Comment votre organisation peut-elle empêcher les violations de données ?
This post is also available in: Anglais Allemand Italien Portugais - du Brésil Espagnol Russe
Contrairement à ce que l’on pourrait croire, empêcher les violations de données n’est pas une question de détection. Les systèmes de sécurité modernes détectent énormément. Ils détectent même trop ; selon une étude de la société de sécurité informatique Bricata, un Centre opérationnel de sécurité (SOC) moyen reçoit chaque jour plus de 10 000 alertes d’une large gamme de systèmes de surveillance et de détection. Clairement, le problème ne vient pas d’un manque de détection.
Le problème, c’est la corrélation.
Détecter, d’accord, mais après ?
La détection, dans sa forme la plus simple, est une alerte. Un utilisateur effectue une activité, et un journal est généré. Les systèmes de sécurité modernes dans le cloud sont conçus pour détecter. Un SOC moyen peut générer entre 5000 et 40 000 alertes par jour (voire plus pour les grands réseaux).
L’inconvénient de la détection, c’est que l’analyse des différentes alertes ne nous apprend presque rien. En fonction du contexte, presque tous les journaux peuvent être justifiés ou injustifiés.
Prenez les activités suivantes ; pourriez-vous dire si chacune d’elles est justifiée ou injustifiée ?
- Un administrateur système se connecte depuis un endroit inhabituel. Est-ce parce qu’il travaille sur un dossier urgent depuis son lieu de vacances, ou parce que des pirates ont subtilisé ses informations d’identification depuis l’Europe de l’Est ?
- Un utilisateur accède au réseau en dehors des heures de bureau. Est-ce parce qu’il a une urgence au travail, ou s’agit-il de pirates qui tentent de passer inaperçus ?
- Un ingénieur DevOps appelle une API qu’il n’a jamais utilisée auparavant. Est-il en train de déployer une nouvelle version du produit, ou s’agit-il d’un pirate fomentant une expansion latérale au sein de votre réseau ?
- Un administrateur de base de données accède à un compartiment de stockage basé sur le cloud et en exporte toutes les données. Cela fait-il partie de son travail, ou quelqu’un vient-il de dérober toute votre base de données d’utilisateurs ?
Le fait est que l’analyse d’une seule alerte ne peut en elle-même révéler l’intention sous-jacente.
[Sur le même thème : Est-il trop tard pour se protéger contre les vulnérabilités du cloud ?]
Les pirates passent sous le radar
Notre expérience de l’analyse des violations de données nous apprend que, dans la plupart des cas, les activités malveillantes sont identifiées à temps, mais passent sous le radar.
Pourquoi ?
- Trop de journaux : les responsables de la sécurité sont tellement inondés d’alertes qu’ils n’ont pas le temps d’en analyser beaucoup. Des événements importants sont donc noyés dans la masse.
- Alertes à faible risque : de nombreuses activités constituant une violation de données ne sont ni à haut risque ni à fort impact. Il s’agit plutôt d’actions banales auxquelles est attribué un faible risque, et qui sont donc fréquemment négligées.
- Absence de contexte : l’analyse de chaque activité indépendamment des autres ne permet pas d’en connaître l’intention.
- Étalement dans le temps : les violations de données peuvent se dérouler sur plusieurs semaines, voire des mois. Chaque jour apporte son lot de journaux, très nombreux : il est donc impossible de se souvenir d’une alerte survenue plusieurs semaines auparavant et d’y associer des activités individuelles.
Compte tenu de ces réalités quotidiennes, toute tentative d’analyser manuellement les alertes et de les contextualiser pour identifier une activité malveillante est vouée à l’échec.
La détection est importante, mais la corrélation est cruciale
La solution n’est donc pas de renforcer la détection, mais de privilégier la corrélation.
La corrélation consiste à prendre des événements de prime abord indépendants les uns des autres, et à les relier à des surfaces d’attaque, des ressources et des périodes de temps.
Revenons à la liste d’exemples ci-dessus. Pris individuellement, ces événements ne signifiaient rien de particulier ; il était impossible d’en discerner l’intention sous-jacente.
Mais examinons la chaîne d’événements suivante :
- Un utilisateur accède au réseau depuis un site distant, en dehors des heures de bureau.
- Quelques jours plus tard, le même utilisateur appelle pour la première fois une API afin de répertorier tous les privilèges de l’utilisateur.
- En l’espace de quelques semaines, l’utilisateur effectue une série de connexions à plusieurs compartiments de stockage contenant des informations sensibles.
- L’utilisateur télécharge les données d’un compartiment de stockage vers un emplacement situé hors du réseau
La contextualisation de ces événements dans une chaîne d’occurrences liées donne une image bien différente de celle résultant des analyses individuelles. Voilà pourquoi la corrélation est si importante : elle permet d’identifier une violation de données dans sa globalité, et pas seulement les différents événements individuels qui la composent.
La corrélation est un élément fondamental de la cybersécurité. Celui qui pourra faire la différence entre tuer une attaque dans l’œuf, ou la voir à la une des journaux.