Dans le rapport de recherche Gartner " Applying Network-Centric Approaches for Threat Detection and Response " publié le 18 mars 2019 (ID : G00373460), Augusto Barros, Anton Chuvakin et Anna Belak ont introduit le concept de la triade de visibilité du SOC. Dans cette note, Gartner conseille :
"La sophistication croissante des menaces oblige les organisations à utiliser de multiples sources de données pour détecter les menaces et y répondre. Les technologies basées sur les réseaux permettent aux professionnels techniques d'obtenir rapidement une visibilité sur les menaces dans un environnement entier sans utiliser d'agents."
Selon l'étude, "les outils modernes d'opérations de sécurité peuvent également être représentés par une analogie avec la "triade nucléaire", un concept clé de la guerre froide. Cette triade se composait de bombardiers stratégiques, de missiles balistiques intercontinentaux (ICBM) et de sous-marins lanceurs d'engins.
Comme le montre la figure 1, un SOC moderne possède sa propre triade nucléaire de visibilité, à savoir
1. Le SIEM/UEBA permet de collecter et d'analyser les journaux générés par l'infrastructure informatique, les applications et d'autres outils de sécurité.
2. Endpoint détection et réponse permet de capturer l'exécution, les connexions locales, les modifications du système, les activités de la mémoire et d'autres opérations à partir des points finaux.
3. La détection et la réponse centrées sur le réseau (NTA, NFT et IDPS) sont assurées par les outils axés sur la capture et/ou l'analyse du trafic réseau, tels qu'ils sont couverts par cette recherche".
Cette approche à trois volets permet aux SOC d'accroître la visibilité des menaces, la détection, la réponse, l'investigation et les pouvoirs de remédiation.
Les métadonnées du réseau constituent la source la plus fiable pour détecter les menaces. Seul le trafic sur le fil révèle les menaces cachées avec une fidélité et une indépendance totales. Les sources à faible résolution, telles que les journaux d'analyse, ne vous montrent que ce que vous avez vu, et non les comportements fondamentaux des menaces que les attaquants ne peuvent tout simplement pas éviter lorsqu'ils espionnent, se répandent et volent.
Une solution NDR recueille et stocke les métadonnées clés du réseau et les complète par un apprentissage automatique et des analyses avancées pour détecter les activités suspectes sur les réseaux d'entreprise. La NDR construit des modèles qui reflètent le comportement normal et les enrichit avec des métadonnées historiques et en temps réel.
La NDR fournit une vue aérienne des interactions entre tous les appareils du réseau. Les attaques en cours sont détectées, classées par ordre de priorité et mises en corrélation avec les dispositifs hôtes compromis.
NDR offre une vue à 360 degrés à l'échelle de l'entreprise, depuis les charges de travail des centres de données publics cloud et privés jusqu'aux appareils des utilisateurs et de l'Internet des objets.
Endpoint Les compromissions ne sont que trop fréquentes, qu'elles proviennent de malware, de vulnérabilités non corrigées ou d'utilisateurs inattentifs. Les appareils mobiles peuvent être facilement compromis sur les réseaux publics, puis reconnectés au réseau de l'entreprise, où l'infection se propage. Les appareils de l'internet des objets (IoT) sont notoirement peu sûrs.
Une solution EDR offre des capacités plus sophistiquées qu'un antivirus traditionnel, avec un suivi détaillé des activités malveillantes sur un site endpoint ou un appareil hôte. L'EDR fournit une vue en temps réel, au niveau du sol, des processus en cours d'exécution sur un hôte ou un appareil et des interactions entre eux.
L'EDR capture l'exécution, les activités de la mémoire ainsi que les changements, les activités et les modifications du système. Cette visibilité aide les analystes de la sécurité à repérer des modèles, des comportements, des indicateurs de compromission ou d'autres indices cachés. Ces données peuvent être mises en correspondance avec d'autres flux de renseignements sur la sécurité afin de détecter les menaces qui ne peuvent être vues que de l'intérieur de l'hôte.
Depuis des décennies, les équipes de sécurité s'appuient sur les SIEM comme tableau de bord des activités de sécurité dans leur environnement informatique. Les SIEM collectent des informations sur les journaux d'événements provenant d'autres systèmes, fournissent une analyse des données, une corrélation des événements, une agrégation et des rapports.
L'intégration des détections de menaces provenant de l'EDR et de la NDR peut faire d'un SIEM un outil encore plus puissant, permettant aux analystes de la sécurité d'arrêter les attaques plus rapidement. Lorsqu'un incident se produit, les analystes peuvent rapidement identifier les dispositifs hôtes affectés. Ils peuvent plus facilement enquêter pour déterminer la nature de l'attaque et si elle a réussi.
Un SIEM peut également communiquer avec d'autres contrôles de sécurité du réseau, tels que les pare-feu ou les points d'application NAC, pour leur demander de bloquer les activités malveillantes. Les flux de renseignements sur les menaces peuvent également permettre aux SIEM de prévenir les attaques de manière proactive.
Les équipes de sécurité qui déploient la triade NDR, EDR et SIEM sont en mesure de répondre à un plus grand nombre de questions lorsqu'elles réagissent à un incident ou recherchent des menaces. Par exemple, elles peuvent répondre aux questions suivantes
Selon le Forum économique mondial, les pertes économiques dues à la cybercriminalité devraient atteindre 3 000 milliards de dollars d'ici 2020. Les États-nations et les criminels profitent d'un monde numérique sans frontières, mais en adoptant une triade nucléaire de visibilité, un SOC peut protéger les données sensibles et les opérations vitales de son organisation.