Commençons par comprendre ce qu'est la chasse aux menaces : il s'agit d'un processus de recherche, ligne par ligne et événement par événement, d'indicateurs de menaces très spécifiques. Il ne s’agit pas de chercher ce qui pourrait être une anomalie. C'est l'acte de détecter des indicateurs de choses que nous savoir se produire. C'est comme vérifier la présence de tiques après avoir marché dans les bois. Si vous avez de bonnes raisons de croire qu'il y a des tiques dans les bois, vous vérifiez s'il y en a qui ont fait du stop. L’avantage de les chasser est que vous pouvez les trouver et vous en débarrasser avant qu’ils ne vous mordent et ne vous rendent malade.
Cela dit, en tant que précurseur de la chasse aux menaces, vous devez avoir une idée de ce que vous recherchez. Cela nécessite trois choses : l’analyse, la connaissance de la situation et l’intelligence. Les informations brutes peuvent provenir de nombreuses sources différentes, et les experts d’une équipe de chasse aux menaces peuvent analyser ces informations et en tirer un sens. Qu’est-ce que le bavardage sur le dark web ? Quelqu’un parle-t-il de cibler une entreprise ou une technologie en particulier ? Y a-t-il des discussions sur de nouvelles méthodologies d’artisanat ou d’exploitation ?
Les analystes des menaces de l'équipe de chasse aux menaces peuvent collecter de grandes quantités de renseignements bruts, et c'est là que la connaissance de la situation permet d'identifier les problèmes importants pour différentes organisations et utilisateurs. Les informations identifiant un mode d’attaque contre un studio de cinéma, par exemple, peuvent intéresser moins immédiatement un constructeur automobile. Les techniques utilisées lors d'une attaque contre un studio pourraient être viables comme techniques d'attaque contre un constructeur automobile, mais si les renseignements suggèrent que l'attaque est concentrée localement sur les studios de cinéma, alors les équipes informatiques des constructeurs automobiles devraient rester concentrées sur le menaces qui leur sont adressées. Cela nous ramène à cette promenade dans les bois : si les tiques sont un problème dans les bois où vous faites de la randonnée mais que les scorpions ne le sont pas, alors vous devez vous soucier des tiques, pas des scorpions.
Une fois que les analystes des menaces ont identifié les menaces préoccupantes, les chasseurs de menaces peuvent commencer leur chasse. Ils peuvent rechercher des preuves de vulnérabilités spécifiques (un routeur mal configuré, par exemple) ou rechercher des fragments de code ou des scripts spécifiques intégrés dans leur réseau. Et s’ils trouvent les éléments qu’ils recherchent, ils peuvent entreprendre les actions appropriées et protéger l’entreprise des attaques.