Les alertes critiques viennent avant le café
Il est 6h45 du matin. Votre alarme sonne et vous sortez du lit pour découvrir une chambre recouverte d'un gris d'encre à l'aube. La première chose que vous faites est de vérifier les notifications sur votre téléphone. Tirez. Une alerte P0 a été détectée et Danny, l'analyste basé dans la région EMEA qui travaillait avant vous, s'est déjà déconnecté. Vous ne le blâmez pas, ses parents sont en visite. Vous vous précipitez donc dans votre routine matinale et renoncez à mettre la cafetière sur le feu. Tout ira bien ; cela arrive souvent et les alertes P0 vous secouent toujours suffisamment pour vous sortir de votre état d'hébétude matinale.
La notification par courrier électronique de l'alerte P0 correspond à la région géographique et à la zone de propriété qui vous ont été attribuées, EDR, et vous vous l'attribuez donc à vous-même. Rapidement, car le temps est un facteur essentiel lorsqu'il s'agit d'alertes critiques, vous passez à l'étape suivante : l'investigation. À l'aide des outils disponibles sur la plateforme à l'origine de la détection, vous examinez les journaux et essayez de répondre mentalement aux trois questions principales de toute enquête sur une menace de sécurité : 1) qui a fait ça, 2) qu'ont-ils fait, et 3) pourquoi ai-je été alerté ?
Environ 45 minutes plus tard, après avoir consulté plusieurs outils et parcouru de nombreuses lignes de journaux, vous pouvez confirmer que cette détection était réellement positive, mais bénigne. Il y avait une activité suspecte, mais elle n'était pas malveillante. Vous retirez la détection de la file d'attente et notez que vous rédigerez un rapport sur cette alerte.
Vous regardez l'horloge : il est 7h42. C'est enfin l'heure du café, et juste à temps pour votre réunion à 8 heures. Vous ne pensez pas aux 10 autres détections dans la file d'attente.
La détection qui a crié "au loup" était en fait un loup
Une semaine plus tard, vous vous sentez bien. Vous avez pris un certain rythme de croisière malgré le nombre écrasant d'alertes qui vous parviennent ; vous avez donné suite à toutes les alertes prioritaires au cours de votre période de travail et vous avez rédigé de jolies règles pour éviter de recevoir des notifications pour les alertes positives bénignes qui continuent de vous parvenir. Même votre responsable vous a donné une petite tape dans le dos pour avoir compris le schéma de ces vrais positifs et mis en œuvre une solution permanente pour soulager tout le monde.
Même si vous vous prélassez dans le sillage d'un sprint SOC réussi et que vous profitez enfin d'un déjeuner qui ne consiste pas à alterner entre des bouchées de sandwich et le défilement de journaux pour enquêter sur une détection, quelque chose vous semble anormal. Peut-être avez-vous manqué une alerte P1 - non, ce n'est pas le cas, car votre collègue vous aurait envoyé un message à ce sujet. Vous avez peut-être laissé le brûleur de café allumé. Vous y jetez un coup d'œil ; non, elle a été éteinte il y a plusieurs heures.
C'est calme. La file d'attente des alertes a son lot de détections, mais elles ne sont pas prioritaires et peuvent être traitées après le déjeuner. Il n'y a pas d'alarmes criardes ni de bannières rouges. Tout est calme. Vous décidez que c'est le silence qui vous dérange.
Une heure plus tard, vous êtes en train de passer en revue les détections dans la file d'attente. Presque toutes ne sont pas malveillantes. Vous avez l'impression de vous promener dans le parc et vous éprouvez une grande satisfaction à les fermer l'une après l'autre. Vous appuyez sur le bouton "rafraîchir" de votre navigateur et regardez l'interface utilisateur se mettre en mémoire tampon et s'afficher. Vous envisagez de vous récompenser en terminant votre journée plus tôt que prévu. Vous allez peut-être à la salle de sport pour laquelle vous vous êtes inscrit il y a des mois mais que vous n'avez pas eu le temps de fréquenter.
L'interface utilisateur finit de s'actualiser et vous voyez apparaître une rangée de bannières rouges indiquant une multitude de détections hautement prioritaires. Vous avez l'estomac retourné. Que s'est-il passé ?
Votre équipe est en train de pinguer dans le chat de l'équipe. Personne ne comprend ce qui se passe et pourquoi la plateforme a soudainement été inondée d'alertes de haute priorité. Un sentiment de panique s'empare de tout le monde, y compris de vous-même. Peut-être davantage en vous-même, car en cliquant sur chaque détection, vous constatez que de nombreux journaux vous sont familiers. Les identifiants, les appareils, les systèmes d'exploitation - tout semble familier. Mais bien sûr, les règles que vous avez écrites pour les bloquer n'ont pas fonctionné, parce que ces règles étaient uniques, et que les détections actuelles, d'un rouge criant, les ont toutes réunies.
Tout cela a convergé vers une attaque de sécurité majeure, qui a bouleversé l'entreprise.
Ce qui n'a pas fonctionné
Après avoir passé des heures à réagir et à remédier à la situation, vous et votre équipe avez empêché l'attaque de faire d'autres dégâts. Aucun élément de l'entreprise n'a été compromis, ce qui est une victoire pour tout le monde. Mais c'était stressant et accablant, et - bon sang - qu'est-ce qui a mal tourné ?
Vous vous reprochez d'abord d'avoir potentiellement étiqueté une détection comme positive bénigne, mais votre travail a été contrôlé et vérifié par deux autres personnes de votre équipe. Lorsque vous y êtes retourné, il s'agissait d' un résultat positif bénin et il a été traité en conséquence. Vous blâmez alors la plateforme. Quelque chose dans son algorithme ou ses rapports ne vous a pas permis de faire votre travail correctement, mais vous savez que vous vous en servez comme bouc émissaire.
Alors que vous passez au peigne fin les événements et les données des trois jours de travail précédents et que vous rédigez un rapport post-mortem, vous remarquez que les détections convergent vers une attaque unifiée, et vous réalisez que ce n'est pas vous ou la plateforme qui avez causé la mauvaise orientation et la confusion ; le problème se situe au niveau des détections elles-mêmes.
Les détections sont nombreuses, surtout en silo et à partir de différentes surfaces d'attaque. Vous passez généralement le plus de temps sur une plateforme qui collecte des informations provenant de ces différentes surfaces d'attaque, mais il s'agit d'une grande quantité d'informations et vous finissez de toute façon par basculer vers ces outils. Le problème réside dans le nombre de détections - il y en avait tout simplement trop et beaucoup d'entre elles n'étaient pas prioritaires, de sorte que vous ne leur avez pas accordé toute l'attention nécessaire.
Mais comment auriez-vous pu le savoir ? Ils étaient considérés comme mineurs et vous aviez d'autres choses à faire. Alors, comment résoudre ce dilemme ?
Une vue d'ensemble
Les alertes et les détections ne tiennent pas compte de la situation dans son ensemble : les attaquants sont intelligents et adaptables, ce qui signifie qu'ils se déplacent d'un endroit à l'autre, exploitent les lacunes de la couverture et les portes dérobées non sécurisées, et se font passer pour des détections quelque peu dangereuses avant de rassembler toutes les informations dont ils ont besoin pour lancer une attaque de grande envergure.
C'est là que la hiérarchisation basée sur les entités peut résoudre le problème. Une entité n'est ni une alerte ni une détection. Il s'agit d'un cumul d'événements corrélés qui relèvent d'une seule et même entité. Dans certains cas, il s'agit d'hôtes, de comptes et de détections. Grâce aux entités, les analystes peuvent avoir une vue d'ensemble et attraper les attaquants qui jouent sur le long terme.
En tant qu'analyste SOC, vous avez tout faux. Ce n'est pas vous qui êtes en cause. C'est la façon dont les technologies de sécurité considèrent les alertes et les détections. Une fois que les technologies adoptent un type de priorisation qui met en avant les entités plutôt que les alertes et les détections, vous vous retrouverez non seulement avec moins d'alertes à surveiller et à traiter, mais vous attraperez également plus de vrais positifs à un rythme plus rapide et avec plus de confiance.
Et, surtout, vous pourrez prendre votre café le matin.