Lorsque votre organisation est sur le point d'être victime d'une intrusion, il convient de se rappeler ce que cela signifie réellement afin d'avoir les meilleures chances possibles d'y mettre un terme. Quelle que soit la méthode utilisée, une fois que les criminels ont accédé à votre environnement, ils ont besoin de temps pour s'installer confortablement et atteindre leur objectif. Il peut s'agir de préparer l'explosion d'un ransomware ou de se préparer à une attaque à l'adresse Usurpation de compte, mais dans tous les cas, ils ont besoin de temps à l'intérieur. En fait, selon cet article de DarkReading, la durée moyenne de séjour d'un attaquant dans un environnement avant d'être détecté est tombée à 24 jours.
On pourrait recueillir différents points de vue sur ce qui se passe pendant le temps d'attente, mais si l'on considère que le temps que les attaquants passent dans un environnement ne cesse de diminuer, le temps est le facteur le plus important dans la détection des brèches. Plus le temps d'attente est court, moins vous avez de temps pour détecter les attaquants avant que quelque chose de grave ne se produise. Pour mieux comprendre comment les entreprises peuvent améliorer l'efficacité de leur SOC afin d'être en mesure de repérer et d'arrêter rapidement les attaques, nous avons demandé quelques conseils à l'équipe de recherche sur l'IA de Vectra . Voyons de plus près comment l'IA peut ajouter de la puissance à votre SOC.
Améliorer la précision des alertes et réduire les faux positifs
Les SOC ne disposent que d'un temps limité dans la journée et ne peuvent vraiment pas se permettre de s'enliser dans des alertes bénignes. Cependant, la collecte des bonnes données et l'utilisation d'une IA pertinente peuvent permettre d'identifier les attaques et les événements de sécurité qui requièrent une attention immédiate. Le récent rapport Spotlight, Vision and Visibility : Top 10 Threat Detections for Microsoft Azure AD and Office 365, explique en détail comment la collecte des bonnes données et les détections de menaces basées sur l'IA permettent d'identifier les activités d'un adversaire lors d'événements tels qu'une attaque de la chaîne d'approvisionnement. L'IA est le moyen le plus efficace de détecter la différence entre le comportement d'un utilisateur autorisé et les actions d'un attaquant - ce qui devient de plus en plus difficile à identifier à mesure que les attaquants deviennent de plus en plus habiles.
Optimiser les enquêtes basées sur l'analyse
Les enquêtes peuvent être lourdes pour les SOC et consistent généralement en des processus manuels qui prennent du temps et n'offrent pas une approche réaliste pour identifier les attaquants qui ont déjà contourné les contrôles périmétriques. Là encore, le temps est un problème car les investigations nécessitent un ensemble de compétences spécialisées, notamment la capacité d'analyser les logiciels malveillants, les journaux, les paquets médico-légaux, ainsi que la capacité de corréler des quantités massives de données provenant d'un large éventail de sources. Dans de nombreux cas, les enquêtes sur les événements de sécurité peuvent durer des heures, tandis qu'une analyse complète des menaces avancées peut même prendre des jours, des semaines ou des mois. Tous ces scénarios d'investigation peuvent être automatisés grâce à l'IA, y compris la détection des menaces, la création de rapports et les fonctions de triage généralement effectuées par les analystes de niveau 1, ce qui leur permet de consacrer de précieuses heures à d'autres activités. Les analystes obtiennent également un contexte plus approfondi et plus significatif sur les communications malveillantes, y compris des détails sur les comportements d'attaque spécifiques et les dispositifs hôtes compromis impliqués dans les attaques.
Automatiser la chasse aux menaces fastidieuse et laborieuse
La chasse aux menaces est un autre défi que les SOC doivent relever et qui est certainement nécessaire dans l'environnement actuel pour garder une longueur d'avance sur les attaquants. L'IA peut vous aider à découvrir les attaquants cachés à un stade précoce, bien avant que d'autres outils ou membres du personnel ne soient au courant de leur existence. Par exemple, vous pouvez exploiter l'IA pour améliorer les enquêtes basées sur les comptes, de sorte que les analystes disposent des détails nécessaires pour identifier les utilisations et les actions des comptes potentiellement compromis ou même suivre les communications pour aider à déterminer les dispositifs hôtes qui ont des domaines ou des IP spécifiques. Comme c'est le cas pour d'autres enquêtes, les fonctions de détection, de reporting et de triage habituellement exécutées peuvent être entièrement automatisées.
Détecter, évaluer et hiérarchiser les menaces à haut risque
L'une des façons les plus rapides pour une équipe SOC de perdre des heures précieuses est de passer au crible les différents outils de sécurité et les alertes qui peuvent ou non afficher les informations les plus pertinentes. Lorsqu'ils utilisent l'IA pour toutes les raisons mentionnées ci-dessus, les SOC reçoivent des informations prioritaires sur les menaces qui représentent le risque le plus élevé, comme les actifs clés qui présentent des signes d'attaque ou les anomalies qui doivent être corrigées. Cela aide grandement les équipes SOC à établir des priorités et à savoir où passer leur temps.
Bien sûr, le SOC est différent dans chaque organisation, et ce ne sont là que quelques-unes des façons dont l'IA peut prêter main-forte et libérer des ressources pour que votre équipe puisse devancer les attaquants et les arrêter avant qu'une brèche ne se produise. Comme nous l'avons dit, il s'agit avant tout de récupérer l'atout le plus précieux dont vous disposez pour défendre votre environnement : le temps.
Pour savoir comment l'IA peut aider votre SOC, demandez une démonstration dès aujourd'hui !