Quels outils pour aider à automatiser la réponse à incident

Ces tâches chronophages au cœur du SOC

Dans un centre d'opérations de sécurité d'entreprise (SOC) mature, les analystes ont tendance à consacrer le plus de temps aux activités suivantes :

• Identification d'alertes et corrélation : les alertes se retrouvent dans des plateformes de collecte centralisées pour analyse, provenant souvent de pare-feux, d'outils de détection et de prévention d'intrusion réseau et hôte, de sandboxing de logiciels malveillants, de journaux système et d’applications, et de bien d'autres sources. Malheureusement, cette phase d'identification initiale nécessite un tamisage excessif et conduit très souvent à des activités de suivi qu'un analyste doit effectuer.
• Identification et suppression des faux positifs : l’identification des faux positifs, parmi les événements précédemment isolés, peut être un peu plus industrialisée. Mais déterminer ce qui est un faux positif et ce qui ne l'est pas est probablement le point le plus crucial de la gestion et de l'analyse des événements.
• Enquête initiale et triage : les analystes doivent enquêter sur les activités dans l'environnement pour valider les incidents légitimes en cours. Cette tâche est souvent limitée par la disponibilité des experts en sécurité et en criminalistique.
• Génération de tickets et mises à jour : lorsqu'un événement justifie une enquête, des tickets doivent être ouverts et attribués à un membre l'équipe d’intervention primaire, qui met ensuite à jour le cas lorsque des détails supplémentaires sont découverts et vérifiés.
• Génération de rapports : les outils créent de nombreux rapports automatiquement, tandis que d'autres sont assemblés après des étapes d'investigation manuelle.

Cette liste n’a pas la prétention d’être complète. Elle présente plutôt les domaines où sont communément consacrées d’énormes quantités de temps au quotidien. En outre, des tâches très simples et répétitives, mais essentielles, telles que l’envoi d'alerte par courrier électronique et les téléversement de données probantes vers un référentiel sécurisé, peuvent rendre l'utilisation de l'automation plus judicieuse.

Automatisation avec des outils de réponse aux incidents

Dans un rapport de 2015, l'expert en criminalistique Alissa Torres estimait que l'automatisation des processus de réponse aux incidents devrait se concentrer sur trois grandes phases : la collecte de données en continu ; l’agrégation et l’application du renseignement sur les menaces ; et l’industrialisation des capacités de réponse en direct.

Les équipes de sécurité améliorent la collecte et l'analyse de données en continu. Elles commencent également à utiliser le renseignement sur les menaces, bien que ce marché demeure encore immature. Et c’est sans compter avec le manque de maturité des outils d’exploitation du renseignement sur les menaces - un problème auquel tentent de répondre des éditeurs tels que ThreatQuotient, Anomali, et ThreatConnect - ou encore le manque de compétences. 

La majeure partie de l'attention portée à l'automatisation de la réponse aux incidents se porte actuellement sur la troisième phase, qui vise à industrialiser les capacités de réponse en direct. James Carder et Jessica Hebenstreit, deux anciens de Mayo Clinic, avaient présenté des exemples tactiques d'automatisation de la réponse à incident à l’occasion d’un atelier lors de l’édition 2015 de RSA Conference :

• recherche automatisée de noms de domaine jamais vus auparavant (guidée par les journaux d’activité des proxy et des serveurs DNS) ;
• recherche automatisée pour détecter les indicateurs de compromission ;
• automatisation de la production d’images disques des systèmes suspectés de compromission, sur la base d’alertes produites par les outils et plateformes de détection de logiciels malveillant, sur les hôtes et au sein du réseau ;
• contrôles des accès au réseau bloquant automatiquement les canaux de communication de type commande et contrôle sortants d'un système suspect.

Heureusement, un certain nombre de produits sont en train d'émerger pour aider dans plusieurs de ces phases. Ceux de Demisto, Swimlane, d’Invotas (désormais FireEye Security Orchestrator), CyberSponse, Phantom, Resilient Systems (maintenant IBM), Hexadite, entre autres, facilitent l'automatisation et l'orchestration de la réponse à incident en intégrant de nombreux autres outils dans l’environnement. Et c’est sans compter avec les initiatives ouvertes, comme celles du Cert de la Société Générale, avec sa plateforme FIR, ou encore le projet TheHive, issu du Cert de la Banque de France à l’automne 2016. Certaines solutions de gestion des services IT (ITSM) comme Redmine et ServiceNow peuvent également être adaptées à la gestion des incidents de sécurité, comme le relevaient récemment les experts sécurité de Wavestone, dans un billet de blog dédié aux plateformes de gestion des incidents de sécurité.

La grande majorité de ces plates-formes se concentre sur des demandes et réponses simples via les API des outils de sécurité des terminaux, des plates-formes de gestion des événements, ou encore des systèmes de détection et de contrôle d’accès de l'environnement. L'interopérabilité entre ces systèmes permet aux plateformes d'orchestration de la réponse à incident d'aider les analystes de la sécurité à déterminer « ce qu'il faut faire ensuite » lorsqu'ils suivent des règles de réaction prédéfinies. 

Par exemple, un événement de détection ou un ensemble d'événements corrélés sur un hôte du réseau peut déclencher une action de suivi pour analyser l'environnement à la recherche d’indicateurs de compromission spécifiques dans d'autres systèmes. Ceci, à son tour, peut conduire à une action de mise en quarantaine localisée, ou à la recherche d’attributs de trafic de réseau spécifiques. La production de rapports et d’alertes pourraient être automatisées tout au long de ce workflow. À tout moment, tous les membres de l'équipe SOC et les analystes pourraient voir à quelle étape en est le processus de gestion d’incident et collaborer au sein d'une interface commune de dialogue et de reporting, à tout moment, au fur et à mesure que de nouveaux indices ou de nouvelles activités apparaissaient.

Choisir ses outils d’aide à l'automatisation

Les fournisseurs de sécurité des points de terminaison ont commencé à mettre l'accent sur les activités d'automatisation de la réponse et l'intégration avec les capacités de détection, de réponse et d’investigation. Étant donné la prévalence de scénarios de compromission qui impliquent des points de terminaison - qu’il s’agisse de postes de travail ou de serveurs dans les centres de calcul -, la nécessité d'identifier rapidement des indicateurs de compromission - comportementaux ou basés sur des signatures -, d’intégrer le renseignement sur les menaces, et de permettre aux analystes d’effectuer rapidement des recherches sur l’ensemble de l’environnement est essentielle. 

À mesure que ces capacités gagnent en maturité, de plus en plus d'équipes de sécurité cherchent à automatiser des actions de réponse préventive comme la mise en quarantaine localisée, la production d’images systèmes, et même les analyses de systèmes avec des outils de gestion des vulnérabilités. 

Toutefois, sans les outils et la préparation appropriés, cette automatisation et cette orchestration de la réponse aux incidents sont vouées à l'échec, car les faux positifs pourraient facilement rendre des systèmes et des segments de réseau inaccessibles.

Il ya plusieurs facteurs importants à considérer lors de l'examen de ces types de produits :

• Maturité de l’éditeur. Certains de ces produits sont sur le marché depuis plusieurs années et sont véritablement déployés au sein de grandes organisations. Ce facteur est particulièrement important pour les outils de réponse à incident, car ils présentent un risque beaucoup plus grand de perturber les environnements de production s’ils ne sont pas contrôlés par des équipes matures.
• Partenaires d'intégration. C'est en fait l'une des considérations les plus importantes, car la plupart de ces outils s'appuient fondamentalement sur l'utilisation d'API pour assurer l’automatisation. Plus les partenaires d'intégration sont nombreux dans les domaines de la sécurité des terminaux, la sécurité des réseaux, la protection contre les logiciels malveillants, la gestion des identités, etc., plus il est probable que l'intégration et l’exploitation seront dérouleront bien. L’intégration étendue avec les outils de messagerie et de reporting est également clé.
• Alignement avec les outils de gestion des informations et des événements de sécurité (SIEM). Ces outils sont généralement mis en œuvre dans une perspective défensive, qui signifie souvent automatisation de la détection, de la réponse ainsi que des tâches et des processus d’investigation. Pour la plupart des grands comptes, cela signifie l'intégration avec le SIEM car c'est là que s’effectue la gestion des événements. La façon dont les événements et les rapports sont transmis entre les systèmes doit être prise en compte lors de l'examen des produits.
• Facilité d'utilisation et de mise en œuvre. Certains de ces outils disposent d’interfaces graphiques bien conçues et intuitives. C’est essentiel, car les analystes ne doivent pas avoir besoin de perdre de temps à tâtonner à travers une interface complexe pour effectuer des actions importantes ou rechercher des informations au cours de la gestion d'un incident. La création et le suivi des playbooks et des workflows doivent être fluides et simples, et la collaboration entre membres de l'équipe doit être aisée. Les rapports devraient également être faciles à produire, avec une variété de modèles disponibles pour les analystes techniques et la direction.

Un nécessaire savoir-faire

Aucun de ces outils de réponse aux incidents n'est prêt à remplacer des analystes de sécurité qualifiés et bien informés qui comprennent l'environnement et savent comment réagir correctement lors d'un scénario d'incident. 

Certains de ces outils offrent une bibliothèque de workflows préconfigurés pour des types d'incidents spécifiques, ce qui peut aider à démarrer le processus d'automatisation et d'orchestration pour de nombreuses équipes qui souhaitent se avancer rapidement. Mais il reste nécessaire de disposer de personnes qui comprennent les méthodes de l'attaquant et les cycles de vie des attaques, savent comment analyser et interpréter correctement les alertes et corréler de nombreuses sources d’information, et bien sûr travailler en équipe.

Il est également important de garder à l'esprit la question du suivi des améliorations et des indicateurs de performance de la réponse. Pour cela, les équipes de sécurité doivent s'assurer de disposer d’indicateurs raisonnables pour le temps moyen de détection, de réponse et de remédiation. Elles doivent en outre s'assurer que tous les outils acquis ou construits pour aider à l'automatisation de la réponse contribuent à faire baisser ces chiffres au fil du temps.

Le paysage de la menace est encore préoccupant et le restera probablement encore longtemps. À moins de continuer à apprendre à détecter et à réagir plus rapidement, nous n'aurons aucun moyen de repasser devant les attaquants auxquels nous sommes confrontés aujourd’hui. Et encore plus demain.