Grâce au commerce électronique, aux appareils IdO, aux médias sociaux et bien plus encore, les entreprises collectent des volumes de données plus importants que jamais. Mais souvent, c’est sur la base qu’ils collectent tout et déterminent quoi en faire plus tard. Une approche qui les expose au risque que les données puissent être utilisées à mauvais escient.
Nous avons parlé à la société de détection et de réponse ouvertes Corelight’s Le CISO Bernard Brantley, qui pense que les organisations peuvent mettre en œuvre une stratégie de données complète, leur permettant de remonter du risque aux journaux bruts et de créer une chaîne d’approvisionnement qui génère des informations essentielles aux activités de réduction des risques.
BN : Comment les organisations doivent-elles procéder pour réévaluer leur stratégie de données ?
BB : Il y a cinq étapes essentielles pour développer une stratégie de données complète qui permet à une organisation de générer des informations essentielles aux activités de réduction des risques :
Recueillir des données pertinentes-Tirer parti des activités d’évaluation des risques telles que la modélisation des menaces pour déterminer quels types de journaux et attributs fournissent y notre équipe le plus de valeur. Essayez de commencer par un cas d’utilisation afin de maximiser les informations des journaux déjà collectés avant d’intégrer les journaux de valeur inférieure. Faites le travail en amont–Oubliez les requêtes ad hoc inefficaces et catégorisez et classez plutôt les activités dans les journaux. En prenant en charge les flux de travail analytiques, les défenseurs peuvent créer des vues de type tableau de bord des activités pertinentes, repérer les tendances à court et à long terme et identifier les angles morts dans la couverture. Écoutez les parties prenantes–Si l’entreprise est incapable de traduire les résultats de sécurité en action, cela n’a aucune valeur. L’intégration de la logique métier dans la façon dont les équipes de sécurité élaborent les sorties peut fournir une valeur analytique supplémentaire grâce aux journaux qu’elles collectent. Réévaluer constamment–La capacité d’apprendre, de désapprendre et de réapprendre est essentielle pour recueillir un contexte supplémentaire grâce à la collecte de types de journaux supplémentaires ou à la fusion de données auparavant disparates. Ajouts illimités-L’ajout de types de journaux supplémentaires, de processus de transformation ou la génération de nouvelles sorties doit être illimité. Votre stratégie de données et votre architecture de chaîne d’approvisionnement doivent permettre une mise en œuvre sans friction et en temps opportun afin que les équipes puissent développer de nouveaux cas d’utilisation.
BN : Une plate-forme de gestion des informations et des événements de sécurité (SIEM) est-elle suffisante ?
BB : Alors que les équipes de chasse aux menaces évoluent vers la résilience et la sécurité basée sur les données, elles ont besoin de données offrant une visibilité sur tout ce qui se passe sur le réseau, pas seulement sur les données d’événement telles que les alertes. Plus de données signifie plus de volume, étirant le SIEM à sa limite. C’est pourquoi un nombre croissant de défenseurs utilisent en fait deux plates-formes SIEM, l’objectif étant une recherche plus rapide et un chemin vers des analyses personnalisées à un coût raisonnable.
Cela étant dit, en avoir deux n’est pas nécessairement idéal. Les grandes institutions peuvent se le permettre et disposent du personnel, mais le coût reste prohibitif pour 95 % des autres organisations qui n’ont pas d’équipe dédiée ou la capacité de déployer et de maintenir un lac de données de sécurité.
Organisations mettent souvent en œuvre une stratégie de collecte de données par peur de manquer quelque chose. Je conteste l’hypothèse selon laquelle nous devons tout collecter et déterminer son utilisation au point de l’incident.
BN : Comment une stratégie de données raffinée peut-elle influencer les activités d’évaluation des risques d’une organisation ?
BB : Lorsque les équipes définissent des paramètres sur ce qu’il faut rechercher, ce qu’il faut stocker pour les analyses en cours et futures et s’assurent qu’il s’agit d’un processus itératif, elles n’ont plus besoin de faire bouillir l’océan pour obtenir les résultats dont elles ont besoin. Le bienfaiteur à long terme ici est l’évaluation des risques, qui peut ensuite être menée de manière rapide, hautement collaborative et communicative, permettant aux équipes de comprendre et de découvrir la vérité plus rapidement.
BN : Qu’est-ce que c’est ? la valeur des preuves dans une stratégie de données complète ?
BB : Les équipes de sécurité ont besoin de faits pour établir un dossier d’innocence ou de culpabilité. Ils apprécient les preuves, mais cela ne signifie pas qu’ils exécutent une stratégie fondée sur des preuves. Il est impératif que nous considérions nos preuves comme des matières premières dans la chaîne d’approvisionnement du renseignement et recherchions des opportunités pour en extraire le maximum de valeur. Cela peut faire gagner du temps aux équipes grâce à un changement structurel proactif et aider à éviter un impact inutile des adversaires.
Les défenseurs peuvent utiliser les preuves de manière proactive pour identifier et protéger les risques structurels dans leur zone de contrôle. Les preuves peuvent également être utilisées de manière réactive en soutenant les activités de détection (ré)ingénierie, de réponse et de récupération. Il est impossible d’éviter un événement de sécurité, mais de quel côté nous passons la plupart de nos cycles dépend de notre stratégie globale de données et de la manière dont nous alimentons nos preuves.
BN : Pour l’avenir, quels sont les deux plus grands risques auxquels sont confrontées les équipes de sécurité des organisations au cours de la nouvelle année si elles ne modifient pas leur stratégie de données ?
BB : Il existe vraiment un seul risque avec deux niveaux d’impact distincts. Sans ajuster leur stratégie de données, les défenseurs seront incapables de découvrir et d’exploiter les relations au sein des données de manière durable. Par conséquent, les opportunités de collaboration au sein ou entre les équipes pour développer davantage un programme de sécurité inclusif resteront un angle mort. Les données que nous détenons aujourd’hui contiennent plus qu’un contexte pour les données au niveau des événements. Chaque source de données représente la somme des opérations d’une équipe donnée vers un résultat. Les liens contextuels entre les sources de données représentent des interactions connues et inconnues entre ces équipes ; des points d’engagement qui peuvent conduire à des opérations plus efficaces et plus complètes.
Il sera également difficile de tirer parti de l’automatisation autour des workflows de détection et de réponse aux incidents qui facilitent l’explicabilité ; les histoires que nous pouvons raconter à propos de nos données. Des récits solides sont le principal outil pour convertir des informations spécifiques à un domaine (sécurité, entreprise, etc.) en connaissances institutionnelles. Sans eux, nous continuerons à rater des occasions d’influer sur les changements ayant un impact sur la culture et les équipes de sécurité auront du mal à socialiser leur véritable valeur au-delà de l’organisation de la sécurité.
Crédit image : ml12nan/depositphotos.com