Pourquoi vous avez besoin d’un mélange sain d’analyses de sécurité pour enquêter sur les menaces?

Pourquoi vous avez besoin d’un mélange sain d’analyses de sécurité pour enquêter sur les menaces?

Une gestion efficace des menaces exige que les équipes de sécurité associent l’analyse de la sécurité à l’abondance de données générées par machine qui prévalent dans la plupart des environnements d’entreprise. Des outils tels que l’analyse du trafic réseau, la détection des points finaux, la gestion des informations et des événements de sécurité (SIEM) et l’analyse du comportement des utilisateurs (UBA) exploitent ces données et révèlent qui fait quoi dans l’environnement informatique, quand et comment il le fait. Cette combinaison de données peut aider à découvrir des menaces inconnues, mais peut également dérouter certains professionnels des opérations de sécurité qui ne sont pas familiers avec ces données lorsque les données ne sont que partiellement affichées.

Par exemple, un diagramme d’analyse des liaisons réseau – ou, plus simplement, une liste de connexions réseau – peut être très informatif, car il indique des sources de données critiques, mais il peut également être écrasant avec ses milliers de connexions brutes et ses adresses IP. Examinons quelques sources de données communes et voyons pourquoi les équipes de sécurité ont réellement besoin de les combiner pour obtenir une image complète de la détection, des enquêtes et des réponses.

5 critères de détection avancée des menaces

Les sources et les méthodes d’analyse de la sécurité peuvent être divisées en trois vues de sécurité essentielles: qui, où et quoi.

  • Les données liées au «qui», souvent qualifiées d’analyse d’utilisateur et d’accès, fournissent un aperçu des identités diverses, des activités associées et des données ou applications consultées. Récemment, la surveillance comportementale a été ajoutée à ce groupe pour aider à faire face aux menaces internes.
  • Le second groupe, «Où», est le mieux dérivé de l’analyse basée sur les points de terminaison. Ces données révèlent l’activité et les modifications sur un système spécifique (client, serveur, machine virtuelle, etc.).
  • Vous pouvez comprendre le «quoi» en utilisant l’analytique de réseau pour contrôler quelles applications, machines et utilisateurs sont actifs sur le réseau et quelles données ils accèdent à quel endroit.

Chacune de ces méthodes offre des avantages du point de vue des opérations de sécurité. Examinons maintenant cinq critères d’opérations de sécurité courants: déploiement, gestion des données, détection, renseignement de sécurité pour les enquêtes et les interventions.

  1. Déploiement

Toute solution d’analyse et la source de données associée nécessitent un certain niveau de planification avant utilisation. C’est là qu’interviennent les analyses de réseau. Les capteurs d’inspection de paquets ou de réseau peuvent être facilement déployés à un point de sortie du réseau pour fournir des informations pertinentes et rapides. Les clients peuvent même commencer par utiliser une instrumentation de flux native pour obtenir rapidement des informations sans efforts de déploiement importants.

La surveillance des points de terminaison, en revanche, est un peu plus difficile car les clients ont d’abord besoin de la technologie des agents pour extraire l’activité du système. De plus, ils peuvent avoir besoin de le stocker localement au cas où un client ou un ordinateur portable n’est pas connecté. La surveillance des utilisateurs est également cruciale car l’effort de déploiement peut nécessiter la collecte de journaux à partir de nombreuses sources, souvent avec des besoins stricts en matière de configuration, de collecte et d’interprétation de la génération de journaux.

2.Gestion de données 

L’analyse de l’utilisateur est peut-être le critère le plus simple à en juger par le volume, car les journaux sont un peu plus concis et qu’un niveau de visibilité essentiel peut être obtenu avec un volume de données relativement faible. Par exemple, un ingénieur en sécurité peut utiliser les données Active Directory (AD) pour déterminer rapidement qui a accédé à l’environnement informatique et à quel moment. Toutefois, pour la détection avancée des menaces, des solutions telles que la surveillance comportementale et la recherche de menaces, la surveillance de l’activité des utilisateurs peut devenir trop complexe, car elle nécessite de nombreuses données provenant de tous les niveaux de l’infrastructure informatique, telles que la provenance de l’utilisateur, l’existence d’anomalies sur le système client et sa comparaison avec les autres utilisateurs du même groupe.

En fin de compte, pour les analyses et la conformité de base, la surveillance des utilisateurs peut nécessiter une gestion minimale des données. Cependant, les cas d’utilisation avancés sont beaucoup plus complexes et nécessitent beaucoup de données, de rétention et de sémantique.

3. Détection

La plupart des centres d’opérations de sécurité (SOC) avancés sont régis par le temps, car une détection plus précoce réduit l’impact d’une attaque. La détection du Endpoint présente un avantage, car c’est là que la plupart des menaces avancées ou inconnues exploitent les systèmes. La détection de réseau est également une option, mais selon le cycle de vie de l’attaque, il est plus efficace de détecter, après l’exploitation, des activités telles que les mouvements latéraux ou même l’extraction de données. Lorsque vous voyez des utilisateurs se comporter anormalement, il est peut-être trop tard: leur identité est peut-être déjà compromise ou l’anomalie peut être le résultat d’une erreur humaine, difficile à analyser en vase clos.

4. Security Intelligence 

Les environnements informatiques changent continuellement et les équipes de sécurité doivent pouvoir trouver et comprendre rapidement les nouveaux angles morts. Le processus de repérage de coins d’entreprise inconnus s’appelle souvent l’intelligence de sécurité d’entreprise, indispensable lors d’une enquête.

Les analyses de réseau sont extrêmement utiles à cet égard: il vous suffit d’activer la surveillance approfondie du réseau à la périphérie du réseau pour voir l’origine des données, leur acheminement et le type de données transférées. Comme on dit, le réseau ne ment jamais. Les outils d’analyse de réseau intelligents agrègent les données et produisent un inventaire précis de qui se trouve sur le réseau et à quel moment, que vous pouvez utiliser pendant le flux de travail d’investigation. La surveillance des terminaux et des utilisateurs n’offre pas toujours cet avantage, car elle nécessite une configuration et peut même être désactivée par les adversaires.

5. Réponse à l’incident

Dès qu’une attaque est détectée, l’étape suivante consiste naturellement à réagir. En supposant que la majorité des menaces avancées actuelles soient basées sur des logiciels malveillants, la détection des points finaux est utile, mais ne dispose pas d’un nombre suffisant de vues réseau et utilisateur. C’est pourquoi vous devez utiliser l’analyse des Endpoints pour identifier et isoler l’infection, en tenant compte des vues des utilisateurs et du réseau, afin de valider le processus d’éradication et de déterminer si l’attaque a eu une incidence sur les systèmes ou les utilisateurs associés.

Augmenter la vitesse et la précision avec analyse de sécurité intégrée

Comme vous pouvez le constater, la détection de réseaux et des Endpoints est essentielle pour obtenir le niveau de visibilité sur l’activité des utilisateurs et du réseau dont les entreprises ont besoin pour réagir aux attaques. Outre l’analyse utilisateur, les équipes de sécurité ont besoin d’une combinaison saine de ces données et de la possibilité de passer rapidement d’une base à l’autre pour mener à bien une enquête.

Cela ressemble à un travail pour une solution SIEM testée au combat. Les outils les plus avancés intègrent des données sur le réseau, les Endpoints et l’activité des utilisateurs, et produisent de nombreuses formes d’analyse. Plus important encore, une solution SIEM robuste fusionne et contextualise ces sources de données pour informer le point de vue intégré et le flux de travail de l’équipe de sécurité. Ce n’est qu’avec cette image complète que les équipes de sécurité peuvent enquêter sur les attaques et y répondre avec la rapidité et la précision nécessaires pour suivre le paysage des menaces.