Dans le rapport de recherche Gartner "Applying Network-Centric Approaches for Threat Detection and Response" publié le 18 mars 2019 (ID : G00373460), Augusto Barros, Anton Chuvakin et Anna Belak ont introduit le concept de la triade de visibilité du centre d'opérations de sécurité (SOC_ Visibility Triad).
L'étude présente le graphique suivant, qui illustre la "triade nucléaire de la visibilité" :
1. Security event information management (SIEM) / User entity behavior analytics (UEBA)
Les solutions de gestion des informations et des évènements de sécurité (SIEM) et d'analyse du comportement des entités et utilisateurs (UEBA) permettent de collecter et d'analyser les logs générés par l'infrastructure informatique, les applications et d'autres outils de sécurité.
2. Endpoint detection and response (EDR)
Les solutions de détection et de réponse sur les endpoints (EDR) permettent de capturer l'exécution, les connexions locales, les modifications du système, les activités de la mémoire et d'autres opérations à partir des terminaux.
3. Solution de détection et de réponse centrée sur le réseau (NDR, NTA, NFT et IDPS)
La détection et la réponse centrées sur le réseau (NDR, NTA, NFT et IDPS) sont assurées par les outils axés sur la capture et/ou l'analyse du trafic réseau, tels que décrit par la recherche de Gartner.
L'étude poursuit en affirmant que "la triade du SOC cherche à réduire de manière significative les chances que les attaquants opèrent sur votre réseau suffisamment longtemps pour atteindre leurs objectifs". Dans cette étude, les auteurs écrivent que "l'EDR fournit un suivi détaillé des activités malveillantes sur le endpoint. Les attaquants peuvent toutefois être en mesure de dissimuler leurs outils pour ne pas se faire repérer par l'EDR. Mais leur activité sera visible par les outils du réseau dès qu'ils interagiront avec un autre système à travers le réseau".
L'étude poursuit : "Les logs peuvent fournir la visibilité nécessaire dans les couches supérieures. Par exemple, ils peuvent fournir une visibilité sur ce que les utilisateurs font sur la couche d'application. L'EDR et les logs peuvent également atténuer les problèmes liés aux connexions réseau cryptées - une cause fréquente d'angles morts dans les technologies centrées sur le réseau."
Les équipes chargées des opérations de sécurité ont posé à Vectra des questions très similaires au cours de leurs activités de réponse ou de chasse aux menaces : Que faisait cet asset ou ce compte avant l'alerte ? Qu'a-t-il fait après l'alerte ? Pouvons-nous savoir quand les choses ont commencé à se gâter ?
L'historique des menaces est généralement disponible à trois endroits : NDR, EDR et SIEM. L'EDR fournit une vue détaillée au niveau du sol des processus en cours d'exécution sur un hôte et des interactions entre eux. Le NDR fournit une vue aérienne des interactions entre tous les appareils du réseau, que l'EDR soit en cours d'exécution ou non.
Les équipes de sécurité qui déploient le trio NDR, EDR et SIEM sont en mesure de répondre à un plus grand nombre de questions lorsqu'elles réagissent à un incident ou recherchent des menaces. Par exemple, elles peuvent répondre aux questions suivantes:
- Un autre actif a-t-il commencé à se comporter de manière étrange après avoir communiqué avec l'asset potentiellement compromis ?
- Quel service et quel protocole ont été utilisés ?
- Quels sont les autres actifs ou comptes susceptibles d'être concernés ?
- Un autre équipement a-t-il contacté la même adresse IP de commande et de contrôle externe ?
- Le compte d'utilisateur a-t-il été utilisé de manière inattendue sur d'autres appareils ?
Bien que le NDR et l'EDR puissent fournir une perspective à cet égard, la NDR est plus critique car il fournit une perspective que l'EDR ne peut pas fournir. Par exemple, les exploits qui opèrent au niveau du BIOS d'un appareil peuvent subvertir l'EDR. Des exemples de ces exploits sont ceux qui auraient été volés au groupe Equation par le groupe de pirates Shadow Brokers. Lorsqu'on demande à l'EDR une liste de dispositifs avec lesquels un hôte a communiqué, il peut indiquer les dispositifs B, C et E. En revanche, le NDR indique que le même hôte a communiqué avec les dispositifs A, B, C, E et F.
Cette approche d'un centre d'opérations de sécurité moderne est également la raison pour laquelle Vectra dispose de capacités d'intégration clés avec des partenaires technologiques de premier plan, notamment CrowdStrike, Carbon Black et Splunk.
Pour en savoir plus, contactez Vectra pour une discussion consultative sur ces intégrations ou planifiez une enquête avec les auteurs de la note de recherche Gartner - Barros, Chuvakin et Belak - pour plus de contexte sur l'obtention d'une visibilité à travers votre infrastructure.
Pour plus d'informations sur la SOC Visibility Triad, consultez notre solution brief: "The ultimate in SOC visibility".