Il arrive que nous fassions référence à des concepts sans savoir exactement ce qu'ils signifient. Voyons ce que signifient les termes " réactif", "proactif" et "chasse aux menaces" dans le contexte de la maturité d'un centre opérationnel de sécurité (SOC).
Modèles opérationnels du SOC
Ces dernières années, les opérations de sécurité ont pris de l'importance en représentant la fonction qui devrait assumer la responsabilité de la détection et de la réponse en alignement avec les objectifs commerciaux de l'organisation. Cependant, en travaillant en étroite collaboration avec des centaines de clients, j'ai observé que le terme SOC n'a pas la même signification pour tout le monde. Cela semble dépendre de la manière dont le centre d'opérations de sécurité a été créé au sein d'une organisation.
Dans certains cas, il s'agit de regrouper quelques personnes autour d'une technologie existante avec des processus très basiques. Dans ces cas-là, les seules améliorations se situent au niveau de la technologie. Dans d'autres cas, les opérations de sécurité sont gérées par un partenaire, fournies en tant que service et utilisées par le personnel de sécurité interne pour le suivi des incidents et les mesures correctives.
Il existe également une combinaison de ces deux modèles dans une approche hybride à plusieurs niveaux. Dans cette approche hybride, la détection initiale et le triage des alertes sont effectués par une organisation externe, tandis que l'enquête plus approfondie et la réponse relèvent de la responsabilité d'une équipe interne.
Comprendre quelle est la meilleure approche n'entre pas dans le cadre de cet article et l'approche la plus optimale pour vous doit être envisagée dans le contexte de votre organisation spécifique.
Tout est question de maturité
Un aspect universellement vrai et applicable à chaque organisation est la façon dont les opérations de sécurité évoluent dans le temps, la façon dont cette évolution est guidée par les objectifs de l'entreprise et la façon dont elle est suivie. L'alignement sur les objectifs de l'entreprise est un aspect essentiel pour toutes les fonctions de soutien d'une organisation. C'est encore plus vrai pour les opérations de sécurité, qui sont en première ligne pour réduire les risques de l'entreprise.
Un autre aspect essentiel consiste à trouver le bon équilibre entre les personnes, les processus et la technologie. La technologie est généralement la partie la plus facile, car il s'agit simplement d'acquérir du matériel, des logiciels ou des services et d'en consommer les résultats.
Le personnel est probablement le défi le plus difficile à relever. La pénurie de professionnels de la cybersécurité compétents et qualifiés n'est un secret pour personne et le taux de rotation très élevé des analystes est un problème quotidien pour la direction du SOC.
Les processus sont le ciment qui maintient le tout ensemble. Ils peuvent avoir un impact positif lorsqu'ils sont totalement alignés sur l'activité et qu'ils apportent agilité et cohérence. Les processus doivent inclure des mesures fiables et précises pour évaluer la performance du SOC par rapport aux indicateurs de performance clés et aux objectifs de l'entreprise.
L'équilibre entre ces trois éléments se traduira par une bonne maturité et, plus important encore, par la capacité de mûrir plus rapidement.
React vs. hunt
Les processus devraient en partie définir et mettre en œuvre une approche d'enquête proactive qui va au-delà du modèle de détection et de réaction qui tire rarement des leçons des incidents.
L'approche réactive tend à rechercher rapidement une solution sans approfondir les considérations plus générales. Les enquêtes proactives vont plus loin en posant de plus en plus de questions pour découvrir les aspects cachés de la menace, les points communs entre plusieurs incidents et les effets secondaires non associés à l'incident faisant l'objet de l'enquête.
Lorsque cette approche devient systématique et tend à être de moins en moins liée à des incidents spécifiques, elle prend les caractéristiques de la chasse aux menaces. Dans la chasse aux menaces, l'environnement et les données historiques sont examinés à la recherche d'artefacts liés à la menace.
La chasse aux menaces devrait se concentrer sur les comportements des attaquants sous la forme de TTP, de méthodes et d'outils d'attaque plutôt que sur des indicateurs atomiques. Cette approche aura un impact bénéfique à la fois sur la couverture des menaces et sur la durabilité de la détection.
Je ne dis pas que les hachages de fichiers, les adresses IP ou les domaines ne sont pas utiles. Ils peuvent être un excellent moyen d'évaluer l'étendue d'une violation. Mais une approche proactive permet d'investir plus de temps dans la recherche des menaces pour un résultat plus durable.
La recherche des menaces doit également être effectuée en conjonction avec la MITRE ATT&CK matrice. Comme l'indique Matt Bromiley du SANS Institute : "En associant la chasse aux menaces aux objectifs, techniques et tactiques connus des acteurs de la menace, il faut commencer à considérer la chasse aux menaces non pas comme une activité isolée, mais plutôt dans le contexte de la manière dont un attaquant peut atteindre cet objectif au sein de votre environnement.
Une approche scientifique
Une autre différence essentielle entre la chasse aux menaces et la détection des menaces réside dans les processus qui les sous-tendent. La détection des menaces est un processus linéaire dans lequel des alertes sont générées, triées et, le cas échéant, la phase de réponse démarre.
D'autre part, la chasse aux menaces s'inscrit davantage dans la méthodologie scientifique qui commence par la formulation d'une hypothèse. Elle implique ensuite des recherches, une évaluation des résultats et la poursuite des recherches si les résultats ne confirment pas l'hypothèse.
Les méthodes réactives, proactives et de chasse aux menaces apportent toutes de la valeur, mais à des niveaux différents.
Un SOC mature et performant qui s'aligne sur les moteurs de l'entreprise est probablement passé par l'exercice d'équilibrer les personnes, les processus et les composants technologiques. En même temps, il vous permet de passer d'un mode de réaction à une véritable chasse aux menaces basée sur les comportements et les méthodologies d'attaque plutôt que sur des artefacts utilisés comme preuves éventuelles.