Un centre opérationnel de sécurité (SOC) est une fonction centralisée au sein d'une entreprise qui s'appuie sur le personnel, les processus et la technologie de la sécurité informatique pour surveiller et améliorer la sécurité d'une organisation tout en prévenant, détectant, analysant et répondant aux incidents de cybersécurité.
Aujourd'hui, le SOC est essentiellement la plaque tournante qui recueille les données de connexion de l'ensemble de l'infrastructure informatique d'une organisation, y compris ses réseaux, ses dispositifs, ses appareils, ses bases de données et d'autres actifs informatiques dans toutes les régions du monde. L'augmentation des cybermenaces avancées rend critique la collecte de données provenant de diverses sources, car chaque élément de données peut fournir un aperçu des comportements malveillants sur le réseau.
Malheureusement, la plupart des SOC ont du mal à empêcher les cybercriminels, même les moins avertis, d'entrer dans l'entreprise. Les analystes SOC et les autres professionnels de la sécurité informatique doivent se défendre contre des logiciels malveillants complexes et en constante évolution, contre des États-nations disposant de centaines de pirates, contre des menaces internes et contre des employés mal formés qui sont la proie d'attaques par hameçonnage.
Comme nous l'entendons régulièrement dans le secteur de la sécurité informatique, les criminels ne doivent trouver qu'un seul moyen d'entrer, tandis que les bons éléments du SOC doivent défendre d'innombrables moyens d'entrer, limiter les dommages et, plus difficile encore, trouver et supprimer le logiciel malveillant ou le code malveillant qui s'est infiltré dans les systèmes.
Dans ce blog, nous allons explorer les qualités et les fonctions d'un SOC ainsi que la façon dont les organisations peuvent tirer parti de ces équipes pour accroître leur maturité en matière de sécurité.
Fondamentalement, la responsabilité du SOC est de se défendre contre les activités non autorisées au sein des réseaux informatiques, y compris la surveillance continue de l'activité, la détection des menaces, l'analyse des menaces (telle que l'analyse des tendances et des modèles), et les responsabilités de réponse et de remédiation. Cependant, le SOC, en particulier les professionnels et les équipes de réponse aux incidents, a connu toute une série de titres et d'acronymes.
Passons-les en revue :
Le SOC est généralement dirigé par un responsable SOC et peut comprendre des répondeurs aux incidents, des analystes SOC (niveaux 1, 2 et 3), des chasseurs de menaces et des responsables de la réponse aux incidents. Le SOC rend compte au CISO, qui à son tour rend compte au CIO ou directement au CEO.
Les SOC sont en constante évolution pour faire face aux changements dans le paysage des menaces, notamment :
Aujourd'hui, les SOC s'articulent autour d'une architecture en étoile, dans laquelle la technologie de gestion des informations et des événements de sécurité (SIEM) regroupe et met en corrélation les journaux et autres données provenant des actifs et des flux de renseignements sur les menaces.
Les rayons de ce modèle comprennent une variété de technologies, notamment
Les responsabilités d'un SOC typique comprennent les tâches ou les éléments suivants :
Parmi ces responsabilités, la collecte, la normalisation et l'analyse des données sont celles qui prennent le plus de temps. Les journaux, les flux de renseignements sur les menaces et les autres données liées à la sécurité submergent souvent les analystes de sécurité du SOC, qui collectent, analysent et archivent des dizaines ou des centaines de millions d'événements de sécurité par jour.
Pour chaque incident légitime, il y a des milliers de fausses alarmes. En outre, toutes les violations de données sont des incidents de sécurité, mais tous les incidents de sécurité ne sont pas des violations de données. Pour chaque violation, il y a généralement des centaines d'incidents. Pour chaque incident, il y a des milliers d'événements. En outre, les pare-feu, les IDS/IPS et les SIEM sont bruyants, ce qui signifie qu'ils alertent constamment les analystes sur des événements de sécurité que ces derniers doivent examiner pour écarter la possibilité d'un incident.
Explorons une hypothèse.
Supposons que le SIEM émette une alerte indiquant que quelqu'un essaie d'accéder à un système ou à une application auquel il ne devrait pas avoir accès. L'alerte devient alors un événement. L'analyste SOC va enquêter sur l'événement, en essayant de déterminer si l'acte était malveillant. Si l'analyste estime que l'adresse IP est suspecte ou qu'il pense être attaqué, le système transmettra probablement l'incident à un analyste de niveau supérieur ou à l'équipe de réponse aux incidents.
Comme nous l'avons dit précédemment, les SOC enquêtent sur de nombreux incidents et sont donc réticents à imposer des contre-mesures immédiatement, car il y a généralement des conséquences négatives, notamment :
En outre, il est parfois plus efficace de surveiller l'adversaire que d'effectuer une analyse statique des systèmes compromis. Comme il existe une grande variété d'attaques, les analystes devront recueillir des informations de base pour comprendre la menace. Savoir s'il y a des entrées suspectes dans le réseau, des tentatives de connexion excessives, de nouveaux comptes d'utilisateurs inexpliqués ou de nouveaux fichiers inattendus détermine la manière dont l'équipe doit réagir.
Voici quatre recommandations concrètes pour améliorer l'efficacité de votre SOC.
Un élément important du travail d'un SOC est de maintenir une compréhension de la posture défensive de l'organisation et de la communiquer à l'entreprise. Dans la plupart des organisations, les actifs et les défis informatiques sont en constante évolution. Les SOC doivent constamment évaluer leur position en matière de risque de sécurité à mesure que la technologie de l'organisation évolue, que les menaces changent et que les vulnérabilités apparaissent. En fin de compte, qu'elle utilise CIS 20, ISO, NIST ou un autre cadre de contrôle basé sur le risque, l'entreprise doit comprendre ses faiblesses et savoir comment y remédier.
En comprenant les risques, la posture de sécurité et les faiblesses de l'entreprise, le SOC peut désormais cesser de patcher au hasard et patcher en fonction de la valeur du système, de la criticité de l'application et de la gravité de la vulnérabilité. Le personnel du SOC peut alors devenir des opérateurs plus efficaces et plus efficients, parce qu'il dispose en permanence d'une liste hiérarchisée de ce qu'il doit faire pour renforcer la sécurité de l'organisation et réduire le risque global.
La gestion des risques et la compréhension de la posture de sécurité ne se limitent pas à l'inventaire des actifs, à l'évaluation des vulnérabilités et à la hiérarchisation des correctifs. Trois domaines de l'entreprise peuvent être pris en compte dans le contrôle des risques et l'évaluation de la posture de sécurité :
Après avoir recueilli les informations nécessaires à l'évaluation de la maîtrise des risques et de la posture de sécurité, commencez par répondre aux questions suivantes :
Un SIEM rassemble les données des journaux provenant de dispositifs disparates dans une couche de gestion, qui offre une visibilité et la capacité de détecter les violations de sécurité et d'y répondre efficacement. Un SIEM trie les journaux pour vous en analysant toutes les données de journal et, grâce à des règles de corrélation, à l'analyse comportementale et à l'apprentissage automatique, il filtre et extrait les événements dignes d'intérêt.
Un SIEM déclenche généralement une alarme en cas de tentatives de connexion par force brute, de trafic en provenance et à destination de sources suspectes, de violations de politiques et de bien d'autres problèmes.
Ces faux positifs se répartissent en trois catégories :
La proposition de valeur de la technologie était de rendre les analystes SOC plus productifs en collectant, normalisant, évaluant et rapportant de manière automatisée afin que les analystes de niveau 1 puissent traiter uniquement les événements importants. Malheureusement, ce n'est pas toujours le cas. Un SIEM doit être correctement géré et optimisé par des professionnels de la cybersécurité possédant une expertise approfondie.
S'il y a plus d'alertes en une journée que le personnel de sécurité ne peut en examiner, il faut alors mettre en œuvre un certain niveau de suppression qui portera les éléments les plus importants à leur attention le plus rapidement possible. La réduction du nombre d'alertes émanant de votre SIEM permet à votre équipe de sécurité d'être plus efficace dans l'utilisation de son temps et de se concentrer sur les problèmes importants et de les résoudre rapidement lorsqu'ils surviennent.
Un système de détection d'intrusion (IDS) analyse et surveille le trafic réseau pour détecter les signes indiquant que des attaquants utilisent une cybermenace connue pour s'infiltrer dans votre réseau ou y voler des données. Les systèmes IDS comparent l'activité actuelle du réseau à une base de données de menaces connues afin de détecter plusieurs types de comportements tels que les violations de la politique de sécurité, les logiciels malveillants et les scanners de ports. Il convient de noter que l'IDS est une technologie passive qui ne peut qu'identifier une attaque, et non l'arrêter comme le fait un SIEM.
Un système de prévention des intrusions (IPS) se trouve dans la même zone du réseau qu'un pare-feu, entre le monde extérieur et le réseau interne. L'IPS refuse de manière proactive le trafic réseau sur la base d'un profil de sécurité si ce paquet représente une menace connue pour la sécurité. L'IPS peut bloquer le trafic qui pourrait être malveillant.
Chaque jour, votre IDS/IPS peut découvrir des milliers de menaces qui passent le pare-feu ou tentent de quitter le réseau. Il s'agit d'un atout fantastique, mais la difficulté réside dans le fait qu'un analyste doit mettre à jour de manière proactive l'IDS/IPS avec les menaces et les politiques et le surveiller 24 heures sur 24, 7 jours sur 7 et 365 jours par an.
Selon la fréquence à laquelle une organisation est ciblée, les dispositifs IDS/IPS qui ne sont pas réglés correctement peuvent générer des milliers ou des millions d'alertes faussement positives ainsi que des réponses faussement négatives à de vraies menaces. Il est évident que, comme pour les alertes du SIEM, l'analyste ne peut pas faire son travail efficacement, identifier les vraies menaces et prendre des mesures immédiates avec un tel volume.
En réalité, si vos dispositifs de sécurité envoient continuellement de fausses alertes, les analystes les ignoreront probablement, tout comme les alertes réellement positives. De nombreuses entreprises ont été victimes d'une intrusion parce que leurs équipes de sécurité avaient ignoré une alerte.
Vous voulez que des alarmes soient déclenchées en cas de logiciels malveillants, d'attaques sur le web et de compromission de données, mais pas en cas d'alarmes liées au type de trafic, à l'équipement ou à des logiciels non malveillants. Le modèle de défense en profondeur, qui comprend des couches de technologies de sécurité, comme les SIEM et les IDS/IPS, n'est pas à l'épreuve des balles. Chaque technologie peut déclencher une alarme, mais si les analystes l'ignorent, l'attaque réussira.
Le SOC est la solution de sécurité centrale de votre stratégie et, s'il est correctement doté en personnel et en ressources, il peut réduire considérablement les risques. La clé est d'assembler les bonnes technologies avec l'expertise adéquate pour les utiliser efficacement. Sinon, vos analystes se noieront dans les faux positifs et les données inintelligibles.
Les organisations qui n'ont pas les compétences internes pour gérer une telle opération devraient faire appel à un fournisseur de services de sécurité gérés qui peut servir d'extension à l'équipe. Cela permet aux entreprises d'accéder à l'expertise nécessaire sans avoir à investir des sommes considérables dans le recrutement et la dotation en personnel de professionnels de la cybersécurité très convoités.