Sommaire
Selon une étude Accenture sur le coût de la cybercriminalité (https://www.accenture.com/us-en/insights/security/cost-cybercrime-study) publiée le 6 mars 2019, le coût moyen des attaques de logiciels malveillants s’élève à 2,6 millions de dollars pour les entreprises : un bond de 11 % en un an. Accenture a également constaté une forte hausse du coût des cyberattaques liées à des initiés ayant augmenté de 15 % pour atteindre 1,6 million de dollars en moyenne par entreprise. Alors que les prix ne cessent d’augmenter, Accenture révèle qu’habituellement les entreprises ne déploient pas les bons types de technologies pour aider à réduire les coûts de la cybercriminalité. Enfin l’étude déclare que seulement 28% des entreprises utilisent l’automatisation et, que l’automatisation dans le SOC aide les organisations à se tenir au courant des menaces dans la cybersécurité. Voyons comment l’automatisation peut réduire les risques.
Comment l’automatisation peut-elle réduire les risques en cybersécurité ?
Dans le secteur de la cybersécurité, le plus grand défi est de conserver une longueur d’avance sur les « attaquants ». Aussitôt les failles de sécurité corrigées, de nouvelles failles apparaissent et sont utilisées pour le prochain assaut. En effet, les hackers utilisent depuis un certain temps l’automatisation pour mener des attaques. Par exemple, ils utilisent des outils comme AutoSploit (Automating Metasploit) pour automatiser l’analyse et l’exploitation d’Internet, ou Sentry MBA pour le remplissage des justificatifs d’identité en contrôlant les proxys pour gérer les attaques. Ils se servent également des outils d’automatisation pour infiltrer les réseaux et collecter des données ou créer des comptes utilisateurs. À mesure que leurs outils évolueront, le nombre d’attaque automatisées augmentera, et les logiciels exécuteront de plus en plus d’infractions. Par conséquent, il est temps de considérer l’automatisation comme la prochaine ligne de sécurité pour rattraper les hackers.
Par exemple, vous pouvez avoir une sorte de système d’information de sécurité et de gestion des événements (SIEM) utilisé par votre SOC. L’objectif de ces systèmes est de protéger les données sensibles des personnes non autorisées qui pourraient l’obtenir. Les outils d’automatisation peuvent en effet s’intégrer à un tel système pour en améliorer et en accroître les capacités. L’effet est une méthode automatisée en boucle fermée qui sert à reconnaître les incidents de sécurité au moment où ils se produisent afin qu’ils puissent être résolus immédiatement. De plus, comme cela n’est plus fait manuellement, les performances opérationnelles augmentent.
Comment ça marche ?
Les alertes de sécurité proviennent de diverses sources, mais dans les grandes entreprises, la plupart des incidents commencent surtout dans le SIEM. Le passage du SIEM au SOAR peut être amélioré en automatisant les normes d’intensification des alertes. En associant des règles bien choisies pour la remontée et la collecte automatisée de renseignements, les analystes peuvent se concentrer sur les incidents importants et agir en tenant compte du contexte complet, au lieu d’essayer de repérer les menaces réelles à partir de centaines d’alertes chaque jour.
Par exemple, si un courriel est signalé comme une tentative potentielle de phishing, une plateforme SOAR peut automatiquement vérifier la fiabilité de l’URL dans le courriel, vérifier la géolocalisation du propriétaire du domaine, enquêter sur les liens vers des attaquants connus, et plus encore. Sans automatisation, les analystes doivent se rendre sur d’autres applications et consulter manuellement ces données, presque plus de 100 fois par jour.
Voici quelques-uns des avantages fondamentaux de l’automatisation.
- Déconnecte immédiatement à distance du réseau tout appareil et/ou ordinateur illégal ;
- Désactive/Interdit instantanément et à distance l’accès aux utilisateurs inconnus ;
- Saisit les événements de sécurité SIEM et applique de manière automatique des méthodes définies pour obtenir des informations supplémentaires, effectuer une analyse des incidents et en rendre compte au personnel approprié, selon les besoins, pour résoudre des événements plus complexes ;
- Active /désactive les connexions des utilisateurs dans des délais précis pour mieux contrôller l’autorité sur les connexions des utilisateurs à distance ;
- Capte les alertes du système antivirus et compléte les procédures pour arrêter les intrusions et la propagation des virus ainsi que d’autres menaces externes graves.
Un exemple d’automatisation est le déploiement et la surveillance des serveurs qui permet de réduire la quantité de tâches manuelles fastidieuses. Dans le passé, les administrateurs système créaient les serveurs par configuration manuelle et devaient ensuite surveiller et résoudre les problèmes physiquement. Les scripts peuvent être utilisés dans différents scénarios pour automatiser le serveur, ce qui donne également de l’élasticité – si vous avez une charge accrue et que vous avez besoin d’un serveur supplémentaire, vous exécutez à nouveau le même script.
Principaux facteurs à prendre en compte pour l’automatisation
L’automatisation de la cybersécurité permet de rassembler des outils incongrus pour améliorer la détection des menaces et de coupler l’analyse de la sécurité aux opérations. Cela permet de réagir rapidement aux incidents et d’appliquer des stratégies d’atténuation des risques lorsque les alertes se déclenchent. Il n’y a plus de temps pour l’attaquant.
Les fournisseurs de sécurité fournissent progressivement des API pour interagir avec les outils. C’est une première étape, mais vous devez obtenir autant de connecteurs que de terminaux d’API devant être nécessaires. L’étape suivante sera OpenC2, qui est un langage de commande/réponse permettant d’automatiser les actions sur de multiples solutions. Certains fournisseurs de sécurité commencent à l’envisager. Il faut penser que les commandes d’automatisation écrites dans OpenC2 sont un choix intelligent pour le rendre compatible avec une évolution de l’infrastructure.
Les playbooks et les moteurs d’orchestration permettent de transformer ce qui était connu dans l’entreprise comme le bon processus en un chemin toujours actif et obligatoire. Et, lorsque ce chemin est rempli d’étapes automatisées, la réaction est censée être meilleure et plus rapide. L’automatisation signifie que vous accélérez votre défense en utilisant des API, des scripts et des commandes OpenC2.
En fin de compte, l’automatisation de la sécurité vise à améliorer les conditions de sécurité des organisations de diverses manières, comme l’exécution précise de tâches monotones, l’augmentation de l’intelligence humaine dans des domaines tels que l’analyse des fichiers journaux, et le remplacement de la médiation humaine collective dans la classification et le confinement des cyber-exploits ou des violations.
Les principaux avantages de l’automatisation sont les suivants
- Réponse plus constante aux alertes
- Amélioration de la capacité à gérer le volume de tickets
- Temps de réponse plus rapide en cas d’incidents de sécurité majeurs
- Meilleure concentration des analystes sur les points de priorité les plus importants
- Visibilité accrue de ce qui se passe
- Couverture d’une zone plus étendue et d’un plus grand nombre de tickets
Voici les 3 principaux facteurs à prendre en compte pour l’automatisation :
1 – Tâche répétitive
L’une des tâches quotidiennes les plus répétitives qu’un ingénieur en sécurité exécute est la surveillance des fichiers journaux sur les appareils pour détecter les risques éventuels. C’est un excellent point de départ pour l’automatisation. Alors qu’un ingénieur en sécurité scannant chaque jour les mêmes fichiers journaux pourrait s’abstenir de quelque chose, une méthode automatisée pour la tâche correspondante la rendra précise et évitera les choses ennuyeuses.
2 – Amélioration de l’analyse des données
La consolidation et l’intégration des outils peuvent permettre la contextualisation et l’amélioration des données, l’enchaînement d’événements individuels et l’inter-corrélation. Par exemple, la possibilité de basculer sur des technologies telles que l’intelligence des menaces, l’analyse des points finaux et de la sécurité, l’analyse du comportement des utilisateurs et des entités, etc. peut fournir une analyse des données meilleure et plus approfondie, avec la capacité de reconnaître les menaces dans une plus large partie de l’entreprise surface d’attaque.
3 -Investir dans l’équipe
L’automatisation donne du pouvoir aux équipes SOC. Elles deviennent proactives et exécutent les tâches humaines nécessaires, en se concentrant sur les rôles pour lesquels elles ont réellement été engagées. L’automatisation ne peut être vraiment efficace que si elle est associée à des compétences humaines. Fondamentalement, les personnes humaines gardent le niveau de contrôle de la stratégie d’orchestration globale et de sa mise en œuvre. Par exemple, si le manque de compétences est un problème, pensez à former les employés actuels pour combler ces lacunes et vous familiariser avec les technologies et les outils d’automatisation.
Limites des systèmes entièrement automatisés
Même si l’intégration de l’automatisation à votre modèle de sécurité peut apporter une réelle valeur ajoutée, un mauvais usage de celle-ci peut entraîner un manque de contrôle.
La plupart des mauvais usages font référence à une dépendance excessive à l’égard de l’automatisation, qui peut alors entraîner des échecs de surveillance ou des biais de décision.
Par exemple, selon l’enquête SANS SOC en 2019, l’automatisation devrait être utilisée pour soutenir les compétences actuelles du personnel et ne devrait pas être considérée comme une solution pour remplacer complètement le personnel.
Le SANS explore en outre le fait que la plupart des entreprises pensent d’abord aux outils et à la technologie, plutôt qu’aux méthodes et aux personnes qui travaillent également au fonctionnement du SOC, mais il est nécessaire de comprendre que les personnes restent l’atout le plus important du SOC.Il est nécessaire que les entreprises soient capables de trouver et de conserver un personnel de qualité, en particulier avec la pénurie croissante de professionnels qualifiés dans le domaine de la cybersécurité sur le marché. Si ce n’est pas la stratégie de l’entreprise, l’externalisation du service de sécurité peut également être une bonne option.
Enfin, l’automatisation dans le SOC réduit les tâches manuelles et monotones en automatisant les playbooks de réponse aux incidents, en éliminant le soutien limité de la main-d’œuvre et en améliorant de façon mesurable les niveaux de service. Ce type de programme permet également la configuration avancée des méthodes de sécurité sur une base cohérente afin de reconnaître et de bloquer les vulnérabilités de sécurité. La nécessité d’automatiser le SOC devient une question urgente puisque les attaquants exploitent également divers outils automatisés pour développer et exécuter des attaques. Le rythme croissant des attaques automatisées exige nécessairement d’automatiser certaines fonctions et processus du SOC. Les suggestions présentées dans cet article peuvent vous aider à décider de la stratégie d’automatisation appropriée.
Dans Sekoia.io, nous sommes compatibles avec OpenC2 afin que chaque contre-mesure proposée en alerte puisse être automatisée côté client. Vous voulez jeter un coup d’œil ? Essayez Sekoia.io gratuitement !
À lire aussi :
- Le paysage des menaces ransomware observé par Sekoia.io durant le 1ᵉʳ semestre 2022
- SOC augmenté — Comment repenser votre centre de sécurité ?
- Un aperçu détaillé des opérations de Conti – Première partie
- La Threat Intelligence n’est pas (seulement) sur un spectre
- Une guerre sur plusieurs fronts – le paysage turbulent de la cybercriminalité
Échangez avec l’équipe
Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !
