Effacer les inconnues, transformer le SOC

10 juillet 2022
Mark Wojtasiak
Vice-président de la recherche et de la stratégie des produits
Effacer les inconnues, transformer le SOC

Les grandes inconnues des équipes SOC

Dans mon dernier blog, j'ai présenté les 9 C de la valeur de la cybersécurité. Mon objectif était d'aider les équipes de sécurité à suivre le rythme de l'évolution constante des surfaces d'attaque et des méthodes des attaquants - nous, fournisseurs, partenaires et, en fait, tous les êtres humains, devons travailler ensemble pour faire progresser la sécurité. L'un des principaux moyens d'y parvenir est d'effacer les inconnues...

  • des surfaces d'attaque : Étendre la sécurité au-delà du réseau du centre de données et de endpoint au réseau public cloud, SaaS, l'identité basée sur cloud.
  • des méthodes modernes des attaquants : Ils peuvent facilement contourner les outils de prévention en s'appuyant sur des services et des API autorisés.
  • de technologies et d'outils cloisonnés : Supprimer tout ce qui n'est pas intégré ou automatisé pour enrichir le contexte, les flux de travail ou les réponses.

Une étude récente menée sur le site Vectra a montré que les équipes de sécurité ont du mal à suivre le rythme des cyberattaques. Pour 79 % des décideurs en matière de sécurité, le manque de visibilité, l'absence de détection des attaques modernes et une mauvaise intégration sont les trois principales raisons pour lesquelles les outils de sécurité ne tiennent pas leurs promesses. La raison : les grandes inconnues.

Le fardeau des grandes inconnues repose carrément sur les épaules des équipes des centres d'opérations de sécurité (SOC). 83 % des équipes de sécurité se sentent dépassées par les menaces modernes. Les outils dont elles disposent dans leur arsenal ne suivent pas le rythme, comme en témoignent les 72 % d'équipes de sécurité qui pensent être compromises sans le savoir. Visibilité, détection des menaces, intégration - telles sont les promesses faites par les fournisseurs de solutions de sécurité, mais, selon les équipes de sécurité, nombre d'entre eux ne parviennent pas à les tenir.

Ici, à Vectra, nous aimons réfléchir en amont et découvrir le pourquoi. Ce que nous avons découvert, c'est que les défis auxquels les équipes SOC sont confrontées se résument à trois choses :

  • Couverture : la promesse de garantir la sécurité des applications et des données où qu'elles se trouvent.
  • Clarté : la promesse de voir les menaces là où les autres ne peuvent pas et de les arrêter.
  • Contrôle : la promesse d'intégrer et d'automatiser la défense contre les attaques du début à la fin, de haut en bas.

Couverture 

Il n'y a plus de périmètres, et la prévention ne suffit pas. Aujourd'hui, tout est question de défense en profondeur, de confiance mais de vérification. Nous avons tous entendu ces clichés (il m'est même arrivé d'en faire usage). (Même moi, je me suis rendu coupable de les utiliser à l'occasion.) Mais si nous mettons de côté les clichés et les phrases chocs et que nous réfléchissons en amont, la seule et simple vérité est que les surfaces d'attaque s'étendent.

Les réseaux des centres de données et les surfaces d'attaque endpoint ont toujours été attaqués, mais maintenant nous avons AWS, Microsoft Azure, Microsoft 365, GCP, des centaines d'applications SaaS et des dizaines de produits d'identité basés sur cloud. Nous avons des appels d'API d'un service à l'autre, qui tissent le tout en une symphonie parfaite. Pour les équipes SOC, cela devient le grand inconnu ; pour un attaquant, c'est un rêve devenu réalité. Deux tiers de toutes les attaques s'appuient sur des services et des API autorisés pour accéder aux applications et aux données d'une organisation, ce qui leur donne clairement l'avantage. Pour éradiquer les grandes inconnues de la surface d'attaque, les équipes SOC ont besoin d'une visibilité unifiée de l'activité des menaces sur les cinq surfaces d'attaque - des réseaux et points d'extrémité des centres de données aux sites publics cloud, SaaS et identité. Elles ont besoin d'une couverture.

Clarté

Je compatis avec les responsables, les architectes et les analystes SOC. Ils sont assaillis de toutes parts et, avec la pénurie d'analystes SOC, nombre d'entre eux quittent leur emploi pour des pâturages plus verts. Les attaquants ont pris le dessus. Les équipes SOC n'ont pas signé pour modifier et ajuster les outils. Les outils traditionnels basés sur des règles, tels que les SIEM et les IDS, sont aveugles face aux attaques modernes à grande vitesse. Alors, pensez en amont ? La solution pour retenir et développer les talents des équipes SOC et pour renverser la vapeur face aux attaquants est d'effacer l'inconnu que représentent les méthodes modernes des attaquants. Cela commence par une réorganisation du flux de travail du SOC. Aujourd'hui, nous entendons souvent dire "nous envoyons tout dans notre SIEM", et nous le comprenons. Le SIEM est une "vitre unique" (un autre cliché sur la sécurité). Mais comment la sécurité peut-elle créer une règle pour une méthode d'attaque qui n'a pas été identifiée ? Pire encore, une fois qu'une méthode d'attaque est connue, l'ajustement constant des règles SIEM et des signatures IDS est une méthode épuisante, inefficace et inefficiente pour lutter contre les attaquants modernes.

L'application d'approches traditionnelles aux méthodes modernes des attaquants crée une latence dans le flux de travail du SOC et le processus de réponse aux incidents. La dernière chose dont nous avons besoin lorsqu'il s'agit de détecter les attaques modernes et d'y répondre, c'est de la latence. Pourquoi donner plus de temps aux attaquants ? Non, le meilleur remède à la latence est le contexte, qui provient de la couverture. Sans une couverture complète, les équipes SOC manquent toujours de contexte. Le fait d'injecter davantage de données dans un SIEM n'est pas synonyme de couverture. L'ajustement constant de la technologie n'apporte pas de contexte. Pour éliminer les inconnues de la méthode de l'attaquant, il faut supprimer les temps de latence dans le flux de travail du SOC. À cette fin, les équipes SOC ont besoin d'une technologie qui capture, analyse et intègre le contexte des cinq surfaces d'attaque à la vitesse et à l'échelle. S'armer d'un contexte riche sur les méthodes des attaquants permet de réduire considérablement le temps de latence dans les flux de travail du SOC. Cela élimine le triage des alertes, intègre et automatise la priorisation, les processus d'investigation et de réponse, ainsi que les playbooks. Les équipes SOC peuvent alors opérer avec ce dont elles ont vraiment besoin pour éliminer les inconnues sur les méthodes des attaquants - une plus grande clarté.

Contrôle

Lorsqu'une surface d'attaque en constante expansion rencontre des méthodes d'attaque en constante évolution - associées à une pénurie de personnel et de compétences - il n'est pas étonnant que 83% des équipes de sécurité se sentent dépassées et que 72% pensent qu'elles sont peut-être compromises mais ne le savent pas vraiment. Malgré des investissements croissants dans la technologie et les outils, les équipes SOC ont toujours du mal à réaliser la valeur de leurs investissements, en grande partie parce que leurs outils ne fonctionnent pas ensemble comme prévu. Lorsque la technologie et les outils sont cloisonnés, le SOC en pâtit. Lorsque les équipes SOC passent d'un outil à l'autre pour identifier et combattre les attaques modernes, elles donnent effectivement l'avantage aux attaquants. Les équipes SOC ont besoin d'une technologie et d'outils intégrés, et elles doivent travailler ensemble pour devancer les attaques. Elles doivent reprendre le contrôle.

Tous ensemble maintenant

Avec une couverture complète de la surface d'attaque, les équipes de sécurité obtiennent le contexte dont elles ont besoin pour clarifier les choses, ce qui leur permet de contrôler la situation. La couverture fournit des données télémétriques collectées sur les cinq surfaces d'attaque : réseaux (NDR), terminaux (EDR), cloud public (AWS, Microsoft Azure, GCP, etc.), SaaS (Microsoft 365) et identité (Microsoft Azure AD). La clarté vient de l'analyse de cette télémétrie et de la mise en évidence et de l'alerte des menaces qui comptent vraiment. Le véritable contrôle est réalisé lorsque tout a été intégré et que tout fonctionne ensemble pour automatiser l'enrichissement du contexte, le flux de travail et la réponse. Le résultat : Effacer les inconnues et construire un SOC plus efficace, plus efficient et plus résilient.

Effacer l'inconnu avec la plateforme de sécurité pilotée par l'IA Vectra

Vectra est le leader de la détection et de la réponse aux menaces basées sur l'IA en matière de sécurité. Seul Vectra optimise l'IA de sécurité pour aider les responsables SOC, les architectes et les analystes à éliminer l'inconnu. Nous créons le signal qui détecte les attaques là où les autres ne le peuvent pas.

  • ‍AvecVectra, vous avez une couverture. Obtenez une visibilité contextuelle sur les cinq surfaces d'attaque : cloud, SaaS, identité, réseau et endpoint.
  • ‍Avec Vectra, vous avez la clarté. Réduisez le bruit des alertes de plus de 80 % en identifiant les méthodes des attaquants et en hiérarchisant les menaces les plus importantes pour l'entreprise.
  • ‍Avec Vectra, vous avez le contrôle. Intégrez votre pile existante pour le contexte, le flux de travail et les contrôles afin d'arrêter les menaces avec moins de travail, moins d'outils et en moins de temps.

Pour plus d'informations sur la plate-forme Vectra, consultez notre page consacrée à la plate-forme.‍

Foire aux questions