Trouver le signal dans le bruit

Le temps, c'est de l'argent.
Or, les analystes en manquent cruellement.

Les équipes de sécurité et leurs outils atteignent les limites de leurs capacités à force de traiter des volumes de données toujours plus grands. Le délai moyen de neutralisation des compromissions de sécurité de la plupart des entreprises varie toujours entre 6 heures et une semaine. Les analystes peuvent certes avoir recours à l'automatisation, à la collaboration homme-machine ou encore à l'analyse avancée, mais ils sont alors confrontés au problème suivant : que cibler en priorité ?

Mettez-vous à la place d'un analyste SOC en pleine intervention sur incident. Testez vos compétences avec le scénario suivant pour voir si vous pouvez identifier les signaux les plus pertinents pour l'investigation. Votre temps de réponse sera également chronométré.

Introduction

Situation

Les identifiants d'un utilisateur du réseau d'entreprise ont été volés sur un point d'accès sans fil gratuit. Ils sont utilisés pour accéder au réseau protégé.

Scénario

Les identifiants sont désormais en la possession d'une organisation cybercriminelle qui cherche à s'introduire sur le réseau d'entreprise, faire des ravages, exfiltrer des données et ternir la réputation de l'entreprise afin de provoquer une chute du cours de l'action.

L'analyste en sécurité de niveau I traite de nombreuses alertes de sécurité et doit déterminer lesquelles doivent être traitées en priorité. Cependant, le volume élevé d'alertes peut compliquer l'identification des menaces réelles. Voici un exemple d'alerte qu'un analyste lambda peut trouver en arrivant au bureau le matin.

Point de décision

Dans ce tableau de bord d'incidents de sécurité, quel serait le point de départ recommandé pour l'investigation à la réception d'une alerte signalant un cas potentiel de vol d'identifiants réseau ?

  • A. Total Events (Nombre total d'événements)
  • B. Total Correlated Events (Nombre d'événements corrélés)
  • C. Average Severity – Correlated Events (Aggrégation et corrélation d'évènements)
  • D. Event Distribution (Distribution des événements)
  • E. Source IPs (Adresses IP sources)
  • F. Destination IPs (Adresses IP de destination)
  • G. Events (Événements)

La bonne réponse est « Average Severity – Correlated Events » (Aggrégation et corrélation d'évènements) parce que vous recherchez les événements présentant le risque le plus élevé. Tous les autres indicateurs sont superflus.

Lors de cette deuxième étape après réception de l'alerte, l'analyste en sécurité identifie des connexions anormales provenant d'emplacements géographiques différents. Il utilise pour cela la vue Suspicious Geo Login Events (Événements de géoconnexion suspects) de McAfee Enterprise Security Manager. Parallèlement, l'intégration avec la solution ServiceNow Security Operations crée automatiquement un ticket pour le suivi de la résolution de l'incident de sécurité détecté.

Au terme de l'étape initiale de l'investigation, il semble que le compte de Jason Waters ait été compromis. En effet, trois connexions initiées à partir de trois pays différents ont été effectuées dans un délai très court.

L'analyste en sécurité doit-il poursuivre l'investigation de ces activités suspectes ?

Does the security analyst need to perform further investigation of these suspicious activities?

  • Oui, poursuivre l'investigation.
  • Non, il s'agit de bruit.

La bonne réponse est « Oui » parce que la détection de trois connexions provenant de trois pays différents dans un laps de temps très court est extrêmement suspecte.

Après analyse de l'adresse IP du compte compromis, il apparaît que celui-ci a été utilisé pour exécuter un logiciel malveillant sans fichier, par le biais d'une injection Microsoft PowerShell, afin d'accéder au réseau protégé.

Point de décision

À ce stade, quelles seraient les deux actions les plus appropriées dans le cadre de la réponse aux incidents ?

  • A. Arrêter tous les terminaux du réseau d'entreprise.
  • B. Poursuivre l'investigation afin d'identifier la présence de mouvements latéraux et déterminer si un fichier de malware a été injecté dans la machine de la victime par le biais d'une injection PowerShell.
  • C. Modifier les règles de pare-feu entrantes pour bloquer l'accès au réseau d'entreprise de l'extérieur.
  • D. Créer une règle de corrélation qui se déclenche lorsqu'une nouvelle connexion provenant de tous les pays enregistrés est détectée.
  • E. Désactiver l'accès du compte compromis.
0

Les mouvements latéraux sont extrêmement suspects sur une injection PowerShell. Par ailleurs, il est évident que le compte compromis doit être désactivé.

Dans le cadre d'une investigation détaillée, l'analyste en sécurité passe à McAfee Investigator. Son objectif est d'obtenir plus de détails sur les processus et le sens des mouvements pendant l'investigation, et identifier les mouvements latéraux potentiels de l'attaque en cours.

Si vous n'avez pas encore regardé la vidéo McAfee décrivant la façon dont McAfee Investigator étend l'investigation, faites défiler la page vers le bas et cliquez sur le bouton « Regarder la vidéo » ci-dessous. Passez ensuite à l'écran suivant de l'investigation.

Dans le cadre d'une investigation détaillée, l'analyste en sécurité passe à McAfee Investigator. Son objectif est d'obtenir plus de détails sur les processus et le sens des mouvements pendant l'investigation, et identifier les mouvements latéraux potentiels de l'attaque en cours.

Point de décision

À ce stade, quelles seraient les trois actions recommandées dans le cadre de la réponse aux incidents ?

  • A. Ajouter cette nouvelle alerte et les autres événements de sécurité pertinents à l'incident ouvert en cours.
  • B. Définir la réputation d'un fichier en fonction de l'analyse de son empreinte.
  • C. Déterminer si le fichier inconnu est malveillant en fonction du résultat de l'exécution sécurisée du fichier dans McAfee Advanced Threat Defense.
  • D. Modifier le hachage du fichier afin d'éviter toute propagation en cas de résultat positif.
  • E. Vérifier si d'autres fichiers inconnus ont également été identifiés comme malveillants par McAfee Advanced Threat Defense.
0

Il convient de continuer à collecter les données télémétriques concernant cet incident, donc A est une bonne réponse. Vous devez également déterminer le comportement du fichier à l'aide d'ATD, donc la réponse C est également correcte. Vous devez en outre vous montrer proactif et déterminer si ATD a identifié un comportement similaire de la part d'autres fichiers récemment. Les actions A, C et E sont donc toutes les trois recommandées.

L'analyste en sécurité passe à McAfee Advanced Threat Defense. Là, le fichier suspect implanté lors de l'injection PowerShell est exécuté en toute sécurité et identifié comme malveillant.

Le fichier a été identifié comme malveillant pendant l'analyse approfondie en sandbox.

Point de décision

Des actions sont-elles recommandées après cette étape ?

  • A. Capacité de blacklisting ESM des hashs de fichier catégorisés comme malveillants.
  • B. Modifier les stratégies par défaut de protection de l'accès et de prévention des exploits sur tous les terminaux de l'entreprise pour bloquer l'exécution non autorisée du script PowerShell.
  • C. Ajouter aux listes de suivi McAfee Enterprise Security Manager les adresses IP sources détectées pendant l'infiltration pour une surveillance accrue.
  • D. Toutes les propositions ci-dessus
  • E. Aucune de ces propositions

Blacklisting dynamique des hashs de fichiers malveillants, avec politiques de protection adaptive empechant tout exécution de script PowerShell, et integration en Watchlist ESM des IP sources correspondantes sont toutes trois des actions recommandées.

Modifiez les stratégies par défaut de protection de l'accès et de prévention des exploits sur tous les terminaux de l'entreprise à l'aide de McAfee ePolicy Orchestrator allié à McAfee Endpoint Security pour bloquer l'exécution non autorisée du script PowerShell.

Résultats

Mesures

  • Temps consacré à la résolution:
  • Pertinence des décisions:

L'étude du Ponemon Institue sur le coût des compromissions de données en 2017 a révélé que le délai moyen d'identification des compromissions malveillantes de données était de 214 jours, pour un délai moyen de neutralisation de 77 jours. Chaque jour où une compromission passe inaperçue dans votre environnement coûte de l'argent. Mais combien d'argent ?

Comptez 1 million de dollars par compromission de données. D'après le Ponemon Institute, il s'agit du montant moyen économisé en réduisant le délai d'identification à moins de 100 jours et le délai moyen de neutralisation à moins de 30 jours.

Voici en outre les estimations de McAfee même sur les économies réalisées lorsqu'une équipe qualifiée de répondants aux incidents utilise McAfee Enterprise Security Manager, McAfee Investigator, McAfee Advanced Threat Defense, McAfee ePolicy Orchestrator, McAfee Active Response et McAfee Dynamic Endpoint :

Diminution du temps d'investigation après incident :
44 000 $USD par an
Économies engendrées par la réduction des pannes informatiques :
47 000 $USD par an
Réduction du temps de gestion consacré à la mise en corrélation des journaux :
84 000 $USD par an
Total annual savings:
175 000 $USD par an

*Les avantages et fonctionnalités des technologies McAfee dépendent de la configuration système et peuvent nécessiter la présence de certains éléments matériels ou logiciels ou l'activation de services particuliers. Les démonstrations documentent les performances des composants dans le cadre d'un test particulier réalisé sur des systèmes spécifiques. Les différences au niveau du matériel, des logiciels ou de la configuration peuvent avoir une incidence sur les performances réelles. Consultez d'autres sources d'informations pour évaluer les performances des solutions dont vous envisagez l'acquisition. Les scénarios de réduction des coûts et de temps décrits sont fournis à titre d'exemple pour illustrer la manière dont un produit McAfee peut, dans les conditions et les configurations spécifiées, avoir un impact sur les coûts futurs et engendrer des économies de temps et d'argent. Les circonstances et résultats peuvent varier. McAfee ne fournit aucune garantie quant à la réduction des coûts. Aucun système informatique ne peut être totalement sécurisé.

Analyse de gestion de la valeur

  • Souhaitez-vous obtenir une analyse de ce type, appliquée à vos conditions d'exploitation spécifiques ?
  • Indiquez vos coordonnées ci-dessous et un représentant McAfee vous contactera pour organiser avec vous une analyse personnalisée que vous pourrez partager et étudier avec vos collègues.
Suivant
A propos de McAfee | Espace presse | Opportunités d'emploi | Blog | Nous contacter | Mentions légales

Copyright © McAfee, LLC