Cet article a été publié pour la première fois sur Inside IT (en allemand) dans le cadre de la rubrique #Security de Switch. Cette rubrique paraît six fois par an. Les experts de Switch s'expriment de manière indépendante sur des sujets liés à la politique, à la technique et à la sensibilisation de la sécurité informatique.
Comment le SOC et le CERT protègent la ville numérique
La collaboration entre le Security Operations Center et le Computer Emergency Response Team est aujourd'hui essentielle pour gérer efficacement les incidents de sécurité informatique. Mais ne font-ils pas la même chose de toute façon ? Non. Une histoire sur un incendie, le centre d'intervention et les pompiers explique pourquoi.
Hier, une organisation a connu un incident de sécurité informatique majeur. En se connectant au contrôleur de domaine, souvent un joyau de la couronne de l'institution, quelqu'un a constaté que le véritable administrateur n'avait plus le contrôle de son compte. Au lieu de cela, un attaquant s'était installé et faisait des ravages sur le réseau. Ce scénario est comparable à l'incendie d'un bâtiment dans une ville, qui se propage intensément et se propage aux bâtiments environnants.
Ce qui semble être un cas isolé dramatique se produit en pratique plus souvent qu'on ne le pense. Pour comprendre comment nous pouvons éviter un tel incendie numérique total dans une organisation ou le gérer le plus efficacement possible, j'aimerais vous présenter cette analogie :
Imaginez l'infrastructure informatique d'une organisation comme une ville numérique...
La situation
Aujourd'hui, je suis assis dans le centre opérationnel numérique du Security Operations Center (SOC) de Switch. Équipé de jumelles virtuelles, d'une radio et - comme toujours - d'une tisane à la camomille, je suis prêt à protéger les villes numériques de l'adversité.
À peine ai-je le temps de regarder dans mes jumelles que je m'aperçois que plusieurs bâtiments de la ville voisine, située hors des murs de notre communauté de villes, sont en feu. Malheureusement, cette ville numérique se trouve hors de ma portée, car elle a décidé de ne pas se connecter à notre centre de contrôle des opérations.
Les forces d'intervention d'urgence
Notre équipe d'intervention d'urgence en informatique (CERT) a été alertée tard dans la soirée par la ville où l'incendie s'est déclaré. C'est ainsi que le processus est défini : lorsqu'un danger imminent est identifié et qu'il ne peut pas être maîtrisé seul, les forces d'intervention d'urgence sont appelées. Dans le monde informatique, il s'agit du CERT ; dans le monde numérique, ce sont les pompiers.
Notre ville voisine est toujours en proie à des incendies et un pyromane présumé est en liberté. Le CERT fait de son mieux pour détecter et éteindre les incendies dans la ville numérique et, en même temps, pour découvrir qui les a allumés et comment, afin de prévenir d'autres incendies. Une tâche difficile aux multiples facettes. Son objectif : contenir le danger afin d'éviter que d'autres bâtiments ne prennent feu.
Dans les circonstances décrites, cet objectif ne peut toutefois être atteint qu'au prix de nombreux détours. Après 24 heures, on ne sait toujours pas ce qui s'est passé exactement. Le CERT doit rassembler péniblement les données des derniers mois. Dans la ville voisine, il n'y a pas de centre de contrôle des opérations qui dispose d'une image de la situation de la ville avec ses événements et ses menaces.
Ainsi, les mesures à prendre sont dificiles à déterminer pour l'organisation, car sans une image précise de la situation, il est difficile d'en évaluer les conséquences, comme s'il s'agissait d'explorer le brouillard.
Souvent, les incendies ne sont pas détectés pendant longtemps et les équipes d'intervention d'urgence arrivent souvent trop tard – comme dans notre cas – pour éteindre rapidement et efficacement le feu qui se développe. De plus, ils doivent identifier les foyers d'incendie précis dans un brouillard et une fumée épais afin de diriger l'eau d'extinction de manière ciblée là où elle est le plus nécessaire. C'est ainsi que ces dernières forces d'intervention sont également usées par la situation générale peu claire. Aurait-on pu l'éviter ?
La centrale d'intervention
Le plus gros problème dans ce genre de situation est le manque de vision de la situation. Sans vue d'ensemble, il est difficile de savoir où se trouve la fumée et s'il y a déjà le feu. On est alors confronté aux questions suivantes : peut-on endiguer les menaces de manière préventive ? Faut-il des forces d'intervention supplémentaires ? Où faut-il les envoyer et que doivent-ils faire exactement ?
Les frontières entre le SOC et le CERT semblent souvent floues, mais c'est justement à une époque où les menaces de sécurité informatique se multiplient et où les infrastructures informatiques se développent que leur collaboration devient décisive. Auparavant, dans les petits villages, le CERT était la première ligne de défense et pouvait garder une vue d'ensemble sur les quelques maisons. Un SOC devient indispensable dès que le village s'est transformé en ville et possède l'infrastructure nécessaire pour plusieurs quartiers.
Imaginons que le SOC soit le centre de situation de la ville numérique. Quelqu'un doit garder une vue d'ensemble. Ce centre de contrôle des opérations doit surveiller les interventions en cours, les menaces potentielles et les informations entrantes afin de déployer efficacement les pompiers. C'est un travail exigeant où l'on est submergé par un flot d'informations qu'il faut évaluer. Tout l'art consiste à identifier les signes décisifs afin de mettre en place les processus adéquats.
Afin d'exploiter les synergies et de regrouper les bons spécialistes, Switch a développé un Community SOC en tant que centre opérationnel numérique pour les organisations de la communauté de l'éducation et de la recherche. Il sert de centre de situation numérique.
Un SOC aurait aidé
Sur le plan technique, il est fort probable que toute cette mésaventure aurait pu être évitée si l'organisation avait eu un SOC. Lorsqu'un incident de sécurité informatique se produit, un SOC fournit non seulement les informations les plus importantes et permet ainsi de prendre des décisions en connaissance de cause, mais, dans le meilleur des cas, il détecte l'incident bien plus tôt afin d'éviter qu'il ne se transforme en un grand incendie. Comment cela fonctionne-t-il ?
- Le SOC surveille entre autres d'où et où les paquets réseau sont envoyés. Grâce aux agents Endpoint Detection and Response (EDR) installés sur tous les systèmes et aux données réseau, il aurait été possible de découvrir le pyromane en train de rôder.
- Il vérifie qui a accédé à quoi. Les journaux de sécurité des systèmes signalent toute tentative d'accès non autorisé à un bâtiment ou à un système, comme celle de notre pyromane numérique.
- Le SOC voit qui utilise quelles applications et quand. Si notre fauteur de troubles achetait des quantités astronomiques de combustible dans le quartier, cela se remarquerait définitivement et déclencherait une alarme.
- Les journaux d'audit révèlent également qui tente de se connecter, quand et d'où. Si l'assaillant avait tenté d'escalader les murs de la ville, les sirènes auraient hurlé.
- Les logs DHCP permettent de savoir quel appareil avait quelle adresse IP à quel moment. C'est comme un registre numérique de la population de la ville. Si la boulangerie déménage, cela est immédiatement mis à jour pour que les pompiers sachent où se rendre si une alarme se déclenche.
- Les logs DNS révèlent quel système a essayé de se connecter à quel domaine. On peut se représenter cela comme un carnet d'adresses numérique. Si un habitant tente de correspondre avec une ville étrangère, la recherche de l'adresse est notée. Ainsi, si l'incendiaire avait auparavant envoyé des lettres à une organisation ou une personne douteuse, cela aurait été remarqué dans les logs DNS. C'est comme si notre malfaiteur avait secrètement écrit des lettres à des connaissances douteuses qui étaient déjà sous surveillance. La centrale d'intervention s'en serait immédiatement aperçue et aurait donné l'alerte.
- Les journaux de pare-feu montrent quelles adresses IP de différents réseaux ont communiqué entre elles. Si l'incendiaire avait déjà repéré des éléments suspects, l'alarme aurait été déclenchée.
- Même si l'attaquant avait tenté de dissimuler ses traces, les journaux de fichiers auraient signalé qui avait ouvert, modifié ou supprimé quels fichiers.
- Enfin, la gestion des vulnérabilités donne un aperçu des points faibles des systèmes, à l'instar d'une inspection de bâtiment qui surveille les maisons délabrées et les signale à la centrale d'intervention.
Ces informations, analyses et alertes collectées, ainsi que la gestion des incidents et des événements de sécurité (SIEM) constituent le cœur technique d'un SOC.
À deux pas du succès
Comment toute cette affaire se serait-elle déroulée si l'organisation avait eu un SOC ?
Je m'imagine des jours, voire des mois auparavant, prenant mon service le matin en tant que "SOCie of the Day". Le SOCie de la veille aurait fait la passation de service avec moi et m'aurait raconté qu'il avait repéré quelques petits nuages de fumée et les avait éteints de ses propres mains. Il y aurait des indices sur un pyromane qui s'apprêterait à escalader les remparts et je devrais garder un œil sur lui. Je me serais assis à ma table et j'aurais regardé l'écran.
En effet, l'incendiaire n'abandonne jamais. Je le signale à tous les agents de sécurité de la ville, qui portent une attention particulière aux points faibles des remparts, et je fais en sorte qu'il n'ait aucune chance de les franchir. Pour remédier à ces faiblesses, j'informe les artisans afin qu'ils renforcent encore les remparts. Pendant ce temps, j'informe également les SOC des villes voisines, afin qu'ils soient également armés.
Bien sûr, notre pyromane n'est pas le seul coupable. J'aperçois donc le prochain assaillant, mieux équipé avec un piolet et une corde, de l'autre côté des remparts. Mais il ne réussira pas non plus - je suis prêt ! Je lui rends la tâche encore plus difficile et il n'a aucune chance de jeter ne serait-ce qu'une allumette par-dessus le mur.
Le SOC n'est pas un CERT et le CERT n'est pas un SOC
Le SOC ne doit pas se laisser entraîner dans des interventions isolées, sinon il perd la vue d'ensemble de la situation. Si l'on se concentre trop sur un incendie, on risque de ne pas voir d'autres foyers d'incendie qui pourraient alors menacer toute la ville. En résumé, le SOC protège les valeurs numériques, garde une vue d'ensemble et envoie le CERT en cas d'urgence pour gérer les menaces plus importantes et aiguës. Il est indispensable pour prendre des décisions éclairées et éviter les exercices de pompiers inutiles. Ces derniers utilisent non seulement le personnel, mais entraînent également des coûts considérables dans différents domaines.
Vous voyez, à peine ai-je bu mon thé à la camomille que j'ai déjà combattu avec succès deux incendiaires. C'est ainsi que l'on prend plaisir à protéger la ville numérique ! Et comment protégez-vous votre ville numérique ?
Cyber Security