière dont les chasseurs de menaces vérifient leurs découvertes. Certains s’appuient sur des évaluations par les pairs et des discussions en équipe, tandis que d’autres utilisent des ressources et des bases de données établies. La reconnaissance de cette dimension permet de garantir des processus de validation des menaces approfondis et précis.

À l’aide de ces dimensions, nous avons construit quatre personnages inspirés des chasseurs de menaces que nous avons interrogés. Nous présentons à Olivia, Jay, Thomas et Ren des exemples de personnages de chasseurs de menaces.

Olivia est la chef d’équipe créative qui chasse de manière proactive et excelle en leadership, en guidant son équipe et en organisant des boîtes à outils.

Geai représente le nouveau venu en matière d’analyse et d’automatisation, qui aborde la chasse aux menaces avec un esprit de résolution de problèmes et de solides bases académiques.

Thomas est un chasseur de menaces expérimenté et autodidacte, souvent surnommé le « cowboy du cyberespace », qui utilise son intuition et sa vaste expérience pour identifier les menaces au sein de petites équipes.

Enfin, Ren incarne le rôle de direction, supervisant l’équipe de chasse aux menaces, assurant une communication et une collaboration efficaces et assurant la liaison avec les clients et la direction de l’organisation.

Nous fournissons le profil de Thomas à titre d’exemple et pour montrer comment nous avons créé un profil de style LinkedIn qui met en évidence les dimensions, compétences et défis clés du personnage de chasseur de menaces.

Chaque personnage met en évidence les divers ensembles de compétences et d’approches au sein de la communauté de chasse aux menaces, en soulignant la nécessité d’un sens technique et de solides capacités interpersonnelles.. Ces personnages peuvent être utilisés comme moyen de communiquer les besoins importants des chasseurs de menaces aux communautés et aux organisations qui les soutiennent. Les personas donnent vie au rôle de chasseur de menaces. Plus précisément, ces personnages peuvent être utilisés pour intégrer les caractéristiques et les besoins dynamiques et riches des chasseurs de menaces dans la conception de meilleurs outils. Nous explorerons l’utilisation de ces personas dans un prochain article de blog.

Conclusion

Les chasseurs de menaces jouent un rôle essentiel en matière de cybersécurité. Ils utilisent un mélange d’expertise technique approfondie, d’apprentissage continu et d’état d’esprit proactif pour protéger les organisations. Alors que nous continuons à explorer le monde de la chasse aux menaces, notre prochain article se concentrera sur les trois aspects clés du métier de chasseur de menaces, offrant un aperçu plus approfondi des compétences et des stratégies qui définissent cette profession essentielle.

Rejoignez-nous la semaine prochaine pour entendre un chasseur de menaces chevronné devenu responsable mondial du renseignement sur les menaces nous parler des « 3 aspects clés du métier de chasseur de menaces ».

L’équipe de recherche du groupe CHISEL de l’Université de Victoria

Les membres de notre équipe comprennent actuellement Samantha Hill (étudiante à la maîtrise) et Alessandra Milani (étudiante au doctorat), Arty Starr (Étudiant au doctorat), Norman Anderson (Étudiant de premier cycle), David Moreno-Lumbreras (Post Doc) et Margaret-Anne Storey (Professeur et Chaire de recherche du Canada). Des contributions importantes à ce projet ont déjà été apportées par Callum Curtis (étudiant de premier cycle), Marcus Dunn (ancien étudiant de premier cycle) et Enrique Larios Vargas. (Chercheur à Adyen, auparavant à l’UVic). En savoir plus sur le Groupe CHISEL de l’Université de Victoria.

En savoir plus sur la cybersécurité OpenText

Prêt à offrir à votre équipe de chasse aux menaces des produits, des services et des formations pour protéger vos informations les plus précieuses et les plus sensibles ? Consultez notre Portefeuille de cybersécurité pour un portefeuille moderne de solutions de sécurité complémentaires qui offrent aux chasseurs de menaces et aux analystes de sécurité une visibilité à 360 degrés sur les points finaux et le trafic réseau pour identifier, trier et enquêter de manière proactive sur les comportements anormaux et malveillants.