Mesureret améliorer le temps de réponse total est plus facile à dire qu'à faire. En réalité, de nombreuses organisations ne savent pas dans quelle mesure elles sont prêtes à réagir rapidement et efficacement à un incident de cybersécurité. Et la plupart d'entre elles ne savent pas quel doit être leur niveau de sensibilisation aux risques ni quel doit être le niveau de réponse approprié. Comme je l'ai mentionné dans mon blog précédent, la classification des risques détermine le niveau de maturité nécessaire de l'organisation.
Plus important encore, même lorsque le risque est connu, le manque de personnel ou les inefficacités du personnel n'aboutiront pas à un programme efficace. Un pourcentage important du temps d'un analyste de sécurité est consacré à des événements inattendus qu'un processus existant ne peut pas gérer. Les analystes de la sécurité effectuent une énorme quantité de travail manuel fastidieux pour trier les alertes, les corréler et les classer par ordre de priorité. Ils passent souvent des heures à le faire pour finalement apprendre que l'alerte n'est pas prioritaire.
En outre, l'exécution d'un travail manuel fastidieux introduit des erreurs humaines. Les gens excellent dans la réflexion critique et l'analyse, pas dans le travail manuel répétitif. Les organisations n'ont d'autre recours que d'embaucher plus de personnel, de réduire la charge de travail ou les deux. Pour atteindre le temps de réponse souhaité pour un niveau élevé de connaissance des menaces, il faut bien comprendre quelles tâches automatiser et, surtout, quand ne pas les automatiser.
Un processus efficace de réponse aux incidents permet de garder les gens dans la boucle sans leur donner toutes les clés des machines. L'objectif est plutôt de libérer le temps de l'analyste de sécurité pour qu'il se concentre sur des tâches à plus forte valeur ajoutée qui requièrent une réflexion critique.
Le modèle ci-dessus comporte trois étapes qui montrent comment l'automatisation peut être appliquée à un processus de détection et de réponse. Il se décompose de la manière suivante :
- Visibilité, détection et hiérarchisation des indicateurs d'attaques provenant des points finaux et des réseaux.
- Analyse des données du site endpoint et du réseau en corrélation avec d'autres sources de données clés.
- Réponse coordonnée à une attaque sur des points finaux, des réseaux, des utilisateurs et des applications.
Étape 1 : Visibilité, détection et hiérarchisation
Le réseau et ses points d'extrémité fournissent des capacités de visibilité et de détection. Ils s'appuient sur les données de visibilité et de détection pour établir la priorité initiale d'un incident et les alertes immédiates. L'automatisation du processus de détection et de triage à ce stade réduit le nombre total d'événements signalés en regroupant de nombreuses alertes pour créer un incident unique sur lequel enquêter et qui décrit une chaîne d'activités connexes, plutôt que des alertes isolées qu'un analyste de la sécurité doit reconstituer. Les actifs et les comptes au cœur d'un incident sont mis en contexte et classés par ordre de priorité en fonction de la menace et de la certitude. Ces informations sont ensuite transmises à l'étape suivante.
Étape 2 : Corrélation et analyse
À ce stade, les données du réseau et de endpoint sont mises en corrélation avec les données des systèmes de gestion des utilisateurs, des vulnérabilités et des applications, ainsi qu'avec d'autres informations de sécurité telles que les flux de renseignements sur les menaces. L'objectif est de vérifier ce qui a été priorisé à partir des données du réseau et de endpoint et de prescrire la bonne réponse en fonction de la gravité et de la priorité. Cette étape nécessite une analyse humaine pour prendre des décisions basées sur le contexte environnemental et le risque commercial. Les alertes hautement affinées et vérifiées sont transmises à l'étape 3.
Étape 3 : Coordination et réaction
À ce stade, l'automatisation du livre de jeu reçoit la réponse classée par ordre de priorité. Cela comprend endpoint et les alertes réseau générées par les outils de détection et de réponse (NDR) et en fonction de leurs capacités analytiques respectives. détection et réponse aux incidents (NDR) et endpoint les outils de détection et de réponse (EDR) en fonction de leurs capacités analytiques respectives. Les livres de jeu d'automatisation et d'orchestration exploitent les données fournies par la corrélation et l'analyse. Ils coordonnent la réponse aux attaques sur les terminaux, les réseaux, les utilisateurs et les systèmes de gestion des applications. Les réponses sont exécutées à la vitesse de la machine pour limiter la propagation de l'attaque et peuvent inclure des points de décision humains pour limiter le niveau d'automatisation à des niveaux appropriés à la situation.
Le haut degré d'intégration et d'interopérabilité entre ces plateformes permet aux organisations de mettre en œuvre la détection et la réponse dans une configuration très pratique et gérable. Cela réduit le nombre d'outils et d'applications de sécurité nécessaires pour traiter l'ensemble du cycle de sécurité "détecter, décider et réagir". Cette mise en œuvre permet également d'atteindre un niveau de maturité supérieur à celui que la plupart des organisations atteignent actuellement.
L'approche ne fonctionne pas seulement en théorie. Elle fonctionne dans le monde réel grâce à la NDR. Nous pouvons examiner les mesures des organisations existantes qui ont déployé la plate-forme Cognito à partir de Vectra pour voir la réduction moyenne de la charge de travail pour la détection, le triage et la hiérarchisation des événements par un analyste de sécurité de niveau 1.
Pour 10 000 appareils et charges de travail surveillés au cours d'un mois, le nombre moyen de détections de la gravité de l'hôte a permis de repérer 27 détections critiques et 57 détections à haut risque. Ces appareils et charges de travail représentent la plus grande menace pour une organisation et requièrent l'attention immédiate d'un analyste de sécurité. Sur une période de 30 jours, cela représente environ une détection critique et deux détections à haut risque par jour qui requièrent une attention immédiate. Bien que d'autres événements puissent se produire, peu d'entre eux présentent un intérêt réel et doivent être transmis aux analystes principaux ou aux unités opérationnelles pour une investigation plus approfondie.
Les algorithmes d'apprentissage automatique basés sur le comportement sont incroyablement utiles pour effectuer des travaux répétitifs à des vitesses supérieures à celles que les humains peuvent atteindre 24 heures sur 24 et sans erreurs. L'apprentissage automatique fournit des informations approfondies et un contexte détaillé sur les cyberattaques en cours, ce qui permet aux analystes de la sécurité de faire preuve d'esprit critique pour vérifier un incident et y répondre rapidement. Cela est possible grâce à l'utilisation d'un signal de haute fidélité qui filtre le bruit à l'origine des faux positifs.
Cela permet de réduire les écarts de compétences et les obstacles à l'entrée dans les opérations de sécurité en tant qu'analyste junior, tout en libérant le temps des analystes seniors hautement qualifiés pour qu'ils se concentrent sur la chasse aux menaces et agissent en tant que conseillers en matière de risques auprès des unités opérationnelles.
Les enseignements à tirer
Voici trois points essentiels à retenir.
Le temps est le paramètre le plus important pour détecter les attaques et y répondre avant qu'elles ne causent des dommages.
L'arrêt des attaques persistantes et ciblées nécessite une détection et une réponse rapides.
Une meilleure connaissance des menaces et une plus grande souplesse d'intervention sont les résultats d'un processus de réponse aux incidents mature.
Il est essentiel de comprendre les risques en fonction des niveaux appropriés de connaissance des menaces et d'agilité de réaction.
L'apprentissage automatique fonctionne mieux lorsqu'il est appliqué à des tâches spécifiques.
Il est bien adapté à l'automatisation des tâches fastidieuses et répétitives, tout en laissant la réflexion critique et l'analyse complexe aux personnes.
Si vous avez besoin d'améliorer vos opérations de sécurité et de renforcer vos capacités de réponse aux incidents, découvrez Vectra Advisory Services pour une gamme d'offres adaptées aux besoins spécifiques de votre organisation.