16 avril 2020
Qu’il soit interne, externe ou hybride, le SOC constitue aujourd’hui une pièce maîtresse dans les capacités de détection, analyse, alerte, réponse et prévention des cyberattaques pour toute organisation relativement mature. Comment faire pour améliorer son SOC dans ces conditions ?
Si sa mise en place doit suivre des étapes bien définies avec une phase de cadrage et de design approfondie comme le détaille l’article publié sur le blog d’Orange Cyberdefense, la question de son efficacité reste une préoccupation des COMEX ayant souvent consentis des investissements importants pour son implémentation. Surtout dans un contexte de cybermenace en croissance et en constante évolution (voir l’étude d’Orange Cyberdefense sur le sujet). Une étude récente de Ponemon[1] menée en 2020 auprès de 600 organisations opérant un SOC établit que seules 50% des organisations jugent leur SOC efficace en termes de collecte de preuves, investigation et d’identification des sources de menaces.
D’après l’institut SANS[2], seule la moitié des SOC interrogés disposaient d’indicateurs de performances formalisés et suivis.
Or comme nous le rappelle Deming « on ne peut pas améliorer que ce que l’on ne sait pas mesurer ». Ainsi dans une récente publication, le MITRE[3] (base de connaissance internationale renseignant sur les tactiques et techniques utilisées par les cyberattaquants à la lumière des attaques observées) propose plusieurs indicateurs permettant de mesurer d’abord l’alignement du SOC avec les objectifs business de l’organisation ; puis la couverture du SOC en termes de périmètre technique, ensuite la capacité d’analyse des informations gérées par le SOC, par la suite les capacités de reporting, et enfin l’influence du SOC sur les décisions et actions prises.
Ainsi ces indicateurs peuvent aller d’indicateurs internes tels que la disponibilité et l’utilisation des ressources techniques du SOC (lors de précédentes missions, OCD a déjà pu relever que certains SOC n’étaient pas en capacités de générer des alertes pour la simple raison que les ressources étaient saturées ou indisponibles), à la couverture des Tactics, Techniques and Procedures (TTP) proposées par exemple par MITRE (qui suggère aussi une classification par secteur d’activité de l’organisation étudiée), en passant par le taux de faux positifs remontés. Des indicateurs « externes » comme le Time-To-Detect ou Time-To-Respond peuvent également servir de base à la mesure de l’efficacité d’un SOC.
Une fois les mesures identifiées il convient ensuite de les alimenter ; et pour cela plusieurs possibilités existent : qu’ils s’agissent d’équipes internes pour des organisations matures, organisées et disposant de budget sécurité conséquents ou d’équipes externes pour des besoins plus ponctuels, plusieurs types d’exercices permettent de nourrir ces indicateurs. Citons 3 types d’exercices : les exercices sur table, les tests techniques type redteaming et enfin les audits plus organisationnels basés sur des frameworks comme le CMM.
Les exercices sur table permettront de mesurer les écarts en termes d’organisation, remontée et partage d’information, processus de prise de décision etc. Idéalement basé sur des incidents passés ou avérés type fuite d’informations sensibles, compromission d’un prestataire, propagation d’un ransomware, ces exercices pourront permettre de mesurer les améliorations et réflexes acquis lors d’une situation vécue ou de préparer les équipes à une situation potentiellement grave et probable car identifiée préalablement au moyen d’une analyse de risques et de pentests.
Les tests techniques peuvent recouvrir 2 aspects : une revue indépendante des règles implémentées dans le SIEM et une analyse d’écart avec les uses-cases métiers et les chemins d’attaques cartographiés par le MITRE &TTACK par exemple ou alors par la réalisation de simulations d’attaques sur le SI, plus ou moins planifiées en fonction de la maturité du SOC. Le redteaming (d’origine militaire cette pratique consiste à utiliser plusieurs techniques d’intrusions et de piratage comme le ferait un groupe de cybermercenaires pour tenter d’identifier puis d’exploiter des vulnérabilités en vue de la capture d’un « trophée ». Sans avertissement des équipes de « défense » de l’organisation, les redteamers pourrons utiliser l’ingénierie sociale, la corruption, l’intrusion ou le vol physique, l’exploitation de vulnérabilités techniques pour par exemple prendre le contrôle de l’AD) étant l’objectif final avant pourquoi pas du purpleteaming pour les organisations les plus matures. Ces tests permettront, outre de détecter les vulnérabilités techniques et organisationnelles et mesurer les capacités de détection des signaux faibles, alerte, réaction, confinement et investigation des équipes de défense dans une situation « grandeur nature ».
Enfin, les audits plus organisationnels permettront de disposer d’une vision plus globale et d’aborder des volets non techniques liés notamment aux ressources humaines, au reporting à destination des clients du SOC, à la capitalisation de connaissance, à l’organisation interne du SOC etc. A noter qu’il convient de réutiliser le même référentiel dans le temps pour pouvoir réellement mesurer les évolutions apportées au SOC.
Parmi les principaux constats réalisés par Orange Cyberdefense Africa, le décalage entre les besoins métiers souvent trop peu formalisés, et les règles techniques de détection implémentées a tendance à isoler le SOC dans une posture purement technique avec des difficultés à valoriser sa valeur ajoutée sur le moyen ou long terme. Dû parfois à une mise en place suivant une volonté de pure conformité règlementaire ou à une mise en place dans l’urgence, notamment lors de la période COVID-19, les objectifs du SOC (sa mission, son périmètre, ses ressources, ses contraintes etc.) doivent être bien définis pour assurer un déploiement et une évolution fluides.
L’autre élément relevé par OCD et par l’étude Ponemon[4] concerne le manque de visibilité sur le parc du SOC en lien très souvent avec des défaillances dans la gestion des actifs (inventaires incomplets ou obsolètes, exclusion du SOC du processus de gestion des changements etc.). Ainsi la maîtrise de ses actifs informationnels devient un prérequis important pour avoir un SOC efficace. De la même façon vouloir mettre en place un SOC sans avoir préalablement identifier l’ensemble des dispositifs de détection qui seront générateurs de logs permettant la détection des uses-cases validés en amont ne permettra pas de tirer parti efficacement de son SOC.
Enfin, comme évoqué plus haut, la mise en place d’indicateur de mesure permet d’éviter les mauvaises surprises sur le capacity planning défaillant, les délais de notifications trop longs, les faux positifs trop nombreux, les périmètres insuffisamment couverts etc. Plus généralement s’inscrire dans une logique d’amélioration continue (Deming quand tu nous tiens !) et de transparence permet au SOC de valoriser son apport et d’évoluer en accompagnant la stratégie de l’entreprise et en s’adaptant aux changements de contextes internes et externes.