Recourir à un Security
Operations Center (SOC) en tant qu’organisation permet de s’assurer d’avoir un
œil en permanence sur l’activité opérée au niveau de ses systèmes d’information
dans l’optique de réagir efficacement et rapidement à toute attaque ou anomalie.
Afin de vous permettre de vous en rendre compte, cet article vous invite à vous
mettre dans la peau d’un bénéficiaire du SOC de POST.
Le Security Operations
Center (SOC) est un élément qui contribue grandement à assurer
la sécurité d’une organisation et, plus particulièrement, de ses systèmes
d’information. A travers l’analyse de divers logs, autrement dit des événements
opérés au départ des systèmes informatiques, l’idée est de parvenir à
identifier des anomalies ou encore des attaques. Ces logs peuvent traduire
toute activité sur des serveurs, base de données, application, firewall et de
nombreux autres appareils. Ces informations sont remontées auprès du SOC, qui
opère une surveillance 24h/24 et 7j/7. Selon des règles établies, l’analyse des
logs peut donner lieu à des alertes et au déclenchement de procédures visant
une réaction rapide en cas de problème. En recourant au SOC, le client gagne en
tranquillité d’esprit. En permanence, quelqu’un veille sur ses actifs
numériques les plus précieux.
Une mise en place qui tient compte
du contexte de l’organisation
Opérer une surveillance optimale des
systèmes d’information, toutefois, exige au préalable de tenir compte du
contexte de l’organisation, des activités qu’elle mène, de sa géolocalisation,
de ses fournisseurs, de ses besoins et de ses risques. Les opérateurs du SOC de
POST vont donc se renseigner sur les activités du client, notamment pour
établir ce qui relève d’une activité normale à travers les systèmes
d’information.
Il s’agit aussi de déterminer le
périmètre de surveillance du SOC, afin d’identifier les logs disponibles et
ceux qui sont les plus pertinents à faire remonter pour assurer une veille de
qualité. Un SOC est capable de monitorer des firewalls, serveurs, laptops,
bases de données, anti-virus, IDS, IPS, VPN, etc. Soit tout type d’équipement
permettant l’envoi de logs par le protocole IP. Le périmètre et la capacité
financière du client vont permettre de préciser le nombre d’éléments à
monitorer et la volumétrie des logs à analyser.
Établir des règles de surveillance
L’enjeu le plus important, une fois ces
étapes effectuées, est de mettre en œuvre des règles de surveillance. Une règle
peut, par exemple, consister à déclencher une alerte si les logs respectent une
ou plusieurs conditions spécifiques.
Le SOC de POST prévoit un ensemble de
règles génériques, qui s’appliquent par défaut aux technologies de ses clients,
et qui permettent de veiller sur des risques communs à tous les acteurs.
D’autres doivent être mises en œuvre en fonction du contexte de l’entreprise.
Mettre en place des alertes et
effectuer des investigations sans délais
On
distingue plusieurs catégories de règles.
Toutes les règles déclenchent des alertes, seulement une partie d’entre
elles vont entrainer la création d’un ticket et d’une investigation en temps
réel.
Les autres règles servent principalement de Reporting pour toute demande
d’audit interne ou externe. Une stratégie de corrélation propre au SOC de
POST permet de superviser l’ensemble des alertes même sans investigation en
temps réel.
Suite
aux déclenchements d’alertes nécessitant une investigation en temps réel,
l’équipe, au premier niveau, pourra :
- Réaliser les
premières investigations ;
- Catégoriser
l’alerte en faux positif et fermer le ticket d’incident ;
- Contacter les
équipes en charge de la gestion des systèmes informatiques, qui donneront
plus de contexte ou une justification ;
- Contacter le
client et lui transmettre toutes les informations nécessaires ;
- Mobiliser le
deuxième niveau du SOC, lorsqu’une investigation plus poussée est
nécessaire.
Disposer d’indicateurs utiles à la
gestion de la sécurité
D’autres règles, pour des cas ne
nécessitant pas d’investigation en temps réel, ne vont pas faire l’objet d’une
investigation instantanée mais servir à l’établissement de rapports ou tableaux
de bord de suivi de l’activité a posteriori ou dans la perspective d’un audit.
Ces données permettent une meilleure compréhension de l’activité sur le système
dans l’optique, par exemple, d’adapter les règles établies.
Tester et faire évoluer les règles
dans le temps
Chaque règle, avant
une mise en production, doit être testée, pour s’assurer que les résultats
attendus correspondent aux attentes. Les règles doivent être adaptées en
permanence selon une approche d’affinement des règles, notamment pour limiter les faux
positifs, comme le déclenchement d’une alerte alors que la situation
ne l’exige pas.
Une démarche d’amélioration
continue aux côtés du client
Au-delà de la supervision
opérationnelle, l’équipe du SOC programmera des meetings réguliers avec le
client, pour rendre compte de la situation, envisager de monitorer de nouvelles
vulnérabilités, passer en revue les alertes afin d’envisager les adaptations à
réaliser. Ces rencontres, qui peuvent avoir lieu toutes les semaines au début
de la relation en phase d’implémentation du SOC et qui s’espacent pour une
période d’un mois minimum une fois les éléments bien en place, permettent de
faire le point sur les nouveaux besoins, les évolutions en cours du côté du
client, la nécessité d’obtenir de nouveaux indicateurs ou de faire évoluer des
rapports ou tableaux de bord. Le but est d’éviter le mode « black box » et ces
meetings de revues régulières permettent de remonter la totalité des événements
passées au client.
En maintenant des échanges réguliers, le
SOC de POST s’inscrit dans une démarche d’amélioration continue, pour assurer
au client une sécurité optimale et une qualité de service à la hauteur de ses attentes.
Subscribe to our Newsletters
Stay up to date with our latest news
more news
"Small is Beautiful": Post Cyberforce, Wins GSMA Telecommunication-ISAC Award
by Kamel Amroune I 7:32 am, 28th February
Embodying the principle that "Small is Beautiful," Post Cyberforce, under the exemplary leadership of Mohamed Ourdane, and Alexandre De Oliveira for his investment in GSMA T-ISAC have been honored with the prestigious GSMA Telecommunication-ISAC awards.
Interview de Paul Jung : Ivanti et les défis de la cybersécurité
by Excellium Services I 8:52 pm, 12th February
Ivanti, un fournisseur américain de logiciels, a été confronté à une série de vulnérabilités majeures affectant ses appliances de VPN professionnel, notamment Ivanti Connect Secure. Ces failles ont été exploitées dans une attaque de grande envergure touchant des milliers de clients répartis dans des secteurs critiques tels que l'aérospatial, la finance, la défense et les télécommunications à l'échelle mondiale. Les entreprises françaises ainsi que des firmes du Fortune 500 figurent parmi les victimes de cette cyberattaque. Bien qu'Ivanti n'ait pas été directement piraté, les experts en cybersécurité, notamment ceux de la firme Volexity, ont identifié des compromissions potentielles de données affectant au moins 1 700 entreprises.Dans cette interview, nous avons eu l'occasion de discuter avec Paul Jung, Responsable des Opérations CSIRT, chez Excellium Services, pour évaluer l'impact de ces vulnérabilités et discuter des mesures à prendre pour renforcer la sécurité des entreprises touchées.
load more