Les entreprises font face à de plus en plus de données de sécurité en provenance de leurs systèmes, des plateformes et applications disparates sur l’état du réseau, les menaces potentielles et les comportements suspects. Au contraire, les centres d’opérations de sécurité (SOC) et les équipes de réponse aux incidents doivent chercher à atténuer l’impact d’une telle profusion d’informations pour accélérer la prise de décision pour une meilleure gestion des opérations de sécurité, des vulnérabilités et de la réponse aux incidents.

À cet effet, de nombreuses entreprises introduisent davantage de renseignements, tant sur les menaces que sur les vulnérabilités, et investissent dans des outils analytiques de détection comportementale.  Loin d’améliorer le processus décisionnel, ces pratiques ne font que submerger les équipes qui finissent parfois par négliger les alertes. Pour leur permettre de prendre de meilleures décisions plus rapidement, les entreprises peuvent suivre 5 étapes simples :

Étape 1 : Élever la hiérarchisation des alertes au rang de priorité

Le fait de séparer le probable du possible en fonction du contexte aide les analystes à distinguer une alerte hautement prioritaire d’une autre, et donc d’établir des priorités. La hiérarchisation est essentielle. À cet égard, le National Institute of Standards and Technology (NIST) déclare dans son guide de gestion des incidents de sécurité informatique (Computer Security Incident Handling Guide) que « la hiérarchisation est peut-être la décision la plus critique en matière de gestion des incidents ». La hiérarchisation s’applique non seulement à la réponse aux incidents, mais aussi à toutes les alertes critiques. La capacité à établir des priorités offre aux analystes la marge de manœuvre dont ils ont besoin pour se concentrer sur ce qui compte vraiment, en traitant en premier lieu les alertes critiques.

Étape 2 : Obtenir des informations contextuelles

Le tri des alertes réduit le phénomène de désensibilisation en permettant de repérer rapidement celles qui sont les plus prioritaires. La meilleure façon d’y parvenir est d’intégrer des informations contextuelles. Le fait de disposer du bon contexte aide les analystes à séparer les alertes présentant un risque immédiat de celles comportant un risque élevé, mais qui peuvent être traitées ultérieurement.

L’un des meilleurs moyens d’obtenir des informations contextuelles est d’authentifier les indicateurs de sécurité internes (indicateurs de compromission et informations sur les renseignements) et de les agréger avec des sources externes de renseignements sur les menaces. Malheureusement, la plupart des entreprises n’intègrent ces renseignements qu’après avoir classé un événement comme suspect. Cette stratégie est contre-productive dans la mesure où les renseignements sur les menaces fournissent un contexte utile bien avant qu’un événement ne soit jugé suspect.

Des informations contextuelles pertinentes aident le SOC et les équipes de réponse aux incidents à distinguer les alertes possibles ou probables. Autrement, tout est considéré comme possible, ce qui place l’ensemble des alertes hautement prioritaires sur un même pied d’égalité. Par exemple, une alerte d’activité sortante anormale émanant du serveur de développement d’une banque suggérera un risque possible nécessitant des investigations plus poussées, qu’il s’agisse d’un événement malveillant ou bénin. En revanche, l’intégration de renseignements sur les menaces pourra indiquer que les adresses IP renvoient à des sites de commande et de contrôle (C&C) visant explicitement les entreprises de services financiers, d’où un risque probable exigeant un blocage et une réponse aux incidents immédiats.

Étape 3 : Améliorer la prise de décision

La réduction du bruit et l’aptitude à distinguer les événements hautement prioritaires des autres permettent aux analystes de la sécurité de mieux cibler leurs efforts, sans risque de désensibilisation aux alertes. Avec une approche plus ciblée, les analystes prennent de meilleures décisions. C’est là qu’intervient le principe d’orchestration d’équipe. Chaque membre de l’équipe doit s’assurer qu’il partage la même analyse de la situation, des risques, de l’impact et des prochaines étapes.

La coordination d’équipe constitue un défi majeur pour les responsables de la sécurité et de la gestion des risques. Pour le relever, certaines entreprises introduisent des playbooks dans leurs activités SOC et de réponse aux incidents. Ces playbooks décrivent les étapes essentielles pour passer de la détection d’un événement suspect à la classification, l’analyse et la réponse. Un playbook est un modèle de flux permettant d’exécuter des étapes reproductibles dans le cadre de la réponse aux incidents. Ces modèles se révèlent extrêmement utiles pour définir et, dans certains cas, automatiser les différentes étapes du processus. Cependant, les playbooks sont des solutions statiques et leur capacité à faciliter la prise de décision en équipe est limitée, car il leur manque un élément clé : des renseignements situationnels en temps réel.

Étape 4 : Accroître l’efficacité grâce à du renseignement situationnel

Il y a une différence entre faire en sorte que tout le monde soit sur la même longueur d’onde et s’assurer que chacun dispose des informations dont il a besoin pour accomplir sa mission. Par exemple, un analyste de SOC recherchera des informations sur les menaces actives en circulation dans le monde, celles connues de l’entreprise et tous les indicateurs uniques sur les auteurs potentiels de menaces, en privilégiant les étapes de reconnaissance, d’armement, de livraison et d’exploitation de la cinématique d’une attaque (Cyber Kill Chain). Un analyste chargé de la réponse aux incidents se concentrera pour sa part sur les indicateurs de compromission (IoC) liés aux étapes d’exploitation, d’installation, de commande et de contrôle, et d’actions sur objectifs de la cinématique. Même si ces deux membres d’équipe travaillent sur le même problème, leurs besoins en matière de renseignements sont différents, bien que liés.

Ces renseignements différents, mais connexes, sont appelés « renseignement situationnel », l’enjeu étant de fournir les bonnes informations à la bonne personne au bon moment. Le renseignement situationnel est obtenu en regroupant les données générées par l’ensemble des dispositifs de sécurité, à savoir les solutions SIEM, systèmes de détection/prévention des intrusions (IDS/IPS), endpoints, systèmes de détection d’intrusion hôte (HIDS) et pare-feu, et en les intégrant aux renseignements sur les menaces. L’objectif est de fournir des informations adaptées à la situation aux membres de l’équipe qui analysent les données. Le renseignement situationnel leur apporte les informations exploitables dont ils ont besoin pour travailler plus efficacement et collaborativement. Tous les membres de l’équipe disposent alors des bonnes informations au bon moment, et sont sur la même longueur d’onde. C’est ce que nous appelons la « compréhension universelle ». Il s’agit du point culminant dans la dynamique d’une équipe, lorsque celle-ci atteint sa pleine efficacité.

Étape 5 : Collaborer pour prendre de meilleures décisions, plus rapidement

Jusqu’à présent, nous avons vu les étapes nécessaires à une meilleure prise de décision. Mais comment les entreprises peuvent-elles prendre de meilleures décisions plus rapidement ?

C’est là qu’entre en jeu l’espace de travail collaboratif d’investigation. Il reprend le concept du playbook, mais le rend dynamique pour refléter la prise de décision de l’équipe en temps réel et le met en œuvre de manière automatisée. Un framework et un flux sous-jacent sont mis en place pour suivre en temps réel les actions et interactions des membres de l’équipe. Cet espace de travail collaboratif transparent leur permet de prendre de meilleures décisions plus rapidement en leur fournissant les avantages suivants :

  • Vision globale : une perspective universelle montrant toutes les équipes et tous les membres d’équipe impliqués dans l’investigation, ainsi que leurs activités, à l’échelle de l’entreprise, par région ou spécialité
  • Connaissances ciblées : garder à l’esprit la situation dans son ensemble grâce à des connaissances globales cohérentes et partagées, tout en soutenant les efforts localisés.
  • Tests et communication : les membres d’équipe peuvent travailler en parallèle sur leurs hypothèses, tester leurs théories, puis partager les résultats avec l’ensemble de l’équipe.

Face à l’afflux permanent d’alertes hautement prioritaires, les équipes de sécurité sont soumises à un phénomène croissant de désensibilisation. La seule façon pour le SOC et les équipes de réponse aux incidents d’éviter cette dernière est d’introduire du renseignement sur les menaces intégrant une notion de contexte lié à l’organisation, ce qui facilite la hiérarchisation et le tri. Cette approche favorise une meilleure prise de décision, mais les membres d’équipe doivent aussi être en phase et synchronisés. Il s’agit d’un défi pour de nombreuses équipes dispersées et spécialisées. Elles doivent pouvoir fonctionner de manière cohérente afin que chacun soit sur la même longueur d’onde, tout en continuant à se concentrer sur son rôle spécifique dans le processus de prise de décision. D’où la nécessité de renseignement situationnel et d’un environnement de travail collaboratif transparent. Le respect des consignes énumérées ci-avant permet aux équipes de bénéficier d’une compréhension universelle, une condition essentielle pour prendre de meilleures décisions plus rapidement.
___________________

Par Yann Le Borgne, Directeur technique Europe, chez ThreatQuotient