En automatisant tout ce qui peut l’être, vous pouvez améliorer votre SOC de manière quantitative. Mais pour améliorer votre SOC de manière qualitative, il faut toujours avoir un coup d’avance en prévoyant là où les attaquants vont frapper, et en sécurisant votre SI de manière préventive.
Mettez en place votre système de veille et de renseignement
Comment prévoir où les attaquants vont frapper ?
Forcément, vous ne pouvez pas le prévoir avec certitude. Mais vous pouvez anticiper !
Une cyberattaque sur votre organisation est le résultat d’une conjoncture dans laquelle un attaquant poussé par un certain intérêt s’est intéressé à votre organisation. Pourquoi la vôtre en particulier ?
La CTI vous renseigne sur les différents attaquants, ce qui vous permet d’adapter votre défense au contexte, c’est-à-dire :
à la taille de votre organisation ;
à votre secteur (public, industrie, conseil, etc.) ;
à votre domaine (informatique, aéronautique, médical, etc.).
Le but de la CTI est de vous fournir des réponses aux questions suivantes, et de les traduire en actions concrètes :
Quelles sont les campagnes d’attaques en cours qui pourraient toucher votre organisation ?
Qui sont les attaquants qui sont intéressés par votre organisation ?
Quelles traces (IoC) vous permettraient de les détecter ?
Quelles sont leurs méthodes ?
Comment les détecter ?
Comment les bloquer ?
Pour recevoir régulièrement des informations actuelles et pertinentes, abonnez-vous à des flux de CTI. Vous pouvez utiliser des outils spécialisés, pour cela :
l’outil MISP vous permet de vous abonner à des flux d’IoC, comme celui de l’ANSSI par exemple. Vous pouvez filtrer les IoC qui sont pertinents pour votre organisation, et vous abonner à des flux spécifiques à votre secteur et votre domaine. Tous ces flux alimentent une base de données à utiliser avec votre SIEM pour détecter en continu les attaquants, sur la base d’IoC récents et pertinents ;
l’outil OpenCTI vous permet également de vous abonner à des flux de CTI, mais plus orientés vers les informations techniques sur le comportement des attaquants. Là où MISP manipule plutôt les IoC, OpenCTI manipule plutôt les TTP de la matrice MITRE ATT&CK. Cela vous permet de vous renseigner sur les méthodes utilisées par les attaquants de vos secteur et domaine. OpenCTI permet également d’enrichir ces flux de rapports détaillés, publiés par les fournisseurs de CTI sur les différents attaquants.
Les deux plateformes utilisent des langages différents, mais vous pouvez interconnecter les deux et convertir facilement d’un langage à un autre.
Connaissez mieux votre SI en évaluant sa sécurité en continu
Prendre en compte le contexte pour anticiper les attaques, c’est bien ! Mais il n’y a pas que le contexte en dehors de votre organisation : il faut aussi suivre l'état de votre SI pour comprendre où les attaquants vont frapper.
Identifier les sources de vulnérabilités
Le SOC doit donc contribuer à la recherche du moyen le plus facile pour les attaquants de compromettre l’organisation. Pour cela, il doit chasser en permanence les vulnérabilités qui sont introduites sur le SI.
Ces vulnérabilités peuvent provenir de différents endroits :
Il y a des vulnérabilités publiques qui sont identifiées par la communauté sur les systèmes utilisés par l’organisation. Régulièrement, tous les vendeurs publient des correctifs de sécurité avec les mises à jour pour corriger ces vulnérabilités. Il est essentiel de mettre régulièrement à jour les systèmes pour éviter ces vulnérabilités ! Et c’est bien souvent le rôle du SOC de surveiller la présence de ce genre de vulnérabilités.
Des vulnérabilités peuvent aussi apparaître quand le SI évolue. Par exemple, une migration peut exposer sur Internet un serveur ou une base de données qui n’était auparavant pas exposé. Charge au SOC de le repérer le plus vite possible, et de prévenir l’équipe concernée pour corriger cette exposition au plus vite !
Des vulnérabilités peuvent aussi être causées par de mauvaises pratiques ayant cours au sein de l’organisation. Par exemple, un administrateur qui s’octroie des droits importants sur son compte bureautique pour ne plus passer par son compte d’administration introduit un chemin de compromission dans le SI. Un attaquant qui a compromis des comptes bureautiques pourrait utiliser ce chemin pour se déplacer sur le SI ! Le SOC doit donc détecter le plus vite possible ce genre de pratiques problématiques, et mettre en place une sensibilisation adaptée pour les changer.
Réaliser des scans de vulnérabilités
Pour détecter toutes ces vulnérabilités, le SOC doit réaliser régulièrement des scans de sécurité à l’aide d’outils spécialisés comme :
Nessus (payant), OpenVAS (alternative open source) ou Nuclei pour rechercher des vulnérabilités sur le SI ;
Nmap ou Masscan pour évaluer ce qui est exposé sur Internet et sur les différentes zones réseau du SI ;
PingCastle ou Purple Knight pour évaluer la sécurité de l’annuaire ;
ou encore BloodHound pour identifier des chemins de compromission de l’annuaire.
Ces scans vous offrent une vision globale essentielle, mais pour exploiter au maximum leurs résultats, vous devrez prendre le temps de comprendre comment ils fonctionnent, et ce qui est couvert ou non par les scans.
Aller plus loin avec des audits de sécurité
Pour aller plus loin dans la compréhension de votre SI, vous pouvez faire auditer son niveau de sécurité. Les scans vous permettent d’avoir une certaine vision, mais l’intervention d’équipes spécialisées permet de prendre du recul et d’introduire de l’intelligence humaine dans l’analyse de votre niveau de sécurité.
Il existe différentes formes d’audits, en fonction de la démarche, du scénario simulé, etc. On parle de tests d’intrusion lorsque l’audit cherche à simuler le comportement d’un attaquant, de revue ou d’audit lorsque l’audit cherche avant tout à être exhaustif et à aller en profondeur.
Exploitez les avantages de la défense
Est-ce qu’il faut tout tester ? C’est un travail immense !
Vous n’avez pas besoin de tout retester en permanence ! On dit souvent qu’en cyber, l’attaque a l’avantage parce qu’il y a un nombre infini d’attaquants. Mais la défense a aussi un avantage : elle maîtrise le terrain !
Pour exploiter ces avantages, appuyez-vous sur les processus existants :
utilisez l’inventaire du SI pour suivre l’application de correctifs de sécurité et la présence de vulnérabilités ;
immiscez-vous dans les processus de développement et de gestion de projets, pour aider à penser à la sécurité dans toutes les phases des projets. Notamment à la conception, pour que chaque projet participe à améliorer le niveau de la sécurité du SI.
échangez en permanence avec les équipes de l’organisation pour connaître le SI et leur donner les bonnes pratiques de sécurité.
Découvrez la réalité terrain de la veille et des évaluations continues dans cette vidéo de Raphaël.
En résumé
Pour rendre votre détection plus pertinente, renseignez-vous sur les menaces avec la Cyber Threat Intelligence (CTI). Cela vous permet de vous adapter aux attaquants qui ciblent votre secteur, votre type d’organisation, etc.
Pour rester pertinent, abonnez-vous à des flux de CTI. Vous pouvez utiliser l’outil MISP pour recevoir des flux d’indicateurs (IoC), et l’outil OpenCTI pour recevoir des informations sur les techniques utilisées par les attaquants (TTP).
Prenez encore plus de hauteur en évitant les incidents ! Pour cela, c’est essentiel de faire de la veille sur les vulnérabilités récentes, et d’avoir un inventaire à jour pour détecter si vous êtes concerné par ces vulnérabilités.
Réalisez régulièrement des scans de vulnérabilités pour recenser les zones à risques et les remettre sous contrôle avec les équipes concernées.
En prenant en compte le contexte autour des cyberattaques, à la fois dans l'organisation et en dehors, vous rendez votre SOC plus pertinent. Cette amélioration n'est pas forcément mesurable qualitativement. Comment évaluer la pertinence du SOC ? Et surtout, prioriser les améliorations à mettre en place ? C’est l’objet du chapitre suivant !