Incidents associés
"C'est ce qu'on appelle communément une surcharge d'informations. Un professionnel de l'infosec jette un large filet dans l'espoir d'arrêter les logiciels malveillants avant qu'ils ne pénètrent trop profondément dans le réseau, mais comme une lumière de détecteur de mouvement, parfois l'alerte attrape un écureuil au lieu d'un cambrioleur .
Rob Kerr, directeur de la technologie chez Haystax Technology, a cité la violation de 2013 chez Target, comme exemple dans lequel des voleurs ont volé quelque 40 millions de cartes de crédit Target en accédant aux données des systèmes de point de vente (POS). Target a ensuite révisé ce chiffre pour inclure le vol de données privées pour 70 millions de clients.
"Il y a eu de nombreux faux pas avant que la violation ne se produise, mais l'un des plus importants est que Target a manqué des alertes internes - n'a découvert la violation que lorsqu'il a été contacté par le ministère de la Justice", a-t-il déclaré.
Kerr a déclaré qu'il y avait deux problèmes différents liés au problème d'alerte : pendant que l'attaque était en cours, un logiciel de surveillance (FireEye) a alerté le personnel à Bangalore, en Inde, qui à son tour a informé le personnel de Target à Minneapolis. Aucune mesure n'a été prise car ces alertes ont été incluses avec de nombreuses autres fausses alertes probables. Kerr rappelle qu'il est également apparu qu'au moins certains des systèmes d'alerte d'infiltration du réseau de l'entreprise ont été désactivés pour réduire les faux positifs.
Une enquête de FireEye a interrogé des responsables de la sécurité de niveau C dans de grandes entreprises du monde entier et a révélé que 37 % des répondants recevaient plus de 10 000 alertes chaque mois. Parmi ces alertes, 52 % étaient des faux positifs et 64 % étaient des alertes redondantes.
"Cela représente un énorme fardeau pour les entreprises, car environ 40% d'entre elles examinent manuellement chaque alerte", a déclaré Kerr.
Dans la plupart des entreprises, diverses solutions de surveillance et de détection parcourent en permanence les données d'activité du réseau et des utilisateurs à la recherche d'anomalies pouvant indiquer qu'un événement malveillant est en cours. Chaque fois que le système reçoit un coup, une alerte est générée qui nécessite généralement qu'un analyste humain vérifie qu'il s'agit d'une menace réelle, ou qu'elle soit claire comme non applicable ou trop mineure.
Le problème que cela crée est la surcharge des analystes, note Kerr. "En d'autres termes, le système est incapable de fournir suffisamment de contexte pour filtrer l'anomalie avant qu'elle ne génère une alerte, il incombe donc à l'analyste de le faire manuellement. C'est un gros problème car il existe des milliers de données sur les connexions réseau, l'activité des imprimantes et les journaux d'accès aux bâtiments. Il y aura donc une alerte lorsque Bob - qui travaille généralement de 9h à 17h tous les jours - rentre au bureau à 19h30 un soir et imprime un gros fichier un dimanche, accédant à un serveur de fichiers qui lui est normalement interdit .”
L'étude Cisco 2017 Security Capabilities Benchmark Study a révélé qu'en raison de diverses contraintes, les entreprises ne peuvent enquêter que sur 56 % des alertes de sécurité qu'elles reçoivent un jour donné. La moitié des alertes examinées (28 %) sont considérées comme légitimes ; moins de la moitié (46 %) des alertes légitimes sont corrigées. De plus, 44 % des responsables des opérations de sécurité voient plus de 5 000 alertes de sécurité par jour.
Kerr a ajouté que la combinaison du filtrage des activités mineures et de la mise en évidence des risques les plus prioritaires a pour effet net de fournir suffisamment de contexte pour réduire considérablement les faux positifs et les charges qu'ils imposent aux équipes d'analystes surchargées.
L'un des principaux enseignements d'un récent rapport Rapid7 était que la réduction de la fatigue d'alerte devrait toujours être un objectif, mais il y a plus que cela. Un meilleur rapport signal/bruit signifie que les intervenants et les analystes sont plus susceptibles de voir des tendances significatives. Une tendance est que les attaquants s'appuient encore fortement sur l'interaction de l'utilisateur. Par exemple, les lundis fériés, les alertes ont considérablement diminué, ce que les analystes de Rapid7 ont attribué au manque d'employés interagissant avec des e-mails malveillants, des pièces jointes, etc.
Le rapport de Rapid 7 note également que si vous concevez des indicateurs basés uniquement sur les informations actuellement disponibles, plutôt que de rechercher des informations supplémentaires ou d'ajouter un contexte spécifique à l'industrie et à l'entreprise, le résultat sera des alertes de mauvaise qualité. En d'autres termes : alors que la plupart des alertes sont déclenchées par une activité malveillante connue, la qualité de ces alertes dépend entièrement des indicateurs établis.
Alors que l'ensemble du processus change, voici comment aborder l'apprentissage à distance - rapidement
Rebekah Brown, responsable du renseignement chez Rapid7, a déclaré qu'il est difficile de compiler une liste d'alertes courantes qui seront bonnes pour tout le monde, tout le temps. "Même certains qui semblent être des choix évidents - c'est-à-dire, alerter sur les hachages associés aux ransomwares - peuvent ne pas être universellement applicables. Par exemple, s'il s'agit de hachages qui chiffrent des systèmes basés sur Windows, ils ne seraient pas pertinents dans une organisation qui n'utilise que des Mac », a-t-elle déclaré.
Elle a ajouté qu'un client doit identifier les menaces qui le concernent en raison des systèmes qu'il utilise, des données dont il dispose et de son profil de menace. Par exemple, une entreprise de vente au détail qui s'occupe à la fois des ventes en ligne et en magasin souhaiterait alerter sur :
Menaces sur leur plate-forme de commerce électronique, qui peuvent provenir d'un flux de menaces qui rassemble des données sur la force brute et d'autres attaques contre cette plate-forme spécifique
Menaces pour les systèmes de point de vente
Menaces signalées par un groupe de partage d'informations spécifique à l'industrie, tel que le R-CISC
Menaces générales pour les systèmes Windows, y compris les rançongiciels, le vol d'informations d'identification ou les logiciels malveillants
Alertes personnalisées basées sur des éléments qu'ils ont déjà vus dans leur environnement
Brown a déclaré qu'il existe trois principales sources de détection : les flux de menaces (provenant principalement des pots de miel et des capteurs de réseau), les rapports sur les menaces (provenant principalement d'enquêtes IR ou d'initiatives de recherche) et les détections internes (provenant d'incidents antérieurs).
Les listes de base que Brown aime utiliser incluent l'échange de menaces Facebook, Openbl_1d (liste de blocage ouverte 1 jour), Ransomware_feed par Abuse.ch et la liste noire SSL par Abuse.ch.
Erreurs fréquentes
Kerr a partagé des erreurs d'analyse de sécurité courantes qui déclenchent des faux positifs. Ils sont les suivants :
-
Plus d'alertes que vous ne pouvez traiter. Les systèmes d'analyse de la sécurité représentent un défi pour les organisations de sécurité. Ils peuvent alerter sur à peu près n'importe quel événement, et la plupart du temps, ces alertes concernent des événements bénins. La réponse naturelle est d'éteindre les délinquants les plus bruyants. Si vous en désactivez trop, vous risquez de manquer des événements importants. Les bons outils d'analyse de la sécurité utilisent le contexte pour vous offrir le meilleur des deux mondes : moins d'alertes de meilleure qualité.
-
Alerter uniquement pour ce qui se passe en ce moment. Les systèmes d'analyse de sécurité sont le plus souvent configurés pour alerter lorsque quelque chose de manifestement malveillant se produit. Mais attendre de voir une activité malveillante met votre équipe de sécurité en mode de réponse avant même qu'elle ne commence. De bons outils d'analyse de la sécurité sont comme des projecteurs et vous permettent de voir les comportements négatifs avant qu'ils ne commencent afin que vous puissiez prendre des mesures proactives pour les arrêter.
-
Ne regardant que les données du réseau. Les systèmes d'analyse de la sécurité sont souvent configurés pour ne voir que les données du réseau. Ces données sont facilement disponibles et leur connexion à votre système est généralement indolore. Cependant, de nombreux événements réseau potentiellement malveillants sont plus probablement des événements bénins qui ont déclenché votre système d'analyse de la sécurité. Des informations supplémentaires sont essentielles pour effacer les alertes et votre équipe de sécurité passe son temps à collecter des données pour effacer les alertes. De bons outils d'analyse de sécurité s'intègrent à d'autres sources de données internes et externes pour éliminer les alertes spécieuses basées sur le contexte.
-
Ne pas hiérarchiser les alertes. Le temps est notre bien le plus précieux. Les systèmes d'analyse de sécurité qui ne hiérarchisent pas efficacement les alertes font perdre du temps à votre équipe en leur demandant d'effacer les alertes de faible valeur lorsque des alertes très importantes persistent au bas de leur file d'attente. De bons systèmes d'analyse de la sécurité dirigent votre équipe vers les événements qui nécessitent le plus d'attention via une hiérarchisation forte.
-
Alertes sans contexte. Lorsque votre équipe de sécurité traite une alerte, la première chose qu'elle fait est de rechercher des informations supplémentaires qui fournissent le contexte dont elle a besoin pour l'effacer. Ils utiliseront une variété d'outils réseau sur et hors réseau pour évaluer l'alerte et prendre les mesures appropriées. De bons outils d'analyse de la sécurité faciliteront ce flux de travail en s'intégrant à d'autres sources de données internes et externes pour minimiser les fausses alertes et hiérarchiser plus efficacement les vraies alertes.
Mettre en place de bonnes alertes
Brown a déclaré que les entreprises devraient rechercher des rapports spécifiques à votre industrie, secteur ou région géographique. Les rapports sont meilleurs que les flux. En voici quelques-unes qu'elle recommande.
Les rapports US-CERT contiennent généralement au moins quelques informations contextuelles, ainsi que des indicateurs basés sur le réseau qui peuvent être utilisés pour créer des détections pour le trafic réseau (principalement des nœuds c2 - si vous voyez cela, vous avez déjà des logiciels malveillants sur votre système) ainsi que l'hôte les détections basées sur les logiciels malveillants, qui sont généralement des hachages ou des noms de fichiers malveillants. Ceux-ci peuvent être bloqués ou surveillés. S'ils sont bloqués, vous devriez toujours avoir un moyen de vérifier ces alertes, il est important de voir qui a tenté de vous attaquer.
Le DHS/FBI et d'autres rapports .gov ne sont souvent pas aussi opportuns qu'on pourrait l'espérer, mais si le gouvernement prend le temps de publier quelque chose, cela vaut la peine de le lire. Recherchez le moment où l'attaque/les données provenaient. La plupart du temps, avec ces rapports, il est bon de regarder dans le temps pour trouver des indicateurs plutôt que de mettre en place des alertes. Au moment où le gouvernement a publié quelque chose, les attaquants ont probablement changé d'infrastructure ou sont passés à une nouvelle évolution des échantillons de logiciels malveillants.
Les rapports sur les menaces commerciales sont souvent plus opportuns que les rapports gouvernementaux, bien qu'ils arrivent généralement à la fin d'une enquête, il peut donc ne pas être utile de configurer des alertes à la recherche d'activités futures, en particulier lorsqu'il s'agit d'indicateurs basés sur le réseau comme l'IP. des adresses et des domaines souvent inactifs pendant longtemps. Au lieu de cela, recherchez les activités ou les comportements des attaquants pour créer des détections - par exemple, un attaquant a-t-il utilisé un e-mail de phishing pour amener un attaquant à télécharger un fichier, qui a ensuite lancé un exécutable (comme nous l'avons vu avec l'exploitation récente de CVE-2017-1099 ) ? Dans ce cas, bloquer ou alerter sur les exécutables lancés à partir de documents Word serait une bonne détection. Plus une détection peut rechercher un comportement d'attaquant plutôt qu'un simple indicateur discret associé à un malware, plus cette détection sera efficace.
Les blogs de chercheurs sont parmi les meilleures sources de renseignements sur les menaces. Ils sont généralement opportuns et disposent de bonnes informations techniques, bien qu'ils ne fournissent pas toujours des détails de niveau supérieur tels que les industries ciblées ou l'impact d'une attaque. Pourtant, ils sont parmi les meilleurs endroits pour obtenir des informations sur la manière dont les attaques sont menées.
"Lorsque je crée des détections à partir de blogs, je recherche ce qui peut être alerté (adresses IP, domaines, hachages ou comportements tels que l'endroit où un échantillon de logiciel malveillant s'exécute), le moment et à quoi la menace est liée. Lorsque vous avez ces pièces, vous pouvez comprendre quelle est la menace et quoi faire si vous voyez quelque chose d'alerte », a déclaré Brown.
Le rapport sur les menaces de Rapid 7 a également révélé que les attaques augmentaient en volume pendant l'après-midi et le soir. Cela peut être en corrélation avec le moment où la plupart des utilisateurs sont actifs, mais quoi qu'il en soit, les analystes doivent être conscients des heures de la journée où le plus grand volume de menaces est généré.
Le rapport a également montré que la plupart des alertes proviennent d'activités connues et malveillantes, telles que plusieurs connexions simultanées ou des logiciels malveillants. Cependant, les données ont montré une forte augmentation des alertes personnalisées concernant uniquement certaines organisations. Cela peut être utile pour suivre les nouvelles menaces, mais peut également être trompeur. Lorsqu'un grand nombre d'alertes sont générées à partir d'une seule règle sur une courte période, cela signifie soit que vous avez un gros problème avec votre réseau, soit que vous avez un gros problème avec l'alerte personnalisée.
Selon Rapid 7, les attaquants seront toujours plus rapides, mais la compréhension du paysage des menaces contribuera grandement à réduire le temps de réponse et de résolution des problèmes critiques. Savoir quand vous devez agir rapidement et quand vous en tenir à un plan de remédiation lent et régulier (et fiable) est la clé."