J'ai été l'un des premiers défenseurs de l'approche Gartner qui préconise de combiner endpoint detection and response (EDR), détection et réponse aux incidents (NDR) et security information and event management (SIEM) pour parvenir à la triade de visibilité SOC. Mais le chemin cahoteux vers la visibilité du centre d'opérations de sécurité (SOC) a été semé d'embûches lorsqu'il s'est agi de déployer des outils de détection des attaquants
L'une des observations concernant la triade de visibilité du SOC était que les SIEM traditionnels pourraient être incapables de gérer le volume élevé d'événements, certains types de données et toute une série d'autres défis. C'est une chose que j'ai souvent observée en travaillant avec des entreprises. Les équipes de sécurité ont du mal à élaborer des cas d'utilisation de SIEM ou à les maintenir, même lorsqu'ils fonctionnent parfaitement avec des ensembles de données de taille gérable.
Les ressources techniques et humaines nécessaires pour sélectionner, construire et maintenir des cas d'utilisation SIEM complexes sont immenses. Les coûts d'exploitation sont importants bien avant que l'on ne prenne en compte les ressources nécessaires pour effectuer des opérations de sécurité à l'aide d'un SIEM.
Saint Gobain, un client de Vectra , a été confronté à ces questions il y a quelques années et est arrivé à la conclusion suivante :
- Automatiser les détections d'attaquants à l'aide de la NDR et de l'EDR. Se référer au MITRE ATT&CK pour garantir une couverture complète des menaces qui s'adapte à l'augmentation du nombre d'adresses IP.
- Envisagez de créer des modèles de détection des menaces personnalisés basés sur des cas d'utilisation spécifiques qui sont pertinents pour votre entreprise. Une approche unique de la NDR, de l'EDR et du SIEM ne fonctionnera pas.
- Pour les détections SIEM, créez des cas d'utilisation pertinents pour votre entreprise et qui ne sont pas couverts par d'autres fournisseurs de sécurité. Cela garantit la cohérence de la qualité des détections au fil du temps.
En termes de priorités d'investissement dans les SOC, j'ai vu une tendance claire émerger : Les personnes qui pensaient à leur SIEM sont passées à une approche EDR d'abord. Cependant, l'EDR ne peut jamais couvrir tous les appareils ou toutes les charges de travail d'une entreprise et son lieu de déploiement ne fournit qu'une vue locale des fichiers et des processus. Une approche différente mais complémentaire est nécessaire.
C'est ce besoin qui est à l'origine de l'adoption rapide de la NDR aujourd'hui. La NDR ajoute une valeur incommensurable aux opérations de sécurité en fournissant une visibilité complète à l'intérieur des réseaux - depuis cloud et les flux de travail des centres de données jusqu'aux utilisateurs et aux appareils IoT - et apporte de la clarté aux flux de travail EDR et SIEM.
L'approche sans agent de NDR offre une vue d'ensemble et se concentre sur les interactions entre les différents hôtes et comptes. Cela est possible sur cloud, le centre de données, l'IoT et les réseaux d'entreprise, où NDR identifie les comportements immuables des attaquants cachés.
Cette visibilité omniprésente, ainsi que le niveau d'automatisation et la réduction significative de la charge de travail que la NDR apporte au SOC, expliquent pourquoi les équipes de sécurité tournées vers l'avenir adoptent une approche NDR en premier lieu :
- L'intégration de plusieurs fournisseurs est indispensable pour garantir la cohérence et la facilité de l'enquête.
- L'obtention d'un contexte de détection plus large permet d'exposer toute la portée d'une attaque et de réagir plus rapidement et de manière mieux informée.
Les équipes de sécurité sont en train de changer leurs réponses à la question de savoir comment prioriser et équilibrer leurs investissements en matière de détection :
- EDR : plus précis mais moins étendu (il est probable que jusqu'à 40 % des machines auront un agent ; ce chiffre est beaucoup moins élevé si l'on tient compte de l'IdO et de l'OT).
- NDR : plus de couverture, mais pas de vision des activités malveillantes au niveau de la machine.
Pour en savoir plus, consultez la triade de visibilité SOC et la façon dont elle vous permet de passer de la prévention à la détection.