Victime d’un incident de sécurité ?

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

05/06/2018

Blog technique

Threat Hunting (Recherche de compromissions)

Equipe CERT

La recherche de compromissions (ou Threat Hunting pour les anglophones) consiste basiquement à rechercher sur un système d’information a priori sain si une présence malveillante peut être détectée. Sa mise en œuvre part du constat que la détection en temps continu n’est malheureusement pas suffisamment complète et souvent mise à mal, et qu’un appui technique ponctuel mais plus important peut pallier ce manque d’exhaustivité.

Pourquoi effectuer une recherche de compromissions ?

Les raisons d’une telle recherche peuvent être multiples :

  • lors de la suspicion d’une compromission ;
  • après un test d’intrusion concluant, pour s’assurer que les auditeurs sont bien les seuls intrus à avoir passé les barrières mises en place ;
  • avant l’application de mesures de sécurité sur le système d’information, pour être certain de partir sur des bases saines ;
  • ponctuellement, pour être sûr de l’état de son SI et parce qu’il vaut mieux ne pas attendre de constater les effets d’une compromission pour agir ;
  • pour s’assurer de l’état d’une entreprise tierce, avant un partenariat ou un rachat, par exemple.

AMOSSYS propose également une recherche de compromissions « opportuniste » durant son activité d’audit : elle consiste à effectuer des collectes d’éléments techniques sur les différents postes, typiquement lors d’une attaque réussie ou lors d’un relevé de configuration, puis à effectuer une analyse de ces éléments en marge de l’audit. Le but étant de s’assurer que les postes vulnérables compromis par les auditeurs (cas du test d’intrusion) ou les serveurs représentatifs (cas de l’audit de configuration) sont bien intègres.

Déroulement d'une recherche de compromissions

Concrètement, la recherche de compromissions consiste à appliquer les outils et les méthodes de la réponse sur incident. Pour AMOSSYS, cette mission est mise en oeuvre par le CERT (actuellement en cours de qualification PRIS), et peut être grossièrement définie par le cycle suivant :

Figure 1: Cycle de la recherche de compromissions

De façon plus détaillée, elle suivra en pratique les étapes suivantes :

  • entretiens préalables à la recherche, pour établir son périmètre et ses spécificités ;
  • déploiement de sondes de détection réseau en bordure du périmètre identifié ;
  • déploiement des outils de collecte d’informations « système » sur les postes et serveurs identifiés ;
  • s’il y a lieu, collecte des éléments techniques sur les équipements du système d’information ;
  • analyse des différents éléments collectés ;
  • restitution du travail d’investigation ;
  • application d’actions selon les résultats (phases de collecte et d’analyse complémentaires, escalade vers une réponse sur incident, accompagnement…) ;
  • clôture de la prestation.

Sauf compromission avérée, la restitution mettra en évidence les différentes anomalies constatées (ainsi que leur explication technique et la levée de doute effectuée) et les différentes pratiques à risques identifiées, donnera des recommandations visant à améliorer la sécurité du système d’information (avec les équipes d’audit en appui sur ce point), et, in fine, attribuera un score de confiance (sous la forme d’une note sur 10) au périmètre concerné.

Les atouts techniques AMOSSYS

Pour effectuer les collectes d’informations « système », AMOSSYS s’appuie sur des outils développés en propre qui collecteront un grand nombre de points techniques génériques ou spécifiques sur chaque machine, et dont le développement repose sur une connaissance fine des mécanismes du système d’exploitation sous-jacent (Microsoft Windows ou Linux, selon les cas). Ces informations permettront une reconstruction virtuelle du système d’information, autorisant les analystes à effectuer des recherches par anomalies sur le parc, rechercher des techniques d’injection de code en mémoire, appliquer des marqueurs de détection (IOC) variés et de façon déconnectée, collecter des pages mémoire vive suspectes, etc. L’aspect générique et privé de cet outil vise à éviter une contre-détection automatique par l’adversaire, but qui ne serait à notre sens pas atteignable en utilisant des outils grand-public facilement identifiables.

La détection réseau, plus simple à contourner par un adversaire mais néanmoins indispensable, n’est pas en reste avec une journalisation des métadonnées réseau (utiles lors d’une hypothétique réponse sur incident et/ou pour les levées de doutes) et un déploiement de règles de détection type SNORT/SURICATA. Les marqueurs recherchés, systèmes ou réseaux, très spécifiques ou plus génériques, sont quant à eux systématiquement validés avant mise en production pour éviter des faux-positifs trop nombreux qui pourraient brouiller les résultats. Ils sont issus de plusieurs sources complémentaires :

  • partenariats avec d’autres entités et veille sur les actualités ;
  • production par les équipes du CERT via leurs activités de threat intelligence et de R&D ;
  • abonnements payants à des flux de règles de détection (validées par les équipes).

Pour des informations complémentaires quant à nos prestations, vous pouvez consulter notre brochure disponible sur notre site web : « https://www.amossys.fr ».

Voir les derniers articles du Blog technique

20 décembre 2024
La sécurité informatique peut paraître, pour beaucoup, comme un centre de coût et de complexité : plan d’audits à mettre en […]
Read more
16 décembre 2024
Après avoir exploré les vulnérabilités inhérentes aux modèles de langage à grande échelle (LLM) dans notre série d'articles, il est […]
Read more
28 novembre 2024
L'exfiltration de modèles LLM (Model Theft in english) par des acteurs malveillants ou des groupes de cyberespionnage avancés est une […]
Read more
26 novembre 2024
La surconfiance (Overreliance en anglais) peut survenir lorsqu'un LLM produit des informations erronées et les présente de manière autoritaire [...]
Read more
25 novembre 2024
Avec une souche éprouvée, des outils bien choisis et des cibles stratégiques, 8Base se distingue comme une menace particulièrement redoutable. […]
Read more
13 novembre 2024
Un système basé sur les LLM (Large Language Models) est souvent doté d'un certain degré d'autonomie par son développeur, [...]
Read more
12 novembre 2024
Les plugins pour LLM sont des extensions qui, lorsqu'ils sont activés, sont automatiquement appelés par le modèle pendant les interactions […]
Read more
7 novembre 2024
Les LLM ont le potentiel de révéler des informations sensibles (Sensitive Information Disclosure en anglais), des algorithmes propriétaires ou d'autres […]
Read more
6 novembre 2024
Le machine learning étend les vulnérabilités aux modèles pré-entraînés et aux données d'entraînement fournis par des tiers, qui sont susceptibles […]
Read more
31 octobre 2024
Un déni de service du modèle (Model Denial of Service en anglais) se produit quand un attaquant interagit avec un […]
Read more
Amossys a rejoint
le groupe Almond.
Découvrir les autres
sociétés du groupe :
- Découvrir Almond
- Découvrir Board of Cyber
A propos d'Amossys
Nos prestations
Nos produits
Nos insights
Join the A-Team
Contactez-nous
Github Linkedin Youtube
RENNES_
PARIS_
NANTES_
STRASBOURG_
LYON_
GENÈVE_
MOVE
FORWARD
WE'LL
WATCH
YOUR
BACK
Politique de confidentialité
Mentions légales
© 2023 Amossys. Tous droits réservés.
Twitter Linkedin Youtube Github