Demandez à n’importe quel analyste SOC quelles sont ses plus grandes difficultés, et la précision des alertes en fera partie. Ces professionnels s’efforcent, non sans mal, d’isoler les indicateurs de menaces préoccupants, en écartant les faux positifs. Scientifiques et techniciens qualifient de « rapport signal-bruit » cet équilibre entre les données pertinentes et inutiles. Le signal représente les données importantes, et le bruit tout le reste.
L’amélioration du rapport signal-bruit pose également problème aux équipes chargées d’apporter une réponse aux incidents, qui sont confrontées à un trop-plein d’informations. Submergées par des données toujours plus nombreuses, elles ont bien du mal à faire le tri pour isoler les véritables menaces. Il leur arrive d’échouer, ce qui peut avoir des conséquences parfois désastreuses.
Le problème
Les SOC font face à un double problème. Le premier concerne le volume des données, disponibles en très grandes quantités. Chaque année, leur volume augmente à mesure que la télémétrie des réseaux s’améliore. Il en résulte une profusion d’alertes, que l’on peut qualifier de « signaux candidats ». Il s’agit de données intéressantes, susceptibles de mériter un examen plus approfondi.
À cela s’ajoute un second problème : la pénurie de ressources. Les S.O.C peinent à recruter pour faire face au flux de données provenant d’infrastructures de plus en plus complexes. Faute de compétences manuelles, nombre de ces équipes sont débordées et incapables d’extraire les informations dont elles ont besoin parmi les données qui affluent.
Le réflexe face à une insuffisance de signal consiste à ajouter des données supplémentaires, ce qui, pour nombre de SOC, signifie acheter davantage d’outils et de capacités télémétriques, généralement des solutions EDR (Endpoint Detection & Response) ou EPP (Endpoint Protection Platform).
Mais cette approche n’est pas la bonne. De nombreuses plateformes de réponse aux incidents au sein des SOC sont hétérogènes et comprennent des outils acquis au fil du temps auprès de différents fournisseurs qui présentent une faible interopérabilité. Il est par conséquent difficile d’avoir une vue d’ensemble du processus de réponse aux incidents. En outre, dans la plupart des cas, les opérateurs sont dans l’incapacité de d’échanger entre eux des observations télémétriques intéressantes.
Il est possible que l’extension de ces plateformes produise des signaux plus pertinents mais cela n’aidera en rien les SOC à les discerner. Bien au contraire, cela créera plus de « bruit », dans lequel ces signaux seront noyés. Générer plus de données ne fera qu’amplifier le problème.
En cas de filtrage médiocre des signaux, les opérateurs sont dans l’incertitude et ne voient pas les attaques nécessitant une intervention urgente. Les conséquences peuvent être catastrophiques.
Le remède
Les SOC doivent plutôt s’attaquer au problème sous-jacent : trouver de meilleurs moyens de détecter les bons signaux dans les données existantes. Dans la pratique, cela veut dire réduire le nombre de signaux candidats. Les SOC doivent présenter à leurs analystes moins d’alertes de sorte que ces derniers puissent se concentrer sur ce qui importe vraiment.
Un meilleur rapport signal-bruit viendra de l’intégration d’une chaîne d’outils d’un bout à l’autre. Il s’agit de mettre en place des outils qui fonctionnent de concert, sans faire double emploi, et tous en mesure de s’échanger des données de manière fluide, tout au long de l’ensemble du cycle (détection, confinement, neutralisation, remédiation et analyse post-incident.)
Enfin, elle permet aux SOC de mieux automatiser la détection, l’analyse et la notification des incidents. Cette automatisation est un élément clé du processus de corrélation des événements.
Cette approche réduit le bruit provenant de différents outils redondants et élimine ainsi les signaux fantômes risquant de distraire des opérateurs débordés. Par ailleurs, la combinaison événements/alertes fournit des éléments plus consistants, visibles et faciles à surveiller. Les analystes bénéficient ainsi d’une vue générale sur les signaux candidats sans avoir à analyser les événements mineurs et à les comparer manuellement.
Enfin, cette approche permet aux SOC de mieux automatiser la détection, l’analyse et le signalement des incidents.
Une chaîne d’outils détecte les signaux en amont et les soumet à plusieurs phases d’analyse. Les SOC peuvent ainsi confirmer et faire remonter les signaux ou bien les écarter s’ils se révèlent bénins. Cela permet d’atténuer automatiquement de nombreux incidents sans avoir à alerter des opérateurs humains, qui se focalisent ainsi sur les alertes qui nécessitent vraiment leur attention.
Le résultat
Grâce à une chaîne d’outils intégrée, le nombre et la durée des investigations seront réduits. Les SOC y gagneront de meilleurs résultats, à travers un confinement plus rapide des incidents et une réduction des temps de réponse. Dans l’idéal, cela empêchera les hackers de se rapprocher des infrastructures ou dans le pire des cas de réduire le temps passé par des intrus dans le système et donc de limiter les conséquences de l’attaque.
Face à des incidents de cybersécurité à évolution rapide, un environnement de données moins encombré peut faire la différence entre le confinement d’un incident avant qu’il ne cause trop de dégâts.
Cette démarche d’optimisation doit intervenir le plus tôt possible dans le processus de réponse aux incidents. Plus longtemps le SOC laissera traîner des signaux candidats moins pertinents, plus ceux-ci prolifèreront, et plus il sera difficile de discerner ce qui est important. Le filtrage de ces signaux le plus en amont possible libère du temps aux analystes qui peuvent ainsi se concentrer sur les signaux importants.
Dans cette optique, l’heure est venue de revoir les chaînes de processus afin d’y rechercher de possibles améliorations.