Comme je l'ai mentionné dans mon blog précédent, l'objectif principal de la réponse aux incidents est de réduire le temps de séjour des attaquants comme une forme d'atténuation des risques, mais les organisations doivent d'abord définir le niveau de risque à atténuer. Il est important de considérer la maturité et les capacités de réponse aux incidents en relation avec les menaces pertinentes pour l'entreprise et l'étendue de l'impact que ces menaces peuvent créer. Les exigences en matière de sensibilisation aux risques de l'entreprise définissent les mesures et les dépenses de sécurité pour atteindre des temps de réponse appropriés.
En 2013, James Webb, RSSI de l'Appalachian State University, a proposé un modèle de maturité de la réponse aux incidents sur un axe temporel, que Vectra a adopté et fait évoluer dans le cadre de sa pratique de conseil en matière de sécurité.
Ce modèle prend en compte deux capacités essentielles au succès de la réponse aux incidents :
Sensibilisation aux menaces/visibilité
La capacité à disposer d'informations précises et fiables sur la présence de cybercriminels, leurs intentions, leurs activités historiques et la manière dont les défenses se rapportent à eux. Le temps de détection et le temps de connaissance sont cruciaux.
Agilité/performance de la réponse
La capacité d'isoler, d'éradiquer et de rétablir le fonctionnement normal de l'entreprise de manière rapide et suffisante. Cela implique un délai de réaction.
La plupart des cadres de maturité en matière de sécurité impliquent l'adoption d'outils fournissant des capacités linéaires dans le cadre d'une approche de sécurité en couches. Cette méthodologie peut entraîner des chevauchements et des redondances, ce qui a souvent un impact négatif sur la connaissance des menaces et la souplesse de réaction. Elle met également en évidence les compromis entre les capacités de détection et de réaction qui existent à chaque niveau de maturité.
En reliant ces deux attributs au processus de réponse aux incidents, la maturité et la capacité peuvent être définies et mesurées à travers les cinq étapes du modèle de maturité sur la base du niveau souhaité de sensibilisation aux risques.
Niveaux de maturité de la réponse aux incidents
1. Réactif/ad hoc
Ils'agit d'une approche de type "whack-a-mole", dans laquelle l'organisation ne réagit aux menaces qu'une fois qu'elles sont apparues. La détection des menaces internes provient généralement d'une source externe. Malheureusement, trop d'organisations s'en remettent encore à cette méthode de réaction lorsqu'elles découvrent un actif compromis. La restauration du système à partir des sauvegardes permet d'être agile et de récupérer rapidement les fonctions de l'entreprise. Cependant, la sensibilisation aux menaces est faible et aucune connaissance réelle n'est acquise sur la façon dont le système a été compromis ou sur les raisons et l'utilisation qui en a été faite après la compromission.
2. Basé sur un outil/une signature
À ce stade, les organisations adoptent des outils qui recherchent les compromissions potentielles dans l'environnement. Il s'agit souvent d'outils basés sur des signatures, comme les logiciels antivirus et les systèmes de détection et de prévention des intrusions (IDPS), qui fournissent des alertes automatisées sur les compromissions potentielles dues à des menaces connues. La remédiation de ces systèmes compromis est également pilotée par des outils conçus pour éliminer la compromission d'un système, ce qui n'est d'ailleurs pas une bonne idée. L'agilité commence à diminuer et conduit à une approche de réponse ad hoc.
3. Axé sur les processus
À ce stade, les organisations adoptent des rôles, des processus et des structures de gouvernance formels en matière de réponse aux incidents. Elle inclut souvent plusieurs sources de détection des menaces et de corrélation des alertes qui correspondent aux phases du cycle de vie de l'attaque. Pour de nombreuses organisations, il s'agit de l'état idéal des opérations. Les attaques sont détectées, analysées et traitées de manière rentable et reproductible. Bien que les processus formalisés ralentissent l'agilité, ils ne sont pas pertinents car le volume des attaques tend à être faible et la plupart des incidents sont des erreurs bénignes d'utilisateurs internes ou des violations de politiques. La principale lacune de ce modèle est que la gestion des attaques ciblées nécessite plus que de bons processus.
4. Axé sur le renseignement
Pour de nombreuses grandes organisations, la réponse aux incidents fondée sur le renseignement est un objectif important en raison de la prévalence des attaques ciblées. Ce niveau de réponse aux incidents nécessite une compréhension plus détaillée et plus récente de cybercriminels, y compris de leurs objectifs et de leur motivation ainsi que de leur profil d'outils, de tactiques et de procédures (TTP). Pour atteindre cet objectif, il est conseillé d'établir une corrélation avec des bases de connaissances externes telles que le cadre MITRE ATT&CK . La connaissance de la disposition des adversaires est ensuite utilisée pour concevoir des défenses de sécurité et des contrôles de détection d'une manière qui permette de prendre des mesures discrètes pour perturber, dégrader et empêcher les adversaires d'atteindre leurs objectifs.
5. Défense prédictive
Connue également sous le nom de défense active, cette étape représente la convergence des processus de réponse aux incidents et d'une architecture défensive adaptative qui peut être utilisée pour tromper les adversaires lorsqu'ils pénètrent, opèrent et se déplacent dans des environnements protégés. L'une des principales caractéristiques de ce modèle réside dans les capacités qui permettent de tromper l'adversaire et de le priver d'opérations. La chasse aux menaces est l'expression ultime d'une défense proactive.
Alignement du plan de réponse aux incidents
Si le temps est le facteur le plus important dans la réponse aux incidents, le temps, c'est aussi de l'argent. Le montant à dépenser et le degré de sensibilisation aux menaces ou d'agilité requis pour atténuer le risque commercial dépendent des besoins uniques d'une organisation. Ces besoins varient en fonction de la taille, du secteur d'activité et des exigences de conformité.
L'établissement de priorités dans le traitement de l'incident est peut-être le point de décision le plus critique dans le processus de réponse à l'incident. L'établissement des priorités nécessite une compréhension de la menace et du risque pour l'organisation. La classification de ce risque détermine le niveau de maturité nécessaire de l'organisation.
Choisir le niveau approprié
Le niveau de maturité qu'une organisation doit atteindre en matière de réponse aux incidents est basé sur les exigences d'une telle capacité. Les menaces, les risques et les exigences de conformité propres à un secteur d'activité déterminent les besoins d'une organisation. L'examen des besoins d'autres organisations du même secteur permet d'identifier un bon point de départ pour un niveau de maturité cible.
Par exemple, une petite entreprise opérant dans le secteur de la logistique n'aura pas les mêmes exigences - ni la même capacité - à réagir aux incidents de cybersécurité qu'une grande entreprise du secteur financier ou qu'une entité gouvernementale. En revanche, les organisations dont les marques sont très reconnues ou dont la propriété intellectuelle est précieuse doivent améliorer leur connaissance des menaces en recherchant de manière proactive les attaquants tout en conservant l'agilité nécessaire pour réagir rapidement aux menaces qu'elles découvrent. Cela va au-delà d'un plan maintenu, de rôles et de responsabilités concrets, de lignes de communication et de procédures de réponse. Un plan et un processus formels de centre d'opérations de sécurité (SOC) ne suffisent pas pour faire face au risque d'attaques ciblées.
Si vous avez besoin d'améliorer vos opérations de sécurité et de renforcer vos capacités de réponse aux incidents, découvrez Vectra Advisory Services pour une gamme d'offres adaptées aux besoins spécifiques de votre organisation.