Denis Demontes

Comment gérer les Faux-Positifs dans un SOC

Le SIEM[1] est l’un des outils les plus importants dans la lutte contre les cyber-attaques, mais avec l’augmentation du volume des données en provenance des différents équipements, le traitement des incidents issus du SIEM peut atteindre des proportions débordant les équipes de sécurité, car il y a trop d’alertes à traiter.

En effet, les statistiques montrent que, quelle que soit la taille des entreprises, le pourcentage de faux-positifs et d’alertes redondantes dans l’opération des SOCs est très élevé. Une enquête menée par FireEye sur des entreprises de grande taille à niveau mondial a trouvé que 37% des répondants recevaient plus de 10.000 alertes chaque mois. De ces alertes, 52% étaient des faux-positifs et 64% étaient des alertes redondantes.[2]

En conséquence, les équipes de réponse SOC subissent ce qui est appelé l'alarm fatigue: trop d’alertes de sécurité finissent par désensibiliser les équipes, et les attaques réelles commencent à passer au travers des filets du SOC.

C’est pourquoi réduire les faux-positifs et libérer les équipes pour les concentrer plutôt sur des analyses d’impact business est devenu un enjeu critique pour l’efficacité d’une solution SOC, voire une question de survie des équipes.

Quelle est donc la stratégie à suivre ?
La réponse se trouve dans l’automatisation du traitement des incidents.

Architecture SOC simplifiée

Pour mieux comprendre l’enjeu, il est important d’introduire le concept de playbook (aussi appelé blueprint).

Un playbook est un script qui décrit un ensemble d’étapes à suivre dans un processus ou sous-processus. Un ensemble de playbooks travaillant de manière intégrée composent un workflow et ceux-ci se déroulent ou sont exécutés dans les trois phases de la chaîne d’une cyber-attaque : détection, analyse et remédiation.

Plus précisément, le playbook est la clé d’accès à cette dimension où le temps libérera les équipes SOC.

Mais nous sommes face à un obstacle important qu’il faut franchir : il n’existe pas de standard pour concevoir, développer et implémenter des playbooks. Il faut une représentation standard des données pour que le moteur SOC puisse lire et exécuter les scripts et que ces scripts puissent à leur tour être enchaînés par l’outil workflow.

Malheureusement, les opérateurs sont condamnés à une solution manuelle ou semi-automatique et l’hétérogéneité des composants des solutions SOC ne facilite pas la tâche. En général, les implémentations SIEM contiennent les playbooks sous forme de document contenant les instructions à suivre par l’ingénieur sécurité en cas d’incident, i.e. playbooks Cisco, playbooks QRadar, etc.

L’avenir semble se trouver dans les technologies SOAR (Security Orchestration, Automation and Response). Les capacités de gestion dans l’analyse des menaces ont commencée à converger vers les outils d’orchestration, d’automatisation et de réponse de manière à fournir un outil unifié aux équipes de sécurité.

Pour commencer, les entreprises doivent se focaliser dans l’automatisation des tâches et l’orchestration des réponses aux incidents qui sont faciles à implémenter (temps après automatisation est nettement inférieur à celui du cycle classique de réponse à l’incident).

Les fournisseurs de solutions SOC doivent travailler ensemble dans la mise en place d’un standard métier qui permettra l’intégration des playbook d’origines diverses, il faut donc pouvoir disposer d’un guide de la cyber sécurité, d’un ensemble de playbooks qui puissent être installés et exécutés dans n’importe quelle solution SOC, en un clic.

L’Intelligence Artificielle et les technologies Cloud viennent aussi prêter main forte aux équipes de sécurité. Effectivement, la tendance actuelle est orientée vers l’utilisation des plateformes cloud et les algorithmes de Big Data et Machine Learning. La technologie cloud permet l’implémentation de solutions escalables, redondantes et de haute disponibilité pour le traitement de volumes gigantesques d’information et les algorithmes d’intelligence artificiel fournissent la modélisation des comportement dans la détection et réponses aux menaces, CloudIA de Logrithm et Watson d’IBM étant deux exemples.

Conclusion

Avec les menaces sur les systèmes d’information plus que jamais grandissantes, l’augmentation des volumes d’information en provenance des différents équipements (Big Data) des systèmes d’information, l’analyse et la détection des menaces est de plus en plus difficile et inefficace. Il faut faire un virage dans la stratégie et se tourner vers les solutions open source, le partage d’intelligence et l’automatisation des processus liés à la sécurité. C’est en s’adaptant rapidement que les entreprises auront une chance de lutter efficacement contre les cyber-attaques.

  1. les outils de Security Information and Event Management permettent une analyse temps réel des alertes de sécurité générées par les applications et les infrastructures. ↩︎
  2. Pour accéder aux rapports Fireye et des articles concernant la cybersécurité pour C-Level Executives, visitez https://www.fireeye.com/offers/cyber-security-for-c-level-executives.html↩︎
Articles associés

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

28 octobre 2022
En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables. Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise […]

Votre clé USB peut-elle donner l’accès à votre système d’information ?

31 mai 2022
D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]
Partager cet article
Derniers articles

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables. Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise […]

La nouvelle gestion des ressources humaines

Tout le monde en parle : depuis la crise covid, plus rien n’est comme avant – mais concrètement, qu’est-ce qui a changé ?   Tout d’abord, le recrutement. Dans le secteur de l’IT, il est considéré comme difficile depuis toujours, mais depuis un an ou deux, tous les secteurs sans exception semblent rencontrer des difficultés à embaucher […]

Votre clé USB peut-elle donner l’accès à votre système d’information ?

D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]

Tout savoir sur le SDN : « Software Defined Networking »

Les nouvelles techniques d’automatisation du réseau se multiplient. Aujourd’hui le traitement de données et l’acheminement des paquets, au sein d’un réseau automatisé ou programmable, sont gérés par le biais d’un contrôleur centralisé. Ces technologies ont participé à l’expansion rapide de l’infrastructure réseau, nécessaire pour prendre en charge la croissance exponentielle du trafic généré, et l’ont […]