En juin, le gouvernement annonçait les lauréats du Grand Défi Cyber en partenariat avec BPI FRANCE et SEKOIA.IO en faisait partie avec notre projet 0-SOC.
Proposition 0-SOC
Des 5 grandes fonctions de sécurité telles que définies par le NIST, les plus exigeantes en coûts opérationnels sont la Détection et la Réponse. Face aux acteurs malveillants, les meilleures protections ne sont jamais imperméables, et seule une vigilance de tous les instants permet de repérer et circonscrire les tentatives d’intrusion. Or la capacité à observer et lire le pouls d’un système d’information est, encore aujourd’hui, largement du ressort d’experts, au sein des centres de sécurité opérationnelle, les SOCs.
Outre des équipements matériels et logiciels non négligeables, ces équipes représentent une charge d’exploitation importante qui les rendent malheureusement inaccessibles au plus grand nombre, aux moins experts, qui ne sont pourtant pas les moins exposés.
C’est pourquoi, à travers tout le secteur de la cybersécurité depuis les années 2010, les éditeurs font la course à l’automatisation. Automatisation du déploiement, automatisation des opérations de détection, automatisation des réactions réflexes ou réfléchies, tout est prétexte à la réduction de la charge des analystes qui arment les SOC et qui souffrent du syndrome de fatigue cognitive (Alert Fatigue Syndrome) à force d’user leurs yeux et leur attention sur des listings d’évènements.
Un SOC traditionnel se déploie en plus d’un an, emploie 5 analystes ETP, pour un coût opérationnel de l’ordre du million d’euros annuel. Ses résultats sont mitigés : la protection est assurée, mais au prix d’un volume rédhibitoire de fausses alarmes usant des équipes déjà difficiles à recruter, pour une rentabilité financière délicate à estimer au regard de l’analyse de risque
Pour illustrer notre propos, prenons une image. Si les défenses d’une organisation sont ses murailles, les analystes SOC sont les gardes qui font la ronde, de l’intérieur, pour surveiller qu’aucune pierre de la muraille n’est en train d’être brisée. Dans cette image, la course à l’automatisation telle qu’elle est menée habituellement reviendrait à placer un sismographe derrière chaque pierre, ce qui se révèle ingérable. Nous proposons un retournement de la perspective : plutôt que de scruter chaque pierre, nous cherchons d’abord à comprendre qui est l’ennemi, ce qu’il cherche à accomplir, puis de quels moyens il peut disposer et par où il est susceptible de passer. Cela permet de savoir derrière quelles pierres (dé)placer des robots, et donc de garder un investissement et un déploiement sous contrôle budgétaire et calendaire.
Cette approche consistant à exploiter autant le renseignement sur la menace que les données internes, et à automatiser tout ce qui peut et doit l’être pour détecter intelligemment, nous l’avons concrétisé dans un projet intitulé 0-SOC, et elle peut se décomposer en 5 fonctions vitales.
Des infrastructures critiques dans le viseur des ransomware
Au cœur du réacteur se trouve un puits de données de sécurité conçu à l’état de l’art “infonuagique”, capable d’ingérer et de manipuler de vastes volumes de données volatiles et hétérogènes qui exigeait jusqu’alors des solutions SIEM relevant du calcul massif. Ce puits est en particulier conçu pour savoir s’interfacer naturellement avec tout ce qu’un périmètre client peut comporter : des logs systèmes, des sondes réseaux, des pares-feux à différents niveaux, etc. La logique est identique si les périmètres clients sont hybrides et associent des infrastructures internes et cloud. Ce puits permet d’assurer la connaissance de ce qui se passe à l’intérieur et sur la muraille. Nous appelons cette fonction Security Data Management & Analytics (SDMA).
De façon symétrique, il faut pouvoir collecter, synthétiser et enrichir un renseignement sur la menace (Cyber Threat Intelligence, CTI) suffisamment précisément pour être utilisable et exploitable tant par des humains à un niveau stratégique que par des machines au niveau technique. Pour cela, SEKOIA.IO utilise une arme secrète : la modélisation assistée voire automatisée des menaces, qui permet de manipuler non plus des éléments isolés mais des ensembles gravitant autour d’un contexte de menace. Cette CTI fournit l’observabilité des assaillants potentiels, de leurs outils, modes opératoires, intentions, et permet d’anticiper quelles pierres de la muraille sont susceptibles d’être attaquées.
Le croisement des menaces contextualisées et des données agrégées dans le puits permet des performances de détection extrêmement élevées notamment à travers l’analyse comportementale. Cette composante associe un module UEBA (Users & Entities Behaviour Analytics) pour la détection d’anomalie et un module TTP pour l’identification d’enchaînement d’actions par un attaquant. Cela procure un rapport fausses alarmes/détection sans dégrader les performances de protection.
Sans levier d’action, il n’est pas de détection utile. C’est pourquoi la quatrième composante de l’architecture 0-SOC est le module de réponse intégrée automatisée, ou Security Orchestration, Automation & Response (SOAR). Ce module permet, sur des alertes contextualisées, de proposer des recommandations de procédures, voire de les déclencher sans intervention humaine. Le piège ici serait de croire que tout doit être automatisé : cela doit dépendre de la doctrine des organisations protégées. Tout ce qui peut être automatisé ne doit pas nécessairement l’être.
Enfin, ce que nous venons de décrire permet de protéger l’existant ; pour faire la course en tête face aux menaces, il faut pouvoir exploiter cette chaîne de détection et réponse étendue pour suivre les évolutions des périmètres à protéger (évolutions en largeur), ainsi que la nature des données et des actions pilotées (évolutions en profondeur), sans que ces évolutions ne requièrent des actions de type intégration ou déploiement spécifiques. La cinquième composante du projet0-SOC est ainsi une assistance pour piloter son système d’informations et pour le faire évoluer en renforçant constamment la chaîne détection réaction.
La combinaison de ces cinq modules fonctionnels au sein d’une même architecture, où chaque fonction est automatisable, et où l’agilité, la flexibilité, et la transparence sont garanties par conception, constitue le pattern du projet 0-SOC que SEKOIA développe dans le cadre du Grand Défi Cyber.
Où en sommes-nous ?
Bien qu’il reste du chemin à parcourir, les solutions de la plateforme SEKOIA.IO intègrent d’ores et déjà tous ces principes de conception, et nos équipes de R&D continuent d’avancer sur chaque fonction. Ainsi, SEKOIA.IO XDR permet de diviser par dix la charge cognitive des analystes SOC par rapport à une architecture conventionnelle, tout en affichant des performances de détection et de réponse souvent supérieures. Merci au Grand Défi Cyber de nous accompagner dans la concrétisation de cette vision qui doit apporter à la Détection-Réponse ce que le devops a apporté au monde du développement.
Lire aussi sur notre blog :