Vous vous demandez sans doute par où commencer pour piloter votre amélioration du SOC en continu. Et c'est normal !
Comme souvent, il faut prendre du recul pour piloter ce processus. C'est ce qu'on va faire dans ce dernier chapitre !
Tirez des enseignements des gestions d’incidents avec le SIRP
À la fin de chaque incident, vous devez effectuer un debrief de l’incident (un PIR). Comme mentionné dans le chapitre “Clôturez l'incident de sécurité”, ce PIR doit identifier :
ce qui a bien fonctionné ;
ce qui n’a pas fonctionné ;
ce qui a manqué ;
ce qui a mal été réalisé ;
les erreurs à ne pas faire ;
etc.
Pour mettre en place une vraie amélioration continue, il faut transformer chacun de ces points à corriger en un chantier concret à mettre en œuvre avec :
une date de création ;
une action claire et concrète ;
un critère pour évaluer la complétion de l’action ;
les incidents liés ;
un responsable ;
une date de complétion visée.
| Exemple 1 | Exemple 2 |
Action claire et concrète | “Déployer l’EDR dans une zone réseau héritée” | “Mettre en place le suivi des maintenances de middleware” |
Critère | “EDR déployé sur une liste de 20 machines” | “Planning des maintenances ajouté aux observables dans le SOAR” |
Incidents liés | Un incident sur le périmètre où l’EDR a manqué pour effectuer l’investigation | La liste des faux positifs liés à une maintenance |
Un responsable | Contact du chargé de projet du déploiement de l’EDR | Un analyste |
Mesurez la performance de vos processus dans le temps
Pour suivre l’avancée de ces chantiers, utilisez le SIRP ! C’est déjà dans le SIRP que vous échangez au sein du SOC et avec les autres équipes pour organiser les actions de remédiation. Ces chantiers liés à l’amélioration du SOC doivent être suivis et communiqués de la même façon que les actions de remédiation.
Pour suivre l’amélioration du SOC, il vous faudra choisir les métriques que vous voulez suivre. Par exemple :
le taux de faux positifs : le nombre d’alertes identifiées comme faux positifs, après qualification ou investigation ;
le taux de faux positifs investigués : le nombre d’investigations résultant en un cas de faux positifs qui n’ont pas été identifiés à la qualification ;
le taux de vrais positifs : la portion d’alertes qui ont donné suite à un incident avéré ;
le temps moyen de détection (MTTD ou Mean Time to Detect) : le temps entre le début d’un incident de sécurité avéré et la création de l’alerte associée dans le SOAR ;
le temps de réponse moyen (MTTR ou Mean Time to Recovery) : le temps entre le début d’un incident de sécurité avéré et la clôture de l’incident.
Suivez la couverture des risques
Mesurer la couverture de l’analyse de risques
Il existe également des métriques utiles pour prendre en compte le contexte.
Rappelez-vous que votre mission est de réduire les risques qui pèsent sur l’organisation. Ces risques ont été définis dans l’analyse de risques évoquée dans la première partie du cours. Est-ce que tous ces risques sont bien détectés ?
Mesurer la couverture de la matrice MITRE ATT&CK
Au-delà des actifs couverts par le SOC, quelles sont les actions qui sont détectées ?
Référez-vous à la matrice MITRE ATT&CK. Dans la première partie de ce cours, nous avons défini qu’une règle de détection sert à détecter l’emploi d’une technique de cette matrice par un attaquant. Demandez-vous donc quelles sont les règles qui sont détectées par le SOC et celles qui ne le sont pas. Est-ce que cette couverture est cohérente avec les priorités définies dans l’analyse de risques ?
Mesurer la pertinence du SOC avec des audits
Ici encore, pour avoir une vision plus pertinente, vous pouvez faire appel à des équipes de sécurité pour tester et auditer votre SOC. Pour simuler des attaques réalistes, vous pouvez faire faire des tests d’intrusion par des équipes spécialisées.
On parle de mission “Red Team” quand l’objectif est de tester l’atteignabilité d’un objectif précis par tous les moyens possibles. Par exemple l’accès à la boîte mail d’un dirigeant, à la base de données des mots de passe clients, etc. En général, il s’agit surtout de tester les capacités du SOC, en observant si les auditeurs arrivent aux objectifs sans se faire détecter. Cela peut comprendre du phishing, l’utilisation de clés USB piégées, etc.
À l’inverse, dans les missions “Purple Team”, le but est d’accompagner le SOC. Ici aussi, les auditeurs doivent simuler une attaque réelle par tous les moyens possibles. Mais la mission est organisée par étapes successives, de manière à ce que les auditeurs jouant les attaquants (la “red team”) échangent avec le SOC (la “blue team”) à chaque étape pour comprendre ce qu’ont fait les attaquants, ce qu’ils auraient dû détecter et comment le détecter.
Exploitez vos métriques
Comment faire en pratique pour améliorer les différentes métriques mesurées ?
Vous pouvez agir sur la MTTD et la couverture de la matrice MITRE ATT&CK en améliorant les règles de détection.
Augmentez le périmètre couvert par le SOC en continuant le chantier de mise en place du SOC sur de nouveaux actifs.
Réduisez la MTTR en améliorant vos procédures et en automatisant un maximum d’actions, comme évoqué en début de partie.
Réduisez les taux de faux positifs en mettant en place les retours après incident, et en investiguant sur les erreurs de détection.
Améliorez aussi les informations à votre disposition lors de la qualification !
Choisissez vos combats et définissez vos objectifs
Tous ces chantiers peuvent sembler intimidants tant il y a de choses à faire, comment prioriser ?
Fixez-vous des objectifs ! Ces objectifs doivent être réalistes. Vous ne pourrez pas travailler sur toutes ces métriques en même temps, ni avoir un SOC parfait en un mois !
En particulier, ne perdez pas de vue votre mission. Ce n’est pas d’améliorer vos chiffres, mais de protéger l’activité de votre organisation. Par rapport à cette mission, qu’est-ce qui est prioritaire ?
Pour vous aider à définir vos objectifs, posez-vous les questions suivantes :
Par rapport à votre analyse de risques, quel est le risque le plus important qui n’est pas ou pas assez couvert ?
Sur les derniers incidents, quelle est la phase qui est à améliorer ?
Si vous êtes une organisation complexe, est-ce que vos processus de réponse sont satisfaisants ?
Si vous êtes un jeune SOC, comment améliorer la détection et la couverture ?
En particulier, observez l'évolution des métriques dans le temps pour comprendre ce qui est le plus efficace !
Communiquez en permanence
Pour que votre amélioration tienne dans la durée, communiquez clairement, collaborez avec d’autres équipes et partagez vos victoires !
Communiquer sur les changements
Au sein de l’organisation, communiquez sur les actions que vous menez. Cela vous permettra d’accompagner les changements qui sont nécessaires. Utilisez les incidents passés pour communiquer sur ce que vous faites :
quels sont les risques évités ;
comment ce que vous mettez en place les réduit ;
quels sont les efforts que le SOC met en place pour ne pas bloquer le travail des autres équipes.
Mettez l’accent sur les risques. C’est la raison d’être du SOC, votre mission.
Transformer les équipes métiers en alliés
Trop souvent, la sécurité est vue par d’autres équipes comme quelque chose qui les ralentit, voire les empêche de faire leur travail.
La bonne nouvelle est que c’est un point qui est facilement dépassé en échangeant beaucoup sur votre travail. En communiquant suffisamment, vous pourrez anticiper les problèmes courants que les usages des équipes métiers peuvent causer au SOC, et inversement, les problèmes que l’amélioration de la sécurité va apporter aux équipes métiers.
Vous pouvez changer cette opposition entre métiers et sécurité : plus les équipes métiers connaîtront le SOC, plus elles seront dans une posture d’alliés pour vous aider à détecter les incidents et investiguer grâce à leur connaissance de leur périmètre !
L'amélioration continue n'aura plus de secrets pour vous si vous compléter ce chapitre avec le visionnage de cette interview de Guillaume et Raphaël.
Partagez avec la communauté
Dans le monde de la détection, il n’y a pas vraiment de concurrence, tout le monde cherche à se protéger contre un adversaire en commun. Dans ce contexte, l’entraide est de mise !
N’oubliez pas qu’au-delà de votre organisation, d’autres SOC travaillent sur les mêmes sujets que vous. Échangez avec cette communauté sur vos difficultés et vos processus :
Suivez des conférences telles que la CorIIN et la BotConf, les conférences de l’InterCERT.
Cherchez des règles et des outils en ligne, et partagez sur un blog ou sur GitHub les vôtres, pour avoir des retours dessus !
Effectuez votre veille sur les vulnérabilités, les outils et les nouvelles techniques.
Suivez des professionnels de la détection sur des réseaux sociaux tels que Twitter ou LinkedIn.
L'aventure continue après ce cours !
Après avoir suivi ce cours, vous savez l'essentiel sur la détection et la réponse aux incidents de sécurité !
Vous savez maintenant prendre en compte les risques qui pèsent sur l’organisation pour concevoir une détection pertinente. Et vous êtes capable d’organiser et de mettre en place cette détection.
Vous savez réagir aux alertes et investiguer pour comprendre l’incident. Vous savez aussi comment réagir aux situations d’urgence et limiter l’expansion de l’incident, et comment traiter les dommages liés à l’incident et résoudre durablement la cause de cet incident.
Et enfin, vous savez tout sur le rôle du SOC ainsi que sur ses interactions au sein de l’organisation et avec les différents organismes de détection. Vous êtes capable de prendre part et même d’organiser sa montée en puissance !
N'oubliez pas de télécharger ce glossaire pour vous souvenir des définitions de tous ces acronymes que nous avons vus pendant le cours !
En résumé
Pour améliorer les capacités du SOC, portez un regard critique sur les incidents passés en analysant les données des incidents passés dans le SIRP et en vous fixant des objectifs.
Améliorez la durée moyenne avant détection (MTTD) et la durée moyenne avant clôture de l’incident (MTTR).
Pour simuler des attaques réalistes, vous pouvez faire faire des tests d’intrusion par des équipes spécialisées. Ces tests d’intrusion peuvent prendre la forme de missions en “Red Team” ou en “Purple Team”, la différence étant que le Red Team évalue votre détection à la fin de la mission, alors que le Purple Team l’évalue en continu.
Utilisez le SIRP pour tirer des enseignements des gestions d’incidents : identifiez les erreurs à ne pas faire, les processus qui peuvent être préparés à l'avance, et les outils qui vous ont manqué.
Communiquez en permanence avec les équipes métiers pour anticiper les problèmes courants. Plus vous communiquez, plus ils seront vos alliés pour détecter les incidents en amont !
Vous êtes prêt à rejoindre un SOC tel que celui de Méditronique : à vous de jouer maintenant !