Denis Demontes

Comment gérer les Faux-Positifs dans un SOC

Le SIEM[1] est l’un des outils les plus importants dans la lutte contre les cyber-attaques, mais avec l’augmentation du volume des données en provenance des différents équipements, le traitement des incidents issus du SIEM peut atteindre des proportions débordant les équipes de sécurité, car il y a trop d’alertes à traiter.

En effet, les statistiques montrent que, quelle que soit la taille des entreprises, le pourcentage de faux-positifs et d’alertes redondantes dans l’opération des SOCs est très élevé. Une enquête menée par FireEye sur des entreprises de grande taille à niveau mondial a trouvé que 37% des répondants recevaient plus de 10.000 alertes chaque mois. De ces alertes, 52% étaient des faux-positifs et 64% étaient des alertes redondantes.[2]

En conséquence, les équipes de réponse SOC subissent ce qui est appelé l'alarm fatigue: trop d’alertes de sécurité finissent par désensibiliser les équipes, et les attaques réelles commencent à passer au travers des filets du SOC.

C’est pourquoi réduire les faux-positifs et libérer les équipes pour les concentrer plutôt sur des analyses d’impact business est devenu un enjeu critique pour l’efficacité d’une solution SOC, voire une question de survie des équipes.

Quelle est donc la stratégie à suivre ?
La réponse se trouve dans l’automatisation du traitement des incidents.

Architecture SOC simplifiée

Pour mieux comprendre l’enjeu, il est important d’introduire le concept de playbook (aussi appelé blueprint).

Un playbook est un script qui décrit un ensemble d’étapes à suivre dans un processus ou sous-processus. Un ensemble de playbooks travaillant de manière intégrée composent un workflow et ceux-ci se déroulent ou sont exécutés dans les trois phases de la chaîne d’une cyber-attaque : détection, analyse et remédiation.

Plus précisément, le playbook est la clé d’accès à cette dimension où le temps libérera les équipes SOC.

Mais nous sommes face à un obstacle important qu’il faut franchir : il n’existe pas de standard pour concevoir, développer et implémenter des playbooks. Il faut une représentation standard des données pour que le moteur SOC puisse lire et exécuter les scripts et que ces scripts puissent à leur tour être enchaînés par l’outil workflow.

Malheureusement, les opérateurs sont condamnés à une solution manuelle ou semi-automatique et l’hétérogéneité des composants des solutions SOC ne facilite pas la tâche. En général, les implémentations SIEM contiennent les playbooks sous forme de document contenant les instructions à suivre par l’ingénieur sécurité en cas d’incident, i.e. playbooks Cisco, playbooks QRadar, etc.

L’avenir semble se trouver dans les technologies SOAR (Security Orchestration, Automation and Response). Les capacités de gestion dans l’analyse des menaces ont commencée à converger vers les outils d’orchestration, d’automatisation et de réponse de manière à fournir un outil unifié aux équipes de sécurité.

Pour commencer, les entreprises doivent se focaliser dans l’automatisation des tâches et l’orchestration des réponses aux incidents qui sont faciles à implémenter (temps après automatisation est nettement inférieur à celui du cycle classique de réponse à l’incident).

Les fournisseurs de solutions SOC doivent travailler ensemble dans la mise en place d’un standard métier qui permettra l’intégration des playbook d’origines diverses, il faut donc pouvoir disposer d’un guide de la cyber sécurité, d’un ensemble de playbooks qui puissent être installés et exécutés dans n’importe quelle solution SOC, en un clic.

L’Intelligence Artificielle et les technologies Cloud viennent aussi prêter main forte aux équipes de sécurité. Effectivement, la tendance actuelle est orientée vers l’utilisation des plateformes cloud et les algorithmes de Big Data et Machine Learning. La technologie cloud permet l’implémentation de solutions escalables, redondantes et de haute disponibilité pour le traitement de volumes gigantesques d’information et les algorithmes d’intelligence artificiel fournissent la modélisation des comportement dans la détection et réponses aux menaces, CloudIA de Logrithm et Watson d’IBM étant deux exemples.

Conclusion

Avec les menaces sur les systèmes d’information plus que jamais grandissantes, l’augmentation des volumes d’information en provenance des différents équipements (Big Data) des systèmes d’information, l’analyse et la détection des menaces est de plus en plus difficile et inefficace. Il faut faire un virage dans la stratégie et se tourner vers les solutions open source, le partage d’intelligence et l’automatisation des processus liés à la sécurité. C’est en s’adaptant rapidement que les entreprises auront une chance de lutter efficacement contre les cyber-attaques.

  1. les outils de Security Information and Event Management permettent une analyse temps réel des alertes de sécurité générées par les applications et les infrastructures. ↩︎
  2. Pour accéder aux rapports Fireye et des articles concernant la cybersécurité pour C-Level Executives, visitez https://www.fireeye.com/offers/cyber-security-for-c-level-executives.html↩︎
Articles associés

Ransomware, sont ils inéluctables?

24 mars 2020
Une municipalité, un hôpital, une chaîne de télévision, un constructeur automobile, un groupe de lingerie et un fabriquant de charcuterie, aucun rapport a priori ? Eh bien le dénominateur commun est qu’ils ont tous été victimes d’une attaque par ransomware et ont vu tout ou partie de leurs services paralysé, ou a minima fortement perturbé, […]

Réseau et Sécurité, amalgame pour un échec

9 janvier 2020
Certains penseront que je suis parfois un peu négatif, ceux qui me connaissent savent que ce n’est pas totalement faux, mais le raccourci réseau = sécurité perdure encore et ce pour le meilleur, mais surtout pour le pire. Certes, et je suis le premier à le dire, maîtriser totalement les flux entrant et sortant de […]
Partager cet article
Derniers articles

La continuité d’activité face à la pandémie

  Le Coronavirus ou COVID-19, qui touche une grande partie des pays en ce moment, met à l’épreuve les services informatiques et les infrastructures de toutes les sociétés. Les Plans de Continuité d’Activité (PCA), quand il y en a !, sont tous testés grandeur nature actuellement, et parfois dans une situation non prévue, ou dont la […]

Ransomware, sont ils inéluctables?

Une municipalité, un hôpital, une chaîne de télévision, un constructeur automobile, un groupe de lingerie et un fabriquant de charcuterie, aucun rapport a priori ? Eh bien le dénominateur commun est qu’ils ont tous été victimes d’une attaque par ransomware et ont vu tout ou partie de leurs services paralysé, ou a minima fortement perturbé, […]

Sécurisation des accès réseaux, un enjeu majeur pour les entreprises

Les entreprises d’aujourd’hui sont confrontées à une croissance exponentielle du nombre d’équipements interconnectés au sein de leurs réseaux informatiques : Téléphone IP, switches, routeurs,  PC de bureau, ordinateurs portables, photocopieurs, caméras IP, des objets IoT (l’Internet des objets), équipements de visioconférences, ainsi qu’une multitude de mode d’accès à leurs réseaux internes qu’il faudra sécuriser, allant […]

to be or not to be ?

La haute disponibilité est un enjeu important pour les infrastructures informatiques. Une étude de 2007 estime que la non-disponibilité des services informatiques peut avoir un coût de 440 000 euros de l’heure Lors de la construction d’un Datacenter, l’infrastructure est conçue en tenant compte de cet enjeu ; les architectes IT doivent pouvoir concevoir leurs […]