Pour commencer, rappelez-vous ce qu'est une triade nuclĂ©aire. Ce terme dĂ©signe les forces armĂ©es stratĂ©giques d'un Ătat Ă©quipĂ© d'armes nuclĂ©aires. La triade comprend trois composantes: air - aviation stratĂ©gique, terre - missiles balistiques intercontinentaux, mer - porte-missiles sous-marins nuclĂ©aires.
Cher Gartner, a fait une analogie des forces armĂ©es stratĂ©giques de l'Ătat avec le centre de surveillance et de rĂ©ponse opĂ©rationnelle aux incidents (SOC), en mettant en Ă©vidence les Ă©lĂ©ments suivants de la triade SOC: informations de sĂ©curitĂ© et gestion des Ă©vĂ©nements (SIEM), analyse du trafic rĂ©seau (NTA), dĂ©tection et rĂ©ponse des points de terminaison (EDR). En regardant cette analogie, il devient Ă©vident que le SOC ne peut ĂȘtre efficace au maximum que s'il est Ă©quipĂ© de tous les composants de protection: dans «l'air», sur la «terre» et dans la «mer».
Malheureusement, aujourd'hui, la plupart des organisations n'utilisent que «l'aviation stratégique» - les systÚmes SIEM. Rarement, les «missiles balistiques intercontinentaux» - NTA, remplacent l'analyse complÚte du trafic réseau uniquement en collectant les journaux des outils de sécurité réseau standard. Et trÚs rarement est le "porteur de missiles sous-marins nucléaires" - EDR.
Dans mon article d'aujourd'hui, selon l'héritage de Gartner, je veux souligner les principales raisons de l'importance d'inclure la technologie EDR comme l'un des éléments d'un centre moderne de surveillance et de réponse rapide aux incidents.
Dans le monde de la sĂ©curitĂ© de l'information, la technologie EDR est bien plus qu'une simple protection avancĂ©e des postes de travail et des serveurs contre les menaces complexes. D'annĂ©e en annĂ©e, les emplois restent le principal objectif des attaquants et les points d'entrĂ©e les plus courants dans l'infrastructure des organisations, ce qui nĂ©cessite une attention et une protection appropriĂ©es. Et la tĂ©lĂ©mĂ©trie est une information prĂ©cieuse nĂ©cessaire pour une enquĂȘte de haute qualitĂ© sur les incidents, dont l'importance de l'accĂšs augmente encore plus avec l'avĂšnement du nouveau protocole de cryptage TLS 1.3 et sa distribution active.
L'EDR devient rapidement le moteur de l'augmentation de la maturité et de l'efficacité des SOC modernes.
Voyons pourquoi?
Visibilité supplémentaire
Tout d'abord, la technologie EDR est en mesure de donner Ă l'Ă©quipe SOC une visibilitĂ© lĂ oĂč la plupart des organisations restent aveugles aujourd'hui, car la plupart d'entre elles se concentrent sur les activitĂ©s de surveillance sur le rĂ©seau. Ces entreprises, dans le cadre du fonctionnement du centre de surveillance et de la rĂ©ponse opĂ©rationnelle aux incidents, connectent rarement ou seulement partiellement les points d'extrĂ©mitĂ© en tant que sources d'Ă©vĂ©nements dans le systĂšme SIEM. Cela est dĂ» au coĂ»t Ă©levĂ© de la collecte et du traitement des journaux de tous les points de terminaison, ainsi qu'Ă la gĂ©nĂ©ration d'un grand nombre d'Ă©vĂ©nements Ă analyser avec un niveau suffisamment Ă©levĂ© de faux positifs, ce qui conduit souvent Ă une surcharge de spĂ©cialistes et Ă une utilisation inefficace des ressources coĂ»teuses en gĂ©nĂ©ral.
Un outil spécial pour détecter les menaces complexes sur les hÎtes
Les menaces complexes et les attaques ciblĂ©es utilisant du code malveillant inconnu, des comptes compromis, des mĂ©thodes sans fichier, des applications lĂ©gitimes et des actions qui ne portent rien de suspect nĂ©cessitent une approche de dĂ©tection Ă plusieurs niveaux utilisant des technologies avancĂ©es. Selon un fournisseur ou un autre, EDR peut gĂ©nĂ©ralement inclure diverses technologies de dĂ©tection qui fonctionnent en mode automatique, semi-automatique et des outils intĂ©grĂ©s qui nĂ©cessitent de dĂ©finir les tĂąches manuellement, impliquant un personnel hautement qualifiĂ©. Par exemple, cela peut ĂȘtre: antivirus, moteur d'analyse comportementale, bac Ă sable, recherche d'indicateurs de compromis (IoC), travail avec les indicateurs d'attaque IoA, comparaison avec les techniques MITRE ATT & CK, ainsi que l'interaction automatique avec Threat Intelligence et les requĂȘtes manuelles Ă la base de donnĂ©es des menaces mondiales, analyse rĂ©trospective, capacitĂ© de rechercher de maniĂšre proactive les menaces (Chasse aux menaces). EDR est un outil supplĂ©mentaire pour l'analyse SOC avec une interface intuitive pour la capacitĂ© de rechercher des menaces en temps rĂ©el, qui vous permet de faire des demandes complexes pour rechercher des activitĂ©s suspectes, des actions malveillantes, en tenant compte des caractĂ©ristiques de l'infrastructure protĂ©gĂ©e.
Tout ce qui prĂ©cĂšde permet aux organisations de dĂ©tecter des menaces complexes visant Ă contourner les outils de protection d'hĂŽte traditionnels, tels que les solutions antivirus classiques, NGAV ou EPP (Endpoint protection platform). Ces derniers travaillent aujourd'hui en Ă©troite collaboration avec les solutions EDR et la plupart des fabricants de cette classe de produits offrent des fonctionnalitĂ©s EPP et EDR au sein d'un seul agent, sans surcharger la machine et en mĂȘme temps, offrant une approche intĂ©grĂ©e de la protection des terminaux contre les menaces complexes, du blocage automatique des menaces plus simples menaces, se terminant par la dĂ©tection et la rĂ©ponse Ă des incidents plus complexes. Les mĂ©canismes de dĂ©tection avancĂ©s utilisĂ©s dans EDR permettent aux Ă©quipes d'identifier rapidement les menaces et de rĂ©agir rapidement, Ă©vitant ainsi d'Ă©ventuels dommages Ă l'entreprise.
Contexte supplémentaire
Les donnĂ©es sur les Ă©vĂ©nements hĂŽtes de l'EDR sont un ajout important aux informations gĂ©nĂ©rĂ©es par d'autres Ă©lĂ©ments de sĂ©curitĂ© et applications commerciales de l'infrastructure protĂ©gĂ©e, qui sont comparĂ©es par le systĂšme SIEM dans le centre de surveillance et de rĂ©ponse aux incidents. EDR fournit un accĂšs rapide aux donnĂ©es d'infrastructure de point de terminaison dĂ©jĂ enrichies dans un contexte supplĂ©mentaire, ce qui permet, d'une part, d'identifier rapidement les faux positifs, d'autre part, d'utiliser ces donnĂ©es comme un prĂ©cieux matĂ©riel prĂ©traitĂ© dans l'enquĂȘte sur les attaques complexes, c'est-Ă -dire que EDR fournit des journaux pertinents corrĂ©ler avec les Ă©vĂ©nements d'autres sources, amĂ©liorant ainsi la qualitĂ© des enquĂȘtes mondiales dans le SOC.
Automatisation supplémentaire
Pour les organisations qui ne disposent pas de l'EDR, la dĂ©tection de menaces complexes sur l'infrastructure des terminaux, qui comprend: la collecte, le stockage et l'analyse des donnĂ©es, ainsi que la rĂ©alisation de diverses actions aux stades de l'enquĂȘte et de la rĂ©ponse aux incidents complexes, semble une tĂąche assez laborieuse sans l'utilisation d'outils d'automatisation.
Aujourd'hui, de nombreux analystes consacrent beaucoup de temps aux opĂ©rations de routine qui sont nĂ©cessaires et importantes, mais peuvent ĂȘtre automatisĂ©es. L'automatisation de ces tĂąches manuelles de routine permettra aux organisations non seulement d'Ă©conomiser le temps de travail coĂ»teux de l'analyste, mais Ă©galement de rĂ©duire leur charge de travail et de se concentrer sur l'analyse et la rĂ©ponse Ă des incidents vraiment complexes. Les EDR fournissent un flux de travail de gestion des incidents entiĂšrement automatisĂ©, de la dĂ©tection des menaces Ă l'analyse et Ă la rĂ©ponse. Cela permet Ă l'Ă©quipe SOC d'effectuer les tĂąches quotidiennes plus efficacement sans perdre de temps sur le travail manuel, rĂ©duisant ainsi le coĂ»t de l'analyse des journaux inutiles.
AccÚs rapide aux données et à leur représentation visuelle des informations
Les organisations peuvent rencontrer des difficultĂ©s pour obtenir les donnĂ©es nĂ©cessaires Ă une enquĂȘte, telles que l'impossibilitĂ© d'accĂ©der rapidement aux postes de travail et aux serveurs avec une infrastructure distribuĂ©e ou l'impossibilitĂ© d'obtenir des informations contextuelles Ă partir de machines spĂ©cifiques en raison de leur destruction ou du chiffrement des donnĂ©es par des intrus. Bien entendu, cela ne permet pas d'obtenir les donnĂ©es nĂ©cessaires Ă un processus d'enquĂȘte efficace et Ă une rĂ©ponse ultĂ©rieure aux incidents. Lorsque l'incident s'est dĂ©jĂ produit, l'utilisation de la technologie EDR, y compris l'enregistrement continu et centralisĂ©, Ă©limine les conjectures et fait gagner du temps aux analystes.
Un attaquant dĂ©truit souvent leurs traces, mais l'EDR, comme dĂ©jĂ mentionnĂ©, enregistre chaque action d'attaque. L'ensemble de la chaĂźne d'Ă©vĂ©nements est enregistrĂ© et stockĂ© en toute sĂ©curitĂ© pour une utilisation future. Lorsqu'un avertissement quelconque est dĂ©clenchĂ©, EDR fournit un outil pratique avec lequel les analystes SOC peuvent rapidement demander des informations pour rechercher des menaces, Ă©liminer les faux positifs et faire des demandes de nouvelle analyse des donnĂ©es rĂ©trospectives pour augmenter l'efficacitĂ© de l'enquĂȘte et de la rĂ©ponse.
Toutes les actions sur les hĂŽtes sont prĂ©sentĂ©es dans l'interface sous la forme d'un arbre d'Ă©vĂ©nements, aidant ainsi les analystes Ă voir l'ensemble de l'attaque, ainsi qu'Ă rechercher les informations dont ils ont besoin pour enquĂȘter et prendre des mesures opĂ©rationnelles pour prĂ©venir la menace.
Le stockage centralisĂ© de la tĂ©lĂ©mĂ©trie, des objets et des verdicts gĂ©nĂ©rĂ©s prĂ©cĂ©demment permet aux analystes de travailler avec des donnĂ©es rĂ©trospectives dans le cadre d'une enquĂȘte sur les menaces, y compris les attaques qui se prolongent dans le temps. L'EDR est aujourd'hui une source de donnĂ©es prĂ©cieuses pour le SOC d'aujourd'hui.
Réponse centralisée
Lorsqu'un incident est dĂ©tectĂ©, EDR fournit des options avancĂ©es pour prendre des mesures Ă diffĂ©rentes Ă©tapes de son enquĂȘte: par exemple, mettre un fichier en quarantaine, exĂ©cuter des commandes arbitraires sur un hĂŽte, supprimer un objet, isoler le rĂ©seau des hĂŽtes et d'autres actions. EDR vous permet de rĂ©pondre immĂ©diatement aux incidents grĂące Ă la prĂ©sentation visuelle des informations et Ă la dĂ©finition centralisĂ©e des tĂąches, qui ne nĂ©cessitent pas de dĂ©placements sur les lieux du crime pour trouver des preuves et prendre des mesures de rĂ©ponse. EDR est un outil d'optimisation des coĂ»ts salariaux des spĂ©cialistes SOC. Les organisations rĂ©duisent considĂ©rablement le nombre d'opĂ©rations manuelles de routine, font gagner du temps aux analystes SOC et rĂ©duisent le temps de rĂ©ponse de quelques heures Ă quelques minutes.
Conclusion
Les EDR sont une source inestimable de données pour les SOC, offrant de puissantes capacités de recherche de menaces et une réponse centralisée aux incidents, tout en maximisant l'automatisation des processus de collecte, d'analyse et de réponse aux menaces détectées.
L'utilisation de l'EDR dans le SOC permettra aux organisations de:
- accroßtre l'efficacité du traitement des incidents complexes en raison de la visibilité supplémentaire du niveau du point de terminaison, de la possibilité de recherche proactive des menaces et de la présentation visuelle des informations sur les événements détectés sur les hÎtes;
- enrichir le SOC avec des donnĂ©es pertinentes prĂ©traitĂ©es provenant des postes de travail et des serveurs, pour comparaison avec les journaux fournis par d'autres sources pour une enquĂȘte efficace;
- réduire considérablement le nombre d'heures consacrées par les analystes aux tùches fastidieuses mais nécessaires associées à l'analyse des données des postes de travail et des serveurs, ainsi qu'à la réponse aux incidents.