Huntry

Le Cyber Threat Hunting (ou chasse aux menaces cyber) est une mesure de détection qui consiste à chercher activement des signes d’intrusion ou de compromission dans un système ou un réseau, plutôt que d’attendre que des alertes automatiques apparaissent.

Contrairement à la surveillance classique ou à un SOC (Security Operations Center), qui se base principalement sur des alertes générées par des outils et des règles prédéfinies, le threat hunting adopte une approche plus intelligente et ciblée :

1. Proactif : le service cherche en permanence les traces laissées par des attaquants, même s’il n’y a pas encore eu d’alerte.

1. Analytique : il s’appuie sur différent type de sonde (système et réseau) pour identifier des indicateurs de compromission (IoC).

1. Réduction des faux positifs : en se concentrant sur des marqueurs confirmés, le Hunting évite de générer une avalanche d’alertes inutiles.

1. Complémentaire : il complète les services de détection classique de type SOC, en ciblant les attaques sophistiquées ou ciblées que les outils automatiques peuvent manquer.

En résumé, le Cyber Threat Hunting est comme une enquête proactive au sein de vos systèmes, visant à débusquer les menaces avant qu’elles ne causent des dommages trop importants.

Huntry adopte deux approches complémentaires :

Surveillance externe

La surveillance externe permet d’identifier des traces de compromission liées directement aux infrastructures surveillées, mais aussi des indices détectables via des techniques d’OSINT (Open Source Intelligence).

En collectant et en analysant des informations accessibles publiquement – comme des bases de données compromises ou des identifiants circulant sur le web – Huntry est en mesure de relier ces éléments aux périmètres surveillés et ainsi alerter rapidement l’organisation concernée.

Surveillance interne

La surveillance interne repose sur le déploiement de sondes de collecte et d’analyse à des emplacements stratégiques de l’infrastructure. Ces sondes permettent d’identifier des indicateurs de compromission (IoC) et de détecter au plus tôt toute activité suspecte.

Les activités de surveillance orchestrées par Huntry s’appuient sur la détection et l’exploitation d’indicateurs de compromission (IoC).

Ces IoC proviennent de plusieurs sources :

1. depuis notre réseau de honeypots répartis dans le monde,

1. des partenaires stratégiques qui enrichissent la base de renseignements,

1. nos activités de réponse à incident, qui permettent d’identifier de nouveaux marqueurs d’attaques,

1. des activités de veille appliquées par chaque collaborateur.

Qu’est ce qu’un IOC ?

Un indicateurs de compromission (IoC) est une donnée observable qui permet de détecter une intrusion ou une activité malveillante sur un réseau ou un endpoint.

Les IOCs peuvent être de différente nature : Nom de Fichier ou hash, Adresse IP, Nom de domaine, URL, Clé registre, Trace réseau, User-agent, Champs de Certificats, etc.

La valeur ajouté de Huntry réside dans sa capacité à collecter ces données, les analyser en fonction de leur nature et leur niveau de confiance, et les rechercher aux bons endroits.

Une question essentielle se pose : comment garantir que le déploiement du service n’introduit pas de nouvelles failles dans votre SI ?

La surveillance interne nécessite l’installation d’agents et de sondes réseau. Comme pour un EDR ou une solution de gestion des endpoints, il existe théoriquement un risque que ces composants présentent des vulnérabilités.

Pour répondre à cette préoccupation, Huntry s’appuie sur :

1. des technologies open source éprouvées, robustes et largement auditées, plutôt que sur des développements propriétaires,

1. une architecture cloisonnée, avec un pilotage pouvant être déployé directement au sein de l’infrastructure supervisée, dans une enclave réseau dédiée,

Ainsi, même si un incident de sécurité affectait les services de WELAN, il ne pourrait en aucun cas impacter les infrastructures surveillées.