Chaque année, ce géant mondial de la vente au détail engage des consultants pour mener des exercices d'équipe rouge afin de tester la résistance des opérations de cybersécurité. Et chaque année, il échoue, jusqu'à ce qu'il déploie Vectra.
J'ai eu le privilège de m'entretenir avec John Byun, architecte de sécurité senior, d'un détaillant mondial, pour discuter de la manière dont son équipe a passé les tests Red Team, de la raison pour laquelle le partenariat avec Vectra était vital pour atteindre cette étape, et de la manière dont la plate-forme Cognito est devenue essentielle aux opérations de sécurité de son organisation.
Vectra se déploie pour des alertes de haute fidélité et moins de bruit
Malheureusement, l'équipe du centre d'opérations de sécurité (SOC), composée de sept membres, disposait d'un budget de sécurité restreint, malgré la nécessité d'assurer la sécurité du réseau de centaines de magasins et d'une entreprise de vente au détail en ligne très active. L'équipe de John avait besoin d'une solution détection et réponse aux incidents (NDR) qui permettrait d'identifier les attaquants qui contournent les pare-feu et les systèmes de prévention ou de détection des intrusions (IPS/IDS) au périmètre du réseau, tout en offrant une visibilité sur les menaces.
Lors de la sélection d'un produit, John a déclaré que ses "incontournables" en matière d'outils de sécurité sont 1) la détection précise des vrais positifs et 2) la réduction du bruit. Il a fait remarquer : "S'il ne peut pas détecter les vrais positifs, à quoi sert-il ?".
Après ces deux premiers besoins, John a mentionné qu'une interface utilisateur propre, des fonctionnalités efficaces, une facilité d'utilisation et un prix raisonnable sont autant d'éléments qu'il est bon d'avoir.
Finalement, l'équipe SOC a réduit le nombre de NDR à deux finalistes -Vectra et ExtraHop - quiétaient opérationnels dans un test de validation de concept (POC). Par coïncidence, ce test s'est déroulé au moment où l'entreprise participait à un autre test de pénétration de la Red Team.
Pendant le POC, John a noté que Vectra " avait un certain nombre de détections pour cette opération de l'équipe rouge " et triait les détections à l'aide de l'IA. D'autre part, bien qu'ExtraHop ait fini par montrer quelques détections, sa technologie basée sur des règles et son incapacité à trier les détections n'étaient pas comparables à celles d'ExtraHop. C'est alors qu'ils ont choisi Vectra comme solution de NDR.
"Pour moi, ExtraHop n'est pas un outil de sécurité. Il s'agit d'un outil de surveillance du réseau doté de quelques fonctionnalités de sécurité", a expliqué John. Il a ajouté qu'ExtraHop était beaucoup plus bruyant que Vectra et qu'il ne disposait pas des mêmes capacités de réglage permettant d'adapter les alertes à l'activité de son SOC.
En l'espace de deux semaines, le niveau de bruit de John a considérablement baissé. Après presque trois ans d'utilisation de Vectra, John note qu'ils ne reçoivent que 4 à 5 détections de haute fidélité par jour : "Nous n'avons pas besoin de passer des heures par jour à enquêter sur ces détections.
Cette réduction de la charge de travail du SOC donne à son équipe plus de temps pour enquêter sur les incidents, rechercher les menaces de manière proactive et mener des enquêtes concluantes.
C'est John qui l'a le mieux exprimé : "J'ai dit à mon patron que si notre budget était complètement réduit, Vectra serait le dernier outil dont je me débarrasserais".
Garder une longueur d'avance sur l'équipe rouge
Les tests Red Team mettent au défi les équipes SOC en matière de protection, de détection et de remédiation. Depuis le déploiement de Vectra, l'équipe SOC de John a réussi les tests Red Team deux années de suite.
Bien entendu, ce succès n'aurait pas été possible sans deux autres éléments de la triade de visibilité du SOC : la gestion des informations et des événements de sécurité (SIEM) et la détection et la réponse (EDR) sur le site endpoint . John a souligné l'importance d'utiliser la NDR en même temps que le SIEM et l'EDR afin d'obtenir une couverture de bout en bout.
"Pour moi, la triade SOC comprend notre outil EDR, le NDR est Vectra et le dernier est Splunk", explique John. Bien qu'ils utilisent Splunk et leur solution EDR pour obtenir une visibilité sur les activités, Vectra est le principal composant sur lequel ils s'appuient pour les détections.
La beauté d'un partenariat solide
John et moi avons conclu en affirmant la communication et la collaboration mutuelles entre nos équipes. Lorsque John a déclaré : "C'est la meilleure relation que j'ai eue avec un fournisseur", je n'ai pu contenir mon enthousiasme. Il n'y a rien de mieux que de savoir que nos partenaires se sentent soutenus, surtout lorsque nous aimons travailler ensemble.
À l'avenir, son organisation prévoit de se soumettre aux tests de la Purple Team. Cette décision illustre les possibilités et les avantages découlant d'une coopération enthousiaste et d'une réussite continue dans l'utilisation des solutions Vectra .
Alors que ce détaillant mondial continue à exploiter la technologie Vectra et à développer la sécurité de son entreprise, nous continuerons à l'aider à chaque étape du processus.
Découvrez comment ce géant mondial de la beauté utilise Detect, Detect for Office 365 et Recall de Vectra pour passer les tests Red Team et garantir la sécurité globale de ses données.
