Le paysage des menaces s'étend à un rythme effréné. De nouvelles vulnérabilités sont publiées chaque jour et le nombre de serveurs, d'applications et de terminaux à gérer par les ITOps ne cesse de croître. Ces menaces sont également de plus en plus puissantes et fréquentes, comme en témoigne une récente vague de attaques mondiales de ransomware ont vu des auteurs extorquer des milliers de dollars. Les experts estiment qu'il s'agit souvent d'une ruse qui masque des tentatives de destruction de données.

À mesure que les organisations adoptent ITOps bimodal Les méthodologies de gestion des incidents pour gagner en agilité, éviter les incidents et renforcer la sécurité peuvent constituer un véritable défi. Parmi les nouveaux défis figurent l’exploitation des conteneurs et des ressources du cloud public, la gestion des incidents de sécurité dans ces domaines de données distincts et l’utilisation de tout nouveaux groupes d’utilisateurs pseudo-administrateurs ayant accès aux ressources clés. Pour permettre une visibilité complète de la pile et la résolution des incidents pour répondre aux exigences toujours croissantes des ITOps, une stratégie SecOps à multiples facettes est nécessaire. En fait, j’ai tendance à considérer la gestion des incidents SecOps comme une combinaison nécessaire pour créer un environnement véritablement sécurisé, à la fois exploitable et visible.

Phase 1 : Arrêter la menace

Source : Sophos – Anatomie d’une attaque de ransomware (infographie)

Tout d’abord, réduire la complexité de votre pile SecOps vous aidera à maintenir la capacité d’action tout en appliquant votre politique SecOps. Pour le dire simplement, contrecarrez l’attaque et informez votre équipe ITOps qu’elle doit y remédier. La simplicité est essentielle pour réduire le bruit de vos alertes et incidents de sécurité afin que vous puissiez vous concentrer sur les signaux qui comptent vraiment. Les pratiques SecOps conseillent aux équipes d’utiliser un chronomètre intégré pour réagir le plus rapidement possible et s’assurer que les menaces sont arrêtées avant qu’elles n’endommagent les SLA de production et les données critiques. Les meilleurs exemples de cette gravité sont lorsque les réseaux et les systèmes sont exposés à Menaces zero-day ou ransomware . Dans ces cas, la clé est d'élaborer une stratégie visant à stopper et à prévenir l'exposition à des menaces massives tout en émettant des alertes vers votre système de gestion des incidents. Dans le cas des crypto-ransomwares, tels que Cryptolocker et Cryptowall, l'objectif est d'exploiter des outils qui empêchent le ransomware de s'attaquer à la menace (étape 2 de l'infographie ci-dessous de Sophos), empêchant ainsi la négociation et évitant l'infection cryptographique.

Nous pouvons ensuite garantir que les pare-feu, les terminaux, les outils de surveillance de sécurité tiers et d’autres sources de données pertinentes sont canalisés vers une solution de gestion des incidents centralisée. De cette façon, SecOps et ITOps peuvent être immédiatement informés et équipés des données et des flux de travail nécessaires à une enquête et une résolution efficaces des problèmes hautement prioritaires. L’utilisation d’outils de sécurité efficaces reste cruciale pour le succès de la gestion de vos incidents de sécurité.

Phase 2 -> Gestion et résolution des incidents

La capacité à détecter et à notifier, mais aussi à enrichir, à escalader et à faciliter la correction et la prévention future des problèmes est tout aussi importante dans les meilleures pratiques de gestion du cycle de vie des incidents de sécurité de bout en bout. Encore une fois, pour obtenir cette visibilité complète de la pile, vous devrez intégrer et regrouper tous vos systèmes de sécurité dans une solution de gestion des incidents centrale. Par exemple, configurez vos pare-feu et vos périphériques réseau pour regrouper les informations dans votre plate-forme de surveillance en exploitant les interruptions/requêtes SNMP, ainsi qu'en intégrant des serveurs Syslog pour envoyer tous les incidents de sécurité à ces sources.

Source : Sophos UTM – Valeurs de priorité Syslog

Lors de la configuration de votre pare-feu et de votre journalisation réseau, vous pouvez gagner beaucoup de temps et réduire la fatigue liée aux alertes en configurant des seuils pour les alertes d'avertissement et critiques par rapport aux alertes d'information et de débogage. Selon votre fournisseur, le seuillage peut varier. Cependant, avec SNMP, le filtrage de l'OID pour ignorer les alertes basées sur les informations et les alertes de débogage tout en autorisant les alertes provenant des messages d'avertissement et d'état critiques garantit que seules les alertes hautement prioritaires sont envoyées à votre système de gestion des incidents.

Avec la journalisation système, vous pouvez définir des conditions de journalisation plus précises, mais l'essentiel ici est de réduire le bruit et de ne notifier que dans des conditions spécifiques. Une fois que vous avez agrégé ces événements dans votre système de surveillance, vous pouvez établir un cadre pour enrichir les alertes avec des informations exploitables et les acheminer vers votre équipe pour remédier aux menaces.

Le syslog peut être utile pour plusieurs raisons. Non seulement il capture des informations détaillées sur la sécurité et les données réseau qui circulent dans vos systèmes de surveillance, mais il peut également faciliter la détection et la prévention des intrusions ainsi que la veille sur les menaces. Au lieu de diriger votre syslog directement vers un système de surveillance, vous avez également la possibilité d'envoyer vos données syslog vers un système d'analyse d'intrusion tiers comme AlienVault ou LogRhythm pour augmenter votre visibilité sur les intrusions et enrichir vos données de journalisation, en créant des alertes exploitables. Vous pouvez ensuite envoyer ces alertes à votre système de gestion des incidents (par exemple PagerDuty ) afin que vous puissiez regrouper les symptômes associés, comprendre la cause profonde, faire appel au bon expert, remédier avec le bon contexte, et visualiser et construire des analyses et des post-mortems pour améliorer la réponse aux futurs incidents de sécurité.

Source : Documentation sur la réponse aux incidents de sécurité de PagerDuty

• En résumé : Exploitez les outils de sécurité pour réellement stopper la menace
• Suivi de base : Établir une politique de surveillance et d’alerte de base
• Enrichissement: Exploitez des outils tiers pour enrichir vos données et vos renseignements sur les menaces
• La gestion des incidents: Bénéficiez d'une visibilité complète sur la pile et assurez-vous que les problèmes sont hiérarchisés, acheminés et transmis. Améliorez le temps de résolution grâce aux flux de travail et aux analyses

Enfin, le même cadre peut être mis en œuvre pour les organisations disposant de ressources de cloud hybride ou de cloud public, même si vous devrez exploiter différents outils tiers pour analyser et enrichir votre visibilité et vos alertes. Par exemple, tirer parti de Alertes Azure lors de l'utilisation de Microsoft Cloud ou Surveillance du cloud AWS lorsque vous utilisez le cloud d'Amazon, vous pourrez configurer un seuillage et une réduction du bruit similaires à ceux de votre serveur de cloud public pour la surveillance et les alertes. La bonne nouvelle est qu'il existe également des outils tiers tels que Evident.io et Pile de menaces qui effectuera facilement des analyses axées sur la sécurité sur votre infrastructure cloud, pour toute personne disposant d'une stratégie ITOps agile, publique, hybride ou bimodale.

Quelle que soit la suite d'outils et de systèmes que vous préférez utiliser lors de la conception de processus de gestion des incidents complets adaptés à votre équipe SecOps, les principes fondamentaux de simplicité, de visibilité, de réduction du bruit et d'actionnabilité restent primordiaux pour le succès. Les équipes ITOps et SecOps se trouvent dans des positions très similaires dans lesquelles les exigences de l'entreprise entrent souvent en conflit avec la capacité de ces équipes à garantir un accès sécurisé et efficace à une liste toujours croissante d'appareils, de services et d'autres points de terminaison.

Pour en savoir plus sur les meilleures pratiques en matière de réponse aux incidents de sécurité, consultez Documentation open source de PagerDuty , que nous utilisons en interne. Vous obtiendrez une liste de contrôle et des informations pratiques sur la manière de couper les vecteurs d'attaque, de constituer votre équipe d'intervention, de gérer les données compromises et bien plus encore. Nous espérons que ces ressources vous donneront une longueur d'avance dans la création d'un cadre solide pour optimiser SecOps avec une gestion efficace des incidents, car ce sera votre recette du succès.