La mise en service d’un SOC ou d’un Cyber-SOC externalisé s’est soldée pour de nombreuses entreprises par une forte désillusion. Articulée autour d’un SIEM, cette approche génère un déluge de faux positifs que les analystes de niveau 1 ont bien du mal à traiter. Une étude menée par VIB pour l’éditeur de SOAR Demisto (aujourd’hui Palo Alto Networks) estime à 174 000 le nombre d’alertes qu’une équipe de sécurité doit traiter chaque semaine. Cette moyenne n’est qu’une indication, mais elle montre bien l’enjeu auquel doit faire face l’équipe qui doit assurer la sécurité opérationnelle.
Le cœur d’une plateforme de cybersécurité opérationnelle réside sur l’exploitation des énormes volumes de données engendrés par la collecte des événements survenus dans le système d’information de l’entreprise. Corréler des milliards d’événements entre eux permet de repérer les incidents de sécurité mais encore faut-il pouvoir éliminer le bruit, c’est-à-dire toutes les données inutiles et se focaliser sur ce qui est réellement utile. Dans un SOC classique, une armée d’analystes de niveau 1 trie les alertes afin d’éliminer les faux positifs, puis transmet les incidents dignes d’intérêt aux analystes de niveau 2 et 3. Face aux limites de cette approche, Advens a adopté une stratégie radicalement différente. L’organisation du SecaaS Advens est en pyramide inversée, avec peu d’analystes de niveau 1, mais bien plus d’expert de haut niveau.
« Nous avons conçu notre plateforme technique dont l’objectif numéro 1 est d’éviter à nos collaborateurs de consacrer leur temps à des tâches basiques. Nous avons réduit au maximum les tâches à faible valeur ajoutée au profit des experts de niveau 2 et 3. Les analystes de niveau 1 ne qualifient que des événements déjà triés par la plateforme. »
Le stockage, un socle indispensable pour gagner en agilité
« Développer notre propre plateforme de sécurité est un choix technique que nous avons fait voici plusieurs années et dont nous nous félicitons encore aujourd’hui car c’est à la fois un différenciant fort pour Advens sur le marché des cyber-SOC et un moyen d’être compétitifs en termes de coût de fonctionnement. »
Si Advens a pu renverser la problématique du SOC traditionnel, c’est en s’appuyant sur une technologie exclusive, entièrement développée en interne. « Les volets collecte et stockage des événements de sécurité font toute la différence » estime Jérémie Jourdin, CTO d’Advens. Car s’il est aujourd’hui simple de stocker des téraoctets de données dans une infrastructure de stockage, l’enjeu est de délivrer la bonne information aux analystes le plus rapidement possible afin que ceux-ci puissent déceler les signaux faibles d’une attaque. « Il est indispensable aujourd’hui viser le temps réel en dépit des volumes de donnés considérables traités par une plateforme SecaaS. Pour tendre vers cet objectif, nous installons des appliances chez nos clients, des machines qui réalisent la collecte des données de fonctionnement dans leur système d’information. Ces ressources Edge Computing assurent la normalisation de ces données brutes, mais aussi un premier enrichissement avec des informations contextuelles issues de l’entreprise et des informations de réputation. » Le responsable technique considère que cette plateforme constitue désormais un composant clé de l’infrastructure de sécurité, raison pour laquelle Advens n’a pas souhaité acquérir une solution du marché, mais a construit sa propre infrastructure il y a plusieurs années de cela. Celle-ci constitue aujourd’hui la pierre angulaire de l’offre SecaaS d’Advens, mais elle est aussi un atout sur ce marché très concurrentiel. « Nous appuyer sur notre propre plateforme signifie qu’Advens n’a pas à refacturer à ses clients les coûts de licences généralement très élevés des plateformes SIEM souvent liés au nombre d’événements ou à celui des sources de données. »
La normalisation et l’enrichissement des données, une étape clé
Avant de songer à analyser les données et chercher des corrélations entre événements de sécurité, celles-ci doivent être normalisées et enrichies. Il faut que, quel que soit l’équipement qui a généré l’information de base, la donnée ait toujours la même forme. La phase de normalisation des événements constitue sans doute le point-clé de l’approche imaginée par Advens ajoute Tristan Savalle : « L’objectif est d’être le plus agnostique possible vis-à-vis des données qu’il est possible de collecter dans le système d’information. Notre plateforme doit être capable de « comprendre » n’importe quel système d’information car chacun d’eux est différent. La normalisation et l’enrichissement des données permettent de créer une couche d’abstraction unifiée sur laquelle faire tourner nos modèles d’IA et nos orchestrations. »
Cette normalisation est essentielle si on veut ensuite exécuter des modèles de Machine Learning. Cette normalisation permet aussi d’être beaucoup plus réactif lorsqu’il s’agit de faire face à de nouvelles menaces et mettre en place de nouvelles règles très rapidement.
L’enrichissement est une phase clé pour l’efficacité d’une plateforme de sécurité car l’information de base est souvent insuffisante. Une adresse IP seule ne signifie rien en termes de détection. Il est indispensable d’enrichir cette information et indiquer si cette IP correspond à l’un des serveurs de l’ERP de l’entreprise, par exemple, ou s’il s’agit d’une simple machine de test. Le niveau de criticité n’est pas du tout le même. De même, si l’entreprise met en oeuvre des ressources externes, il faut être capable d’évaluer le niveau de dangerosité de ces ressources. « Le rôle de la Threat Intelligence est d’évaluer cette réputation et l’évaluation de la menace permet de prioriser la détection » explique Tristan Savalle. » Il est beaucoup plus important de traiter rapidement une IP dangereuse qui cherche à accéder à une ressource critique de l’entreprise que s’il s’agit d’une ressource non critique et l’objectif est de ne déclencher une alerte chez le client que sur des situations véritablement dangereuses et non pas avec des faux positifs potentiellement sans conséquence. »
La couche d’abstraction sur les données présente aussi l’avantage de s’affranchir en partie des particularités des diverses briques de sécurité. Advens va intégrer sans difficulté les nouvelles technologies, par exemple les données issues des services Cloud choisis par l’entreprise ou celles générées par les EDR et XDR. Le moteur d’orchestration de la plateforme SecaaS d’Advens peut aller chercher les données dans n’importe quel puits de logs pour leur appliquer des règles. Ces règles sont gérées dans une base de connaissances où elles sont classées par scénarios et par couverture de menaces en s’appuyant sur le framework ATT&CK du MITRE. Cette base permet aux ingénieurs d’Advens d’appliquer très rapidement ces règles à tout autre environnement client.
L’Intelligence artificielle, une réalité opérationnelle
L’orchestration est un moyen d’automatiser les traitements de données et donc de réduire le délai avant qu’un analyste ne se saisisse d’un problème. Les algorithmes d’intelligence artificielle ont aussi un rôle important à jouer. La couche d’abstraction unifiée imaginée par les ingénieurs d’Advens permet de disposer de données homogènes sur lesquelles il est possible de mener l’apprentissage de modèles de Machine Learning. Plutôt que de s’appuyer sur de simples règles qui génèrent une alerte sur un dépassement de seuil, avec donc potentiellement énormément de faux positifs, ces modèles vont être capables de générer des alertes de manière bien plus opportune : « Entre 20 % à 25 % des détections sont actuellement réalisées sur notre plateforme via des algorithmes d’apprentissages non supervisés. Ces modèles d’Intelligence artificielle découvrent de manière autonome des anomalies, des variations anormales dans les données qui leur sont soumises » précise Tristan Savalle.
« Cette technique est d’autant plus intéressante que le taux de faux positifs est extrêmement faible, ce qui permet de ne pas multiplier les règles sur seuils qui sont extrêmement fréquentes dans les SIEM. Le problème de ces règles, c’est qu’elles sont parfaitement incapables de distinguer les variations classiques d’un système d’information et lorsque l’attaquant a pu identifier à quel niveau est placé le seuil, il va volontairement maintenir son attaque sous le seuil pour rester invisible. »
Le Machine Learning permet de contrer ce type de comportement tout en obtenant un taux de faux positifs bien plus faibles qu’avec les méthodes plus classiques. En outre, si sur la plateforme SecaaS d’Advens les données de chaque client sont compartimentées, la couche d’abstraction permet de transposer très rapidement un nouveau modèle de détection mis au point chez un client pour les autres clients de la plateforme. D’autre part, l’entrainement des modèles peut être réalisé sur les données de l’ensemble des clients sur la plateforme, ce qui permet d’entrainer les algorithmes sur de gros volumes de données, un point primordial quant à l’efficacité des modèles.
Vers une approche basée sur le risque accepté
« Une plateforme de sécurité doit avoir une vision globale et transverse et compatible avec une approche basée sur la gestion de risque. Il faut dans un premier temps établir ce que l’on souhaite surveiller et ensuite choisir les meilleures technologies pour y parvenir et pas l’inverse. »
Fort de cette plateforme innovante et de ce haut niveau d’automatisation dans la détection et de réduction drastique du niveau de faux positifs générés par l’infrastructure, Advens a pu renverser la problématique du SOC traditionnel. « Avec un SIEM classique, le travail des analystes de niveau 1 consiste en gérer les nombreux faux positifs générés par cette approche » explique Jérémie Jourdin. « Disposer de notre propre plateforme nous permet de renverser la problématique du SOC. Nous avons que peu d’analystes de niveau 1, mais ceux-ci sont des ingénieurs spécialisés, car en raisonnant en termes de plan de surveillance avec une bonne gestion des risques acceptés, on ne gère que très peu de faux positifs. Les alertes générées sont parfaitement adaptées au contexte de l’entreprise. Cela permet d’appuyer le travail des analystes sur des workflows métiers très intégrés.«
Les algorithmes d’IA permettent de limiter les faux positifs et l’enrichissement des événements avec la connaissance du rôle de chaque machine et de ses vulnérabilités permet de franchir une étape dans l’automatisation du tri des événements et dans la priorisation de la réponse à incident. Ainsi, une attaque de type force brute sur un serveur SSH vulnérable peut être considérée comme très grave et doit être contrée le plus rapidement possible. Par contre, la même attaque sur un serveur à jour de ses patchs de sécurité et capable de tenir la charge laisse plus de temps pour réagir.
Tristan Savalle défend une approche résolument pragmatique de la sécurité : « Une approche basée sur des scénarios métier qui correspond à la fois à l’organisation de l’entreprise et à son vocabulaire permet de fluidifier la communication entre l’équipe SOC et l’équipe sécurité de l’entreprise. Le rôle de la technologie est clé pour limiter autant que possible l’avalanche de faux positifs extrêmement préjudiciable à l’efficacité du SOC et à la collaboration entre prestataire SecaaS et entreprise. » Débarrassé de sa lancinante problématique de faux positifs, plus collaboratif tout en étant ouvert à l’innovation et à l’intelligence artificielle, le SecaaS de demain profite déjà aux clients d’Advens.