Facebook icon Linkedin logo Twitter logo Contact icon

Vectra : Les enjeux de la transformation du SOC

 

Aujourd’hui encore, il faut une moyenne de 200 jours pour repérer une attaque informatique, la plupart des outils préventifs s’arrêtant après la primo infection. En effet, en matière de sécurité informatique, une fois qu’un élément est compromis et qu’un attaquant a réussi à pénétrer un élément du système, il est quasiment impossible de le détecter. Et pourtant, éviter les attaques, contrer les pirates et limiter les dégâts qu’ils pourraient causer, c’est tout l’enjeu des SOC (Security Operation Centers). Avec l’arrivée de nouveaux outils de détection des comportements malveillants, ils doivent se réinventer pour toujours mieux garantir la sécurité des systèmes informatiques dans les entreprises.

 

Dans l’œil des renseignements informatiques

Dans une entreprise, un SOC (centre de gestion de la sécurité des systèmes informatiques) correspond à une division dédiée à la détection, à l’investigation et à la remédiation des incidents de sécurité informatique. Les SOC ne sont pas nouveaux, ils ont déjà une vingtaine d’années et sont nés d’un besoin principal : celui d’en connaître à l’intérieur du système d’information des entreprises. Au fur et à mesure du temps, les attaques se multipliant, les contraintes de régulation et d’audit évoluant, et les technologies progressant, le développement des SOC s’est accéléré. Concrètement, les SOC cherchent à repérer les cyber attaques pour les contrer le plus rapidement possible. La plupart du temps, cela passe par la collecte, la normalisation et l’analyse de logs, qui sont les traces laissées par l’activité des machines et des applications. Ces logs peuvent être très nombreux, non standardisés, très hétérogènes et difficiles à analyser pour les équipes des SOC. Mais même si des outils permettent de trier automatiquement les informations recueillies, il faut les paramétrer et savoir ce que l’on cherche. S’ensuit alors un travail particulièrement laborieux et chronophage pour ne pas passer à côté de l’information clef au milieu de toutes les données.

Mais c’est sans compter les solutions de NDR (Network Detection and Response), dernières arrivées dans le monde de la cyber sécurité pour faciliter la vie des SOC.

 

La preuve par trois

Contrairement aux logs, le NDR se nourrit de données extraites des flux du réseau informatique sur lequel il applique des traitements mathématiques d’analyse comportementale (Intelligence Artificielle). Repérer un attaquant dans un réseau consiste alors à détecter son cheminement. En effet, ce dernier, par ses actions de recherche, de prospection, de déplacement latéral et de communication va trahir sa présence au sein du réseau de l’entreprise. Une fois entré dans le système, le pirate va en effet devoir mener certaines actions « obligatoires » sans lesquelles il ne pourra pas progresser et communiquer (par exemple : utiliser un compte utilisateur valide, s’octroyer des droits d’administrateur, mettre en place des canaux de d’échange…). Ce parcours, est bien connu des experts en sécurité informatiques, et grâce aux toutes dernières avancées technologiques, va être modélisé dans les algorithmes du NDR.

Le SOC se retrouve ainsi secondé par un « Système expert » infatigable et en mesure de détecter les plus petits signaux cachés au milieu de la masse du trafic réseau.

Pratique et efficace, surtout si la puissance de l’outil est associée à une investigation basée sur les logs (SIEM) et sur les alertes des outils installés sur les postes et les serveurs EDR (End-Point Detection and Reponse).

Cet assemblage entre NDR, EDR et SIEM constitue la triade SOC, ainsi définie par le Gartner. Le NDR surveille l’intérieur du réseau, l’EDR surveille les machines, leur système d’exploitation et leurs applications, et le SIEM collecte les logs afin de garder des traces qui permettront une bonne investigation en cas d’incident. Chaque outil répond à une problématique donnée et leur synergie offre aux équipes des SOC une vision globale de la santé d’un système d’information.

 

Le SOC est mort, vive le SOC

Face à la précision de la triade SIEM/EDR/NDR, les équipes SOC sont amenées à se réinventer.

Jusqu’à présent, l’enjeu des équipes SOC était essentiellement d’assurer une bonne détection. L’arrivée de ces nouveaux outils simplifie considérablement la détection et impose au SOC d’avoir maintenant une bonne réaction. L’automatisation et les scénarios de réponse sont maintenant le véritable enjeu des SOC modernes. Par rapport à un contexte entreprise, par rapport à un type de menace par rapport au moment où l’attaque se produit, …, il maintenant important d’apporter des scénarios de réponse qui vont permettre à l’entreprise de reprendre la main lors d’une cyberattaque.

Toute entreprise sera un jour soumise à une attaque, l’important est de maitriser la réponse pour reprendre la main.

L’outil NDR ne produit pas de faux positifs, il ne se trompe pas et ne rate pas une attaque. L’important est donc la vitesse à laquelle le SOC va prendre une décision et réagir.

Cela nécessite des compétences informatiques pointues, surtout à l’heure où les cybers attaquants rivalisent d’ingéniosité pour cacher leurs agissements. Les SOC, qui se déploient progressivement dans les entreprises, ont encore de beaux jours devant eux.

 

Le monde de la cybersécurité connaît aussi ses révolutions. L’avènement du NDR semble être de celles-ci. Associé à l’analyse des terminaux, il permet, en surveillant les réseaux de l’intérieur, de donner aux équipes des SOC une vision 360° des activités indésirables dans le réseau d’une entreprise. Envie de connaître tous les secrets de la Triade du SOC et des NDR ? Vous savez désormais ce qu’il vous reste à faire.

 

par Christophe Jolly, Directeur Europe du Sud de Vectra

Contact Form


https://s1583091431.t.eloqua.com/e/f2