SOC

Cyber Threat Intelligence

Le concept de CTI (Cyber Threat Intelligence) est issu du monde du renseignement. Il vise à collecter les informations idoines pour identifier les menaces cyber, par exemple des indicateurs de compromission, des alertes ou des techniques d’attaques. L’objectif est d’améliorer l’efficacité de sa réponse aux incidents de sécurité en dotant les parties prenantes, en particulier les SOCet les CSIRT d’outils facilitant le partage d’informations. Comme dans le monde du renseignement, il ne suffit pas de collecter et partager des informations, il faut aussi les traiter pour prendre rapidement les bonnes décisions. Rappelons à ce sujet les normes ISO 27035 qui donnent un cadre pour améliorer son processus de qualification et de décision des événements et incidents de cybersécurité. Le CTI est de plus en plus intégré dans le référentiels de bonnes pratiques de cybersécurité, comme le référentiel CIS en particulier.

ISAE 3402 : renforcer la confiance clients-fournisseurs

La démarche ISAE 3402 (International Standard on Assurance Engagements ) permet de gagner en confiance et en transparence dans la relation clients-fournisseurs. C’est une démarche reconnue internationalement qui bénéficie des initiatives américaines de l’AICPA et du support des associations internationales IAASB et IFAC. Ce standard est au programme des certifications individuelles de cybersécurité CISSP et sécurité du Cloud CCSP et CCSK. Cela rejoint les bonnes pratiques de sécurisation de la sous-traitance : voir la vidéo de présentation du SCRM et les bonnes pratiques pour mettre en place un programme C-SCRM.

Les CSIRT (Computer Security Incident Response Team)

Le premier CERT a été créé aux Etats-Unis en réponse à la propagation du premier programme autoreproducteur en novembre 1988 (ver Morris) sur les prémices d’Internet. La première cellule de réponse à incident était née et sera bientôt suivie par beaucoup d’autres que ce soit au niveau des agences nationales de sécurité, des groupes privés (bancaires en particulier) ou des sociétés spécialisées en cybersécurité. Le terme « CERT » ayant été enregistré aux Etats-Unis et son utilisation encadrée, c’est le terme CSIRT qui est souvent préféré. Rappelons que la série des normes ISO 27035 fournit des bonnes pratiques pour mettre en place un processus efficace de réponse aux incidents de sécurité.

Les investigations numériques

La détection des événements suspects et la qualification des incidents de sécurité sont des éléments clés du processus de réponse aux incidents de sécurité (voir quelques recommandations ici et ici), que l’on retrouve dans la série de normes ISO 27035. Les CISO/RSSI doivent intégrer cette capacité de détection et de réponse à leur politique de sécurité. L’investigation numérique ou « digital forensics » est une discipline spécifique de la cybersécurité, avec ses compétences et ses outils. Cet article dresse un aperçu des bonnes pratiques disponibles dans cette matière qui, si elle reste très ardue techniquement doit être mieux comprise et intégrée aux processus de réponse et réaction aux incidents.

Les SOC (Security Operation Center)

Les SOC (Security Operation Center), internes ou externalisés se concentrent sur la détection et la notification des incidents de sécurité. Les modalités de réponses aux incidents sont du ressort des équipes internes avec l’aide de services des CSIRT, par exemple pour les investigations numériques. Des bonnes pratiques issues des normes ISO 27035 ou du NIST SP 800-61 permettent de définir et de mettre en œuvre un processus efficace de détection et de réponse aux incidents de sécurité. Pour construire son SOC, on peut s’appuyer sur des référentiels comme le PDIS de l’ANSSI ou les bonnes pratiques publiées par l’ETSI.

OCSF pour normaliser les événements de sécurité

Les bonnes pratiques de réponse à incidents, par exemple le NIST 800-61 ou le standard ISO 27035 distinguent l’évènement de l’incident de sécurité. Pour avoir une chance de détecter les attaques ciblées et discrètes, il faut collecter le maximum d’informations, définir et tester des règles de corrélation que les analystes du SOC vont traiter. Le cadre OCSF (Open Cybersecurity Schema Framework) est un projet Open Source sous licence Apache 2.0. Il propose une normalisation des événements de sécurité pour faciliter l’interopérabilité entre les outils. Ce cadre est utilisé par exemple pour sécuriser les environnements du Cloud AWS au travers le service Security Lake. Ce service centralise les événements de sécurité. OCSF peut être utilisé en complément de la base de techniques d’attaques MITRE ATT&CK.

SOAR - Security Orchestration, Automation and Response

Les outils de type SOAR - Security Orchestration, Automation and Response dont l’acronyme a été popularisé par le Gartner permettent d’améliorer l’efficacité du processus de réponse aux incidents en automatisant les phases de détection, de triage et de réaction. Ces outils sont de plus en plus recherchés en complément des SIEM – Security Information and Event Management utilisés par les SOCet des plateformes de CTI. Les outils SOAR sont au programme de la certification CISSP et abordés dans le domaine 7. Le marché des outils SOAR est en forte croissance avec des acteurs comme IBM Resilient, Splunk Phantom, Demisto Palo Alto Networks, Fireye, Logrhythm ou FortiSOAR. Voici quelques exemples de tâches qu’on peut automatiser avec les outils SOAR. Ces tâches sont classées selon les fonctions du référentiel NIST CSF.