3 domaines clés des opérations de sécurité à surveiller et à évaluer

3 domaines clés des opérations de sécurité à surveiller et à évaluer

Les opérations de sécurité reposent sur des efforts, des outils et des processus humains. Cependant, le simple mélange de ces composants en fonction du coût des outils, de la disponibilité et de la préparation aux menaces les plus récentes ne garantit pas toujours le succès. Quels sont les principaux critères à prendre en compte lors de la mise à niveau de votre flux de travail des opérations de sécurité?

1. La vitesse

La vitesse est l’un des critères les plus importants. Si vous n’êtes pas efficace dans l’exécution de votre flux de travail, vous laissez une fenêtre plus longue aux pirates pour causer des dommages à votre réseau. Alors, où la vitesse se manifeste-t-elle dans le flux de travail traditionnel de détection, d’enquête et de réponse? Voici quelques fonctionnalités qui contribuent à la rapidité des opérations de sécurité:

  • Intégration de nouvelles données. Votre solution de gestion des événements et des informations de sécurité (SIEM) ou d’analyse de sécurité est-elle optimisée pour consommer rapidement de nouvelles données provenant de l’Internet des objets (IoT), du cloud et des plates-formes mobiles? Si vous perdez du temps lors de l’intégration des données, vous vous retrouvez avec des angles morts et une visibilité partielle.
  • Détecter les menaces dans de grands volumes de données. Vous devez pouvoir passer rapidement au crible d’énormes quantités de données produites par vos outils de sécurité et votre infrastructure informatique.
  • Extraire et construire de nouvelles informations. Créez et développez l’intelligence au quotidien, à l’heure, à chaque minute ou même chaque seconde avec de nouveaux résultats uniques.
  • Comparer et analyser les données collectées par rapport à l’intelligence.
  • Représenter les données, les métriques et les vues analysées auprès des membres de votre équipe d’exploitation.
  • Basculer entre différentes vues, liées au contexte.
  • Disposer des bonnes actions de réponse aux incidents à portée de main de vos analystes.

2. Intelligence

La prise de décision est un défi constant pour chaque centre d’opérations de sécurité (SOC). Votre équipe doit constamment décider des alertes ou des événements sur lesquels agir et ceux à mettre en veilleuse. Le renseignement de sécurité est essentiel pour que cela se produise. Explorons quelques astuces pour augmenter le niveau d’intelligence dans votre flux de travail.

  • Enrichissez votre flux de travail avec des informations internes, telles que l’identité de l’utilisateur derrière l’ID, la criticité des ressources impliquées et le type d’activité effectué par l’attaquant.
  • Développez des processus d’observation et analysez votre environnement pour comprendre les comportements normaux ou anormaux associés à un utilisateur, un système ou un réseau.
  • Générez des lignes de base de configuration connues.
  • Familiarisez-vous avec plusieurs sources de renseignements externes sur les menaces et comparez-les avec vos opérations.
  • Générez votre propre intelligence autour des actifs ou des identités potentiellement suspects. Des dérives de configuration ont-elles été détectées?

3. Précision

Bien que la vitesse et l’intelligence vous indiquent que quelque chose se passe, la précision vous permet d’agir au bon moment et au bon endroit. Voici quelques façons d’accroître la précision de votre flux de travail des opérations de sécurité.

  • Avoir des priorités pour que les membres de l’équipe du centre des opérations de sécurité (SOC) sachent quoi regarder en premier.
  • Enrichissez votre flux de travail à l’aide de métriques et d’indices de risque afin que même si plusieurs alertes de priorité similaire apparaissent, vous pouvez toujours décider de ce qui doit être prioritaire.
  • Connectez les alertes pour obtenir une image complète de l’attaque et comprendre quelles parties de l’environnement ont été compromises et doivent être nettoyées.
  • Effectuez la mise en surface de tous les actifs, utilisateurs et données associés pour obtenir un confinement complet. Au-delà des actifs traditionnels dans l’alerte, recherchez d’autres systèmes susceptibles d’avoir été affectés par une activité similaire.

Pourquoi vous devez maximiser tous les trois domaines pour améliorer les opérations de sécurité

Bien que chacun de ces critères contribue à l’efficacité globale de vos opérations de sécurité, ils s’influencent mutuellement et agissent comme des barils communicants. Si vous supprimez le niveau d’intelligence, par exemple, le niveau de précision diminuera et vice versa. En résumé, la rapidité, l’intelligence et la précision sont essentielles à la réussite des opérations de sécurité et doivent être surveillées en permanence.