Les alertes critiques viennent avant le café
Il est 6h45 du matin. Votre alarme sonne et vous sortez du lit pour découvrir une chambre recouverte d'un gris d'encre à l'aube. La première chose que vous faites est de vérifier les notifications sur votre téléphone. Tirez. Une alerte P0 a été détectée et Danny, l'analyste basé dans la région EMEA qui travaillait avant vous, s'est déjà déconnecté. Vous ne le blâmez pas, ses parents sont en visite. Vous vous précipitez donc dans votre routine matinale et renoncez à mettre la cafetière sur le feu. Tout ira bien ; cela arrive souvent et les alertes P0 vous secouent toujours suffisamment pour vous sortir de votre état d'hébétude matinale.
La notification par e-mail contenant l'alerte P0 correspond à votre zone géographique et à votre domaine de responsabilité (EDR) ; vous vous l'attribuez donc. Rapidement, car le temps est compté lorsqu'il s'agit d'alertes critiques, vous passez à l'étape suivante : l'investigation. À l'aide des outils disponibles sur la plateforme d'où provient la détection, vous examinez les journaux et essayez de répondre mentalement aux trois questions principales de toute investigation sur une menace de sécurité : 1) qui est l'auteur, 2) qu'a-t-il fait, et 3) pourquoi ai-je été alerté.
Environ 45 minutes plus tard, après avoir consulté plusieurs outils et parcouru de nombreuses lignes de journaux, vous pouvez confirmer que cette détection était réellement positive, mais bénigne. Il y avait une activité suspecte, mais elle n'était pas malveillante. Vous retirez la détection de la file d'attente et notez que vous rédigerez un rapport sur cette alerte.
Vous regardez l'horloge : il est 7h42. C'est enfin l'heure du café, et juste à temps pour votre réunion à 8 heures. Vous ne pensez pas aux 10 autres détections dans la file d'attente.
La détection qui a crié "au loup" était en fait un loup
Une semaine plus tard, vous vous sentez bien. Vous avez pris un certain rythme de croisière malgré le nombre écrasant d'alertes qui vous parviennent ; vous avez donné suite à toutes les alertes prioritaires au cours de votre période de travail et vous avez rédigé de jolies règles pour éviter de recevoir des notifications pour les alertes positives bénignes qui continuent de vous parvenir. Même votre responsable vous a donné une petite tape dans le dos pour avoir compris le schéma de ces vrais positifs et mis en œuvre une solution permanente pour soulager tout le monde.
Même si vous vous prélassez dans le sillage d'un sprint SOC réussi et que vous profitez enfin d'un déjeuner qui ne consiste pas à alterner entre des bouchées de sandwich et le défilement de journaux pour enquêter sur une détection, quelque chose vous semble anormal. Peut-être avez-vous manqué une alerte P1 - non, ce n'est pas le cas, car votre collègue vous aurait envoyé un message à ce sujet. Vous avez peut-être laissé le brûleur de café allumé. Vous y jetez un coup d'œil ; non, elle a été éteinte il y a plusieurs heures.
C'est calme. La file d'attente des alertes a son lot de détections, mais elles ne sont pas prioritaires et peuvent être traitées après le déjeuner. Il n'y a pas d'alarmes criardes ni de bannières rouges. Tout est calme. Vous décidez que c'est le silence qui vous dérange.
Une heure plus tard, vous êtes en train de passer en revue les détections dans la file d'attente. Presque toutes ne sont pas malveillantes. Vous avez l'impression de vous promener dans le parc et vous éprouvez une grande satisfaction à les fermer l'une après l'autre. Vous appuyez sur le bouton "rafraîchir" de votre navigateur et regardez l'interface utilisateur se mettre en mémoire tampon et s'afficher. Vous envisagez de vous récompenser en terminant votre journée plus tôt que prévu. Vous allez peut-être à la salle de sport pour laquelle vous vous êtes inscrit il y a des mois mais que vous n'avez pas eu le temps de fréquenter.
L'interface utilisateur finit de s'actualiser et vous voyez apparaître une rangée de bannières rouges indiquant une multitude de détections hautement prioritaires. Vous avez l'estomac retourné. Que s'est-il passé ?
Votre équipe envoie des messages dans le chat d'équipe. Personne ne comprend ce qui se passe ni pourquoi la plateforme a soudainement été submergée d'alertes de haute priorité. Un sentiment de panique grandit chez tout le monde, y compris chez vous. Peut-être encore plus en vous, car lorsque vous cliquez sur chaque détection, vous constatez que bon nombre de ces journaux vous semblent familiers. Les identifiants, les appareils, les systèmes d'exploitation : tout vous semble familier. Mais bien sûr, les règles que vous aviez définies pour les bloquer n'ont pas fonctionné, car ces règles étaient spécifiques, et les détections actuelles, signalées en rouge vif, les ont toutes regroupées.
Tout cela a convergé vers une attaque de sécurité majeure, qui a bouleversé l'entreprise.
Ce qui n'a pas fonctionné
Après avoir passé des heures à réagir et à remédier à la situation, vous et votre équipe avez empêché l'attaque de faire d'autres dégâts. Aucun élément de l'entreprise n'a été compromis, ce qui est une victoire pour tout le monde. Mais c'était stressant et accablant, et - bon sang - qu'est-ce qui a mal tourné ?
Au départ, vous vous en voulez d'avoir peut-être classé une alerte comme un faux positif, mais votre travail a été contrôlé et validé par deux autres membres de votre équipe. Lorsque vous avez revérifié, il s'agissait bien d' un faux positif et il a été traité en conséquence. Vous en venez alors à blâmer la plateforme. Un élément de son algorithme ou de son système de rapport vous a empêché de faire correctement votre travail, mais vous savez que vous ne faites que lui servir de bouc émissaire.
Alors que vous passez au crible les événements et les données des trois derniers jours de travail et que vous rédigez un rapport d'analyse rétrospective, vous remarquez que les détections convergent vers une seule et même attaque, et vous comprenez que ce n'est ni vous ni la plateforme qui avez été à l'origine de cette fausse piste et de cette confusion ; le problème réside dans les détections elles-mêmes.
Les alertes affluent, notamment celles provenant de systèmes cloisonnés et de diverses surfaces d'attaque. En général, vous passez le plus de temps sur une plateforme qui centralise les informations issues de ces différentes surfaces d'attaque, mais le volume de données est tel que vous finissez de toute façon par vous tourner vers ces outils. Le problème réside dans le nombre d'alertes : elles étaient tout simplement trop nombreuses et beaucoup d'entre elles étaient de faible priorité, si bien que vous ne leur accordiez pas toute l'attention nécessaire.
Mais comment auriez-vous pu le savoir ? Ils étaient considérés comme mineurs et vous aviez d'autres choses à faire. Alors, comment résoudre ce dilemme ?
Une vue d'ensemble
Les alertes et les détections ne tiennent pas compte de la situation dans son ensemble : les attaquants sont intelligents et adaptables, ce qui signifie qu'ils se déplacent d'un endroit à l'autre, exploitent les lacunes de la couverture et les portes dérobées non sécurisées, et se font passer pour des détections quelque peu dangereuses avant de rassembler toutes les informations dont ils ont besoin pour lancer une attaque de grande envergure.
C'est là que la hiérarchisation basée sur les entités peut résoudre le problème. Une entité n'est ni une alerte ni une détection. Il s'agit d'un cumul d'événements corrélés qui relèvent d'une seule et même entité. Dans certains cas, il s'agit d'hôtes, de comptes et de détections. Grâce aux entités, les analystes peuvent avoir une vue d'ensemble et attraper les attaquants qui jouent sur le long terme.
En tant qu'analyste SOC, vous avez tout faux. Ce n'est pas vous qui êtes en cause. C'est la façon dont les technologies de sécurité considèrent les alertes et les détections. Une fois que les technologies adoptent un type de priorisation qui met en avant les entités plutôt que les alertes et les détections, vous vous retrouverez non seulement avec moins d'alertes à surveiller et à traiter, mais vous attraperez également plus de vrais positifs à un rythme plus rapide et avec plus de confiance.
Et, surtout, vous pourrez prendre votre café le matin.