Pour commencer, essayons de comprendre le rôle du SOC.
Découvrez la mission et les enjeux d’un SOC
Un SOC est une équipe de détection et de réponse aux incidents de sécurité.
Ses missions sont :
détecter les incidents le plus tôt possible ;
réagir aux incidents, c'est-à-dire bloquer l’attaquant potentiel et résoudre la cause initiale de l’incident ;
mettre en place ce qu’il faut pour éviter que des incidents se reproduisent (voire arrivent en premier lieu).
Un SOC ne peut pas toujours assurer la sécurité de l’ensemble de l’organisation. À sa création, on a défini un périmètre à surveiller et à défendre. Il s’agit des parties du SI de l’organisation qui sont identifiées comme les plus critiques.
Connaissez votre système d’information avec l’analyse de risques
Et comment on identifie ce qui est critique et ce qui l’est moins ?
Il est vrai que les attaquants ont le choix d’attaquer où ils veulent :
les utilisateurs ;
l’infrastructure réseau ;
la gestion logicielle du SI (l’annuaire) ;
les sites web ;
l’environnement cloud, etc.
Tous ces éléments du SI de l’organisation sont appelés des actifs. On ne peut pas les surveiller tous avec les mêmes moyens ! Mais tous ne sont pas aussi critiques.
Pour identifier ce qui est le plus critique, on essaie de penser à la manière de l’attaquant. Et de se poser la question :
“Qu’est-ce qu’un attaquant peut faire à l’organisation s’il a compromis tel ou tel actif ?”
C’est le principe de l’analyse de risques : identifier les actifs critiques et les risques qui pèsent dessus.
Comprendre les principaux termes employés
Quand on parle de risques, qu’est-ce que ça veut dire exactement ?
Le risque, c’est la conséquence d’une attaque possible : fuite de données, blocage, destruction. Par exemple, le blocage de tous les ordinateurs par un ransomware.
Un scénario, c’est la forme plus précise que peut prendre une attaque. Par exemple, une fuite de données via le piratage de tel site web.
Une menace, c’est ce qui peut déclencher un incident, volontairement ou non. Cela peut être un hacker comme un employé mécontent !
Une vulnérabilité est un constat que pourrait exploiter un attaquant pour causer des dommages.
Comprendre les risques qui pèsent sur votre organisation
Quelle que soit la méthodologie utilisée, l’objectif est de prioriser les risques en fonction :
de leur impact sur l’activité de l’organisation ;
des capacités des attaquants, et donc de leur probabilité.
Mais ne nous attardons pas sur les détails : l’analyse de risques est un sujet à part entière ! D’ailleurs vous pourrez en savoir plus grâce au cours Analysez et gérez des risques SI.
Standardisez la communication sur les cyberattaques avec MITRE ATT&CK
Maintenant que nous avons identifié des risques, qu’est-ce qu’on va pouvoir détecter et chercher à bloquer ?
Pour organiser notre détection, il faut bien comprendre comment se déroule une cyberattaque.
La Cyber Kill Chain
Par exemple, dans l’exemple d’une attaque par ransomware, qui est le risque que l’on cherche à éviter chez Méditronique, on peut imaginer le scénario suivant :
Les attaquants collectent des adresses courriel d’employés.
Ils envoient un logiciel malveillant dans un courriel piégé.
Ils utilisent ce logiciel malveillant pour prendre le contrôle de l’ordinateur à distance.
Depuis l’ordinateur compromis, ils identifient des vulnérabilités dans le SI.
Ils exploitent ces vulnérabilités pour compromettre de nouveaux comptes et de nouvelles machines.
De fil en aiguille, ils arrivent à compromettre des utilisateurs ayant de plus en plus de privilèges.
Une fois un administrateur du SI compromis, les attaquants lancent un rançongiciel (ou ransomware) sur tout le domaine.
Dans cet exemple, on voit qu’il y a différentes étapes que doivent suivre les attaquants. C’est le concept de la Cyber Kill Chain : dans chaque attaque on retrouve les mêmes étapes.
Caractériser une cyberattaque
La bonne nouvelle, c'est qu’à chaque étape, il y a des éléments qui permettent de détecter les attaquants ; par exemple :
le trafic vers une adresse IP ;
le logiciel malveillant utilisé pour prendre le contrôle de l’ordinateur ;
la recherche de vulnérabilités sur la machine infectée ;
les techniques exploitées pour se déplacer sur le réseau.
Tous ces éléments nécessitent de bien connaître les attaquants, leurs outils, leurs adresses et leurs techniques !
D’accord. Mais comment connaître toutes les techniques à disposition des attaquants ? Est-ce qu’il existe une liste ?
Oui, il existe des référentiels pour l’ensemble des techniques connues. Cela permet d’organiser la détection :
choisir les techniques à prioriser ;
identifier les techniques qui sont déjà détectées, ou au contraire les angles morts ;
échanger avec d’autres équipes et comprendre les attaques en cours.
Cette matrice classe les techniques élémentaires utilisées par les attaquants en 14 colonnes, appelées tactiques, qui correspondent à ce que les attaquants cherchent à faire avec cette technique.
Cette organisation vous permet de connaître les attaquants potentiels via les techniques, tactiques et procédures (TTP) qu’ils utilisent.
La matrice MITRE ATT&CK est un concept très important pour le SOC ! Vous l'utiliserez régulièrement dans les différents chapitres de ce cours. On peut par exemple l’utiliser pour représenter le scénario de ransomware évoqué ci-dessus. On retrouve dans l’attaque les étapes de la Kill Chain, mais avec des techniques bien plus détaillées : quels protocoles ont été exploités, etc. On peut constater que la phase de déplacement sur le SI est en fait un cycle d’exploitation : découverte du réseau - exploitation de protocoles d’administration - obtention d’identifiants. C’est intéressant d’identifier ce genre de motifs pour prioriser les actions à détecter.
Identifiez les contre-mesures aux types d’attaque avec MITRE D3FEND
Il faut donc connaître les attaquants et leurs techniques. Mais comment traduire concrètement ces techniques en actions à mettre en place pour les détecter ?
Pour cela, vous avez la matrice MITRE D3FEND (ressource en anglais) !
Et il ne s’agit pas uniquement de détecter, mais plus largement de tout type d'action qui peut aider à sécuriser un périmètre :
cartographier ce qui est exposé, ce qui est à protéger et de quoi cela dépend ;
durcir, c’est-à-dire protéger vos systèmes pour compliquer la vie des attaquants ;
isoler les différents systèmes pour empêcher les attaquants de se déplacer dans votre SI ;
tromper éventuellement les attaquants avec de faux actifs ;
chasser les attaquants en bloquant les actifs compromis.
Et c’est là toute la puissance de ce framework : à partir d’une technique de ATT&CK, vous pouvez identifier les actions à prendre dans D3FEND, et inversement ! Une fois que vous avez mis en place une action de D3FEND, vous pouvez identifier facilement toutes les techniques contre lesquelles elle agit.
À vous de jouer
Vous devez protéger votre entreprise Méditronique contre le scénario présenté dans le cours. Parcourez la matrice MITRE ATT&CK et la matrice MITRE D3FEND pour repérer les étapes du scénario. Proposez et remplissez les cases manquantes de ce tableau.
Description | Tactique (ATT&CK) | Technique (ATT&CK) | Détection |
Recherche d’adresses courriel | Reconnaissance |
| NA |
Hameçonnage (phishing) avec une pièce jointe malveillante |
| T1566.001 : | D3-PMAD : Protocol Metadata Anomaly Detection D3-HD : Homoglyph Detection D3-SMRA : Sender MTA Reputation Analysis |
Exécution d’un logiciel malveillant via une macro piégée | Execution |
|
|
Exploitation d’une vulnérabilité pour passer administrateur du poste de travail |
|
| D3-SSC : Shadow Stack Comparisons] D3-PCSV : Process Code Segment Verification |
Connection à d’autres machines du SI |
| T1021 : Remote Services |
|
Déploiement du ransomware et chiffrement des données de Méditronique | Impact |
| NA |
Pour la correction, c'est par ici !
En résumé
Un Security Operations Center (SOC) a pour mission la gestion des incidents de sécurité : détection, réaction, prévention.
Pour savoir quoi surveiller et protéger, il faut connaître son système d’information et savoir de quoi et de qui on a peur ; c’est l’objet des analyses de risques.
Il y a différents éléments qui permettent de détecter une attaque : étapes suivies, composants attaqués, vecteurs empruntés, techniques utilisées, outils mobilisés, traces laissées...
D’autres représentations plus simples comme la Cyber Kill Chain sont utiles, en particulier à des fins de communication.
Nous savons ce qu’il nous faut défendre et comment peuvent procéder nos adversaires. Il est désormais temps de donner des yeux et des oreilles à notre SOC : parlons journalisation !