Gains et métriques dans l’automatisation de la réponse à incidents
Les SOC (Centres d’Opérations et de Sécurité) sont souvent surchargés par les alertes à traiter. Le volume de ces alertes de sécurité et le nombre des « faux positifs » augmentent régulièrement avec la complexification des menaces. Les analystes passent beaucoup de temps à produire des rapports et à définir des mesures d’activité. Les SOC doivent gérer des dizaines d’outils hétéroclites provenant des fournisseurs différents. La réponse aux incidents est encore très manuelle et « réactive ». Elle doit s’orienter vers l’orchestration et l’automatisation des playbooks de réponses aux incidents robustes et dynamiques qui s’adaptent en temps réel à mesure que les incidents se déroulent. La plateforme SIEM de réponse aux incidents doit permettre l’escalade, l’enrichissement et la correction automatisée des incidents, en particulier sur les tâches répétitives et chronophages. Les intelligences humaine et artificielle collaborent pour améliorer l’investigation des incidents, l’analyse des données non structurées et la corrélation des menaces. Après une attaque, il convient d’évaluer et d’affiner continuellement les processus de réponse à incident, de régler en permanence les mécanismes de détection en fonction de l’expérience « métier ». L’orchestration et l’automatisation de la réponse à incidents permettent, en moyenne, d’améliorer d’un facteur 40 la vitesse de réaction. Elles engendrent un gain de 400 heures par an et par analyste et une réduction de 1,5 million de dollars sur le coût total d’une perte de données. Le temps de réponse moyen de 85 minutes se réduit en cas d’automatisation à 1 à 2 minutes seulement. Nous présenterons des techniques de réponses à incident basées sur des technologies de machine learning comportemental de type UEBA, qui permettent une efficacité accrue par rapport aux SOCs traditionnels dans les segments suivants : – La capacité à détecter des menaces avancées parfois invisibles pour des opérateurs humains, – La rapidité de détection des menaces et la capacité à traiter des volumes de données de plusieurs dizaines de Go par jour, – La mise en place de méthodes de scoring hybrides automatisées basées sur le couple (machine learning ; threat intelligence) qui permettent de prioriser les menaces à traiter et de quantifier le temps gagné dans le processus global de réponse à incident. Nous verrons comment ces techniques peuvent s’articuler avec un SOC « traditionnel » afin de compléter l’analyse humaine et nous présenterons des KPI permettant de quantifier le gain en temps et en efficacité à l’aide de métriques adaptées. Enfin, nous aborderons l’automatisation de la réponse à incidents en termes de risques (par exemple, le risque de bloquer les mauvaises IP dans le trafic). L’évaluation du risque associé à l’exécution automatisée d’une séquence d’actions en réponse à un incident doit faire partie du processus d’automatisation.