La triade de visibilité SOC, composée de détection et réponse aux incidents (NDR), Endpoint Detection and Response (EDR) et Security Information and Event Management (SIEM), représente une approche stratégique pour obtenir une visibilité complète dans le paysage numérique d'une organisation.
Les organisations qui intègrent les solutions NDR, EDR et SIEM ont signalé une réponse 50 % plus rapide aux cyberincidents. (Source : Gartner)
80 % des violations réussies impliquent des informations d'identification privilégiées, ce qui souligne la nécessité d'une surveillance complète des réseaux et des points d'accès. (Source : Forrester)
Votre centre opérationnel de sécurité voit-il les attaques en cours ?
Comme le montre la cybercriminalité sans précédent, les défenses de sécurité traditionnelles ont perdu de leur efficacité. Les menaces sont furtives, elles agissent sur de longues périodes, elles sont dissimulées dans le trafic crypté ou cachées dans des tunnels. Face à ces menaces de plus en plus sophistiquées, les équipes de sécurité ont besoin d'une visibilité rapide des menaces dans leurs environnements.
"La sophistication croissante des menaces oblige les organisations à utiliser de multiples sources de données pour détecter les menaces et y répondre. Les technologies basées sur les réseaux permettent aux professionnels techniques d'obtenir rapidement une visibilité sur les menaces dans un environnement entier sans utiliser d'agents."
Source : Gartner, Applying Network-Centric Approaches for Threat Detectionand Response, Augusto Barros et al, 18 mars 2019, ID G0037346.
Pourquoi votre SOC a-t-il besoin de la triade de la visibilité ?
Selon l'étude, "les outils modernes d'opérations de sécurité peuvent également être représentés par une analogie avec la "triade nucléaire", un concept clé de la guerre froide. Cette triade se composait de bombardiers stratégiques, de missiles balistiques intercontinentaux (ICBM) et de sous-marins lanceurs d'engins. Comme le montre l'image ci-dessus, un SOC moderne dispose de sa propre triade nucléaire de visibilité :
SIEM/UEBA permet de collecter et d'analyser les journaux générés par l'infrastructure informatique, les applications et d'autres outils de sécurité.
Endpoint permet de capturer l'exécution, les connexions locales, les modifications du système, les activités de la mémoire etd 'autres opérations à partir des points d'extrémité.
La détection et la réponse centrées sur le réseau (NTA, NFT et IDPS) sont assurées par les outils axés sur la capture et/ou l'analyse du trafic réseau, tels qu'ils sont couverts par cette recherche.
Cette approche à trois volets permet aux SOC d'accroître la visibilité des menaces, la détection, la réponse, l'investigation et les pouvoirs de remédiation.
Le rôle des détection et réponse aux incidents
Les métadonnées du réseau constituent la source la plus fiable pour détecter les menaces. Seul le trafic sur le fil révèle les menaces cachées avec une fidélité et une indépendance totales. Les sources à faible résolution, telles que les journaux d'analyse, ne vous montrent que ce que vous avez vu, et non les comportements fondamentaux des menaces que les attaquants ne peuvent tout simplement pas éviter lorsqu'ils espionnent, se répandent et volent.
Une solution NDR recueille et stocke les métadonnées clés du réseau et les complète par un apprentissage automatique et des analyses avancées pour détecter les activités suspectes sur les réseaux d'entreprise. La NDR construit des modèles qui reflètent le comportement normal et les enrichit avec des métadonnées historiques et en temps réel.
La NDR fournit une vue aérienne des interactions entre tous les appareils du réseau. Les attaques en cours sont détectées, classées par ordre de priorité et mises en corrélation avec les dispositifs hôtes compromis.
NDR offre une vue à 360 degrés à l'échelle de l'entreprise, depuis les charges de travail des centres de données publics cloud et privés jusqu'aux appareils des utilisateurs et de l'Internet des objets.
Le rôle de endpoint dans la détection et la réponse
Endpoint Les compromissions ne sont que trop fréquentes, qu'elles soient dues à des logiciels malveillants, à des vulnérabilités non corrigées ou à des utilisateurs inattentifs. Les appareils mobiles peuvent être facilement compromis sur les réseaux publics, puis reconnectés au réseau de l'entreprise, où l'infection se propage. Les appareils de l'internet des objets (IoT) sont notoirement peu sûrs.
Une solution EDR offre des capacités plus sophistiquées qu'un antivirus traditionnel, avec un suivi détaillé des activités malveillantes sur un site endpoint ou un appareil hôte. L'EDR fournit une vue en temps réel, au niveau du sol, des processus en cours d'exécution sur un hôte ou un appareil et des interactions entre eux.
L'EDR capture l'exécution, les activités de la mémoire ainsi que les changements, les activités et les modifications du système. Cette visibilité aide les analystes de la sécurité à repérer des modèles, des comportements, des indicateurs de compromission ou d'autres indices cachés. Ces données peuvent être mises en correspondance avec d'autres flux de renseignements sur la sécurité afin de détecter les menaces qui ne peuvent être vues que de l'intérieur de l'hôte.
Depuis des décennies, les équipes de sécurité s'appuient sur les SIEM comme tableau de bord des activités de sécurité dans leur environnement informatique. Les SIEM collectent des informations sur les journaux d'événements provenant d'autres systèmes, fournissent une analyse des données, une corrélation des événements, une agrégation et des rapports.
L'intégration des détections de menaces provenant de l'EDR et de la NDR peut faire d'un SIEM un outil encore plus puissant, permettant aux analystes de la sécurité d'arrêter les attaques plus rapidement. Lorsqu'un incident se produit, les analystes peuvent rapidement identifier les dispositifs hôtes affectés. Ils peuvent plus facilement enquêter pour déterminer la nature de l'attaque et si elle a réussi.
Un SIEM peut également communiquer avec d'autres contrôles de sécurité du réseau, tels que les pare-feu ou les points d'application NAC, pour leur demander de bloquer les activités malveillantes. Les flux de renseignements sur les menaces peuvent également permettre aux SIEM de prévenir les attaques de manière proactive.
La triade de visibilité du SOC : une approche intégrée pour détecter et stopper les cyberattaques
Les équipes de sécurité qui déploient la triade NDR, EDR et SIEM sont en mesure de répondre à un plus grand nombre de questions lorsqu'elles réagissent à un incident ou recherchent des menaces. Par exemple, elles peuvent répondre aux questions suivantes
Un autre actif a-t-il commencé à se comporter de manière étrange après avoir communiqué avec l'asset potentiellement compromis ?
Quel service et quel protocole ont été utilisés ?
Quels sont les autres actifs ou comptes susceptibles d'être concernés ?
Un autre équipement a-t-il contacté la même adresse IP de commande et de contrôle externe ?
Le compte d'utilisateur a-t-il été utilisé de manière inattendue sur d'autres appareils ?
Ensemble, ils permettent des réponses rapides et bien coordonnées entre toutes les ressources, améliorent l'efficacité des opérations de sécurité et réduisent les temps d'attente qui, en fin de compte, augmentent les risques pour l'entreprise.
Les États-nations et les criminels profitent d'un monde numérique sans frontières, mais en adoptant une triade nucléaire de visibilité, un SOC peut protéger les données sensibles et les opérations vitales de son organisation.
Contactez-nousdès aujourd'hui pour savoir comment nous pouvons vous aider à mettre en œuvre une stratégie efficace de triade de visibilité SOC et à renforcer la cyberdéfense de votre organisation.
Toutes les ressources sur la triade de la visibilité du SOC
La triade de visibilité SOC est un modèle de cybersécurité qui combine trois technologies essentielles -DR, EDR et SIEM- pour fournir une visibilité complète sur le réseau et les terminaux d'une organisation, facilitant ainsi la détection, l'investigation et la réponse aux menaces.
Comment détection et réponse aux incidents (NDR) contribue-t-il à la triade ?
Les outils NDR surveillent le trafic et les comportements sur le réseau afin de détecter et de répondre aux menaces qui contournent les défenses périmétriques traditionnelles. La NDR fournit une analyse en temps réel des communications réseau, ce qui permet d'identifier les activités suspectes et les menaces potentielles.
Quel est le rôle de Endpoint Detection and Response (EDR) ?
Les solutions EDR se concentrent sur la surveillance de endpoint et des comportements des appareils, la détection des activités malveillantes et la fourniture d'outils d'investigation et de réponse. L'EDR est essentiel pour identifier et atténuer les menaces sur les appareils des utilisateurs, les serveurs et les postes de travail.
Comment la gestion des informations et des événements de sécurité (SIEM) améliore-t-elle les capacités du SOC ?
Les systèmes SIEM collectent, analysent et mettent en corrélation des données provenant de diverses sources de l'environnement informatique, y compris les journaux des dispositifs de sécurité, du matériel de réseau et des applications. Le SIEM fournit une plateforme centralisée pour la surveillance de la sécurité, les alertes et les rapports, ce qui permet aux SOC de détecter plus efficacement les menaces complexes.
Pourquoi l'intégration de la NDR, de l'EDR et du SIEM est-elle importante pour les SOC ?
L'intégration de la NDR, de l'EDR et du SIEM est essentielle pour obtenir une vision holistique de la posture de sécurité, car elle permet la corrélation des données entre les réseaux, les points d'extrémité et les journaux. Cette intégration améliore la capacité de détection, d'investigation et de réponse aux menaces dans l'ensemble de l'écosystème informatique.
Comment les équipes de sécurité peuvent-elles mettre en œuvre efficacement la triade de visibilité du SOC ?
Une mise en œuvre efficace implique de sélectionner les bons outils qui s'intègrent parfaitement les uns aux autres et à l'infrastructure informatique existante, de définir des processus clairs pour la détection et la réponse aux menaces, et de former en permanence les analystes du SOC sur les dernières technologies et les paysages de cybermenaces.
Quels sont les défis auxquels les SOC pourraient être confrontés en adoptant la Triade de la visibilité ?
Les défis à relever sont notamment la complexité de l'intégration de systèmes disparates, le risque de surcharge d'informations dû au volume élevé de données et d'alertes, et la nécessité de disposer d'un personnel qualifié pour gérer et interpréter les données de manière efficace.
Comment la triade de visibilité du SOC améliore-t-elle la détection des menaces et les temps de réponse ?
La triade améliore la détection des menaces et les temps de réponse en offrant une visibilité complète sur tous les aspects de l'environnement informatique, ce qui permet d'identifier plus rapidement les anomalies et de coordonner plus rapidement les efforts de réponse entre les équipes de sécurité du réseau et de endpoint .
La triade de visibilité du SOC peut-elle contribuer à la conformité et à la gestion des risques ?
Oui, la triade de visibilité du SOC peut contribuer de manière significative à la conformité et à la gestion des risques en fournissant des capacités de journalisation, de surveillance et de reporting détaillées qui soutiennent les exigences réglementaires et facilitent l'identification et l'atténuation des risques.
Quelles tendances futures pourraient influencer l'évolution de la triade de la visibilité du SOC ?
Les tendances futures comprennent l'intégration de l'intelligence artificielle et de l'apprentissage automatique pour la détection et la réponse automatisées aux menaces, l'adoption de solutions basées sur cloud pour l'évolutivité et la flexibilité, et l'importance croissante des réglementations en matière de protection de la vie privée qui influencent les pratiques de gestion des données.
