Recrutement
Si vous êtes intéressés pour bosser sur des sujets sympas tout en restant loin de Paris, consultez nos offres d'emploi et envoyez nous votre CV à rh@amossys.fr.

Threat Hunting (Recherche de compromissions)

Présentation de l'activité de recherche de compromissions du CERT AMOSSYS.

Threat Hunting (Recherche de compromissions)

La recherche de compromissions (ou Threat Hunting pour les anglophones) consiste basiquement à rechercher sur un système d'information a priori sain si une présence malveillante peut être détectée. Sa mise en œuvre part du constat que la détection en temps continu n'est malheureusement pas suffisamment complète et souvent mise à mal, et qu'un appui technique ponctuel mais plus important peut pallier ce manque d'exhaustivité.

Pourquoi effectuer une recherche de compromissions ?

Les raisons d'une telle recherche peuvent être multiples :

  • lors de la suspicion d'une compromission ;
  • après un test d'intrusion concluant, pour s'assurer que les auditeurs sont bien les seuls intrus à avoir passé les barrières mises en place ;
  • avant l'application de mesures de sécurité sur le système d'information, pour être certain de partir sur des bases saines ;
  • ponctuellement, pour être sûr de l'état de son SI et parce qu'il vaut mieux ne pas attendre de constater les effets d'une compromission pour agir ;
  • pour s'assurer de l'état d'une entreprise tierce, avant un partenariat ou un rachat, par exemple.

AMOSSYS propose également une recherche de compromissions "opportuniste" durant son activité d'audit : elle consiste à effectuer des collectes d'éléments techniques sur les différents postes, typiquement lors d'une attaque réussie ou lors d'un relevé de configuration, puis à effectuer une analyse de ces éléments en marge de l'audit. Le but étant de s'assurer que les postes vulnérables compromis par les auditeurs (cas du test d'intrusion) ou les serveurs représentatifs (cas de l'audit de configuration) sont bien intègres.

Déroulement d'une recherche de compromissions

Concrètement, la recherche de compromissions consiste à appliquer les outils et les méthodes de la réponse sur incident. Pour AMOSSYS, cette mission est mise en oeuvre par le CERT (actuellement en cours de qualification PRIS), et peut être grossièrement définie par le cycle suivant :

Figure1
Figure 1: Cycle de la recherche de compromissions

De façon plus détaillée, elle suivra en pratique les étapes suivantes :

  • entretiens préalables à la recherche, pour établir son périmètre et ses spécificités ;
  • déploiement de sondes de détection réseau en bordure du périmètre identifié ;
  • déploiement des outils de collecte d'informations "système" sur les postes et serveurs identifiés ;
  • s'il y a lieu, collecte des éléments techniques sur les équipements du système d'information ;
  • analyse des différents éléments collectés ;
  • restitution du travail d'investigation ;
  • application d'actions selon les résultats (phases de collecte et d'analyse complémentaires, escalade vers une réponse sur incident, accompagnement...) ;
  • clôture de la prestation.

Sauf compromission avérée, la restitution mettra en évidence les différentes anomalies constatées (ainsi que leur explication technique et la levée de doute effectuée) et les différentes pratiques à risques identifiées, donnera des recommandations visant à améliorer la sécurité du système d'information (avec les équipes d'audit en appui sur ce point), et, in fine, attribuera un score de confiance (sous la forme d'une note sur 10) au périmètre concerné.

Les atouts techniques AMOSSYS

Pour effectuer les collectes d'informations "système", AMOSSYS s'appuie sur des outils développés en propre qui collecteront un grand nombre de points techniques génériques ou spécifiques sur chaque machine, et dont le développement repose sur une connaissance fine des mécanismes du système d'exploitation sous-jacent (Microsoft Windows ou Linux, selon les cas). Ces informations permettront une reconstruction virtuelle du système d'information, autorisant les analystes à effectuer des recherches par anomalies sur le parc, rechercher des techniques d'injection de code en mémoire, appliquer des marqueurs de détection (IOC) variés et de façon déconnectée, collecter des pages mémoire vive suspectes, etc. L'aspect générique et privé de cet outil vise à éviter une contre-détection automatique par l'adversaire, but qui ne serait à notre sens pas atteignable en utilisant des outils grand-public facilement identifiables.

La détection réseau, plus simple à contourner par un adversaire mais néanmoins indispensable, n'est pas en reste avec une journalisation des métadonnées réseau (utiles lors d'une hypothétique réponse sur incident et/ou pour les levées de doutes) et un déploiement de règles de détection type SNORT/SURICATA. Les marqueurs recherchés, systèmes ou réseaux, très spécifiques ou plus génériques, sont quant à eux systématiquement validés avant mise en production pour éviter des faux-positifs trop nombreux qui pourraient brouiller les résultats. Ils sont issus de plusieurs sources complémentaires :

  • partenariats avec d'autres entités et veille sur les actualités ;
  • production par les équipes du CERT via leurs activités de threat intelligence et de R&D ;
  • abonnements payants à des flux de règles de détection (validées par les équipes).

Pour des informations complémentaires quant à nos prestations, vous pouvez consulter notre brochure disponible sur notre site web : "https://www.amossys.fr".