L’expression “data is king” est connue depuis longtemps et nous savons tous comment le monde fonctionne avec notamment la plupart des décisions qui sont prises sur la base de données numériques 24 heures sur 24, 7 jours sur 7 et 365 jours par an.
Mais les datas sont-elles vraiment les “kings” dans le domaine de la cybersécurité ?
Ce sont dorénavant les preuves et non les données qui sont nécessaires pour accélérer les connaissances et les capacités de réaction des défenseurs, alors intéressons nous aux deux.

Les données sont un précurseur des preuves et sont souvent collectées à partir du réseau, des endpoints, de l’infrastructure (sur site et dans le cloud), des applications sous forme de journaux (logs), et même de personnes (par exemple, les partenaires, etc.).
L’ampleur des collectes de données dans certaines entreprises peut s’avérer très importante voir exorbitante et peut nous conduire à nous poser certaines questions telles que : Où sont stocké toutes ces données ? Combien de temps devons-nous les conserver ? Comment les corréler pour leur donner un sens ou les transformer en preuves qui permettent à une organisation de parler en toute confiance de ce qui s’est passé ?

Les preuves, quant à elles, partent des données mais les étendent et les améliorent grâce à un enrichissement contextuel (par exemple, GeoIP, liste de blocage/autorisation, informations sur les actifs de la CMDB, informations CVE, etc.) et une corrélation (par exemple, peuvent être corrélées avec ce qui s’est passé avant, ce qui s’est passé après, etc.).
Les preuves, avec leur contexte et leur corrélation, sont nécessaires pour révéler les détails d’un incident, d’une intrusion ou d’une violation comme par exemple : d’une élection, au conseil d’administration, aux organismes de surveillance gouvernementaux ou à un tribunal.
Richard Bejtlich a mis en avant un cas d’utilisation important des preuves .
Alors, comment transformer des données en preuves ?

Prenons un exemple relativement simple de l’outil le plus populaire utilisé dans les centres d’opérations de sécurité : un SIEM (Security Information and Event Management), tel que Splunk, Humio, Elastic, Sentinel, etc., dans sa forme la plus simple, est utilisé pour collecter des données à partir de différentes sources de données et envoyer des alertes sur les menaces et les vulnérabilités potentielles de sécurité.
Une source de données nécessaire, mais non suffisante, est constituée par les données du réseau.
Les données du réseau peuvent être collectées de manière passive (de sorte qu’un attaquant ne saurait pas si son activité est vue) et sont immuables (elles ne peuvent pas être manipulées, contournées ou supprimées).
Les données du réseau sont transformées en preuves lorsqu’elles sont analysées, normalisées, mises en contexte et corrélées avec les actions précédentes et suivantes. Ces preuves (c’est-à-dire la compréhension contextuelle de la signification des données) renforcent les capacités des défenseurs, leur permettant de se concentrer réellement sur les détections à haut risque en fonction de leur environnement unique.
Zeek – la norme de sécurité réseau open source de facto est la base de la collecte des données réseau et de leur transformation en preuves.
La communauté open source de Zeek a plus de 25 ans d’expérience dans l’élaboration de détections de réseau pour les mauvais comportements connus (pas seulement les signatures) et ces détections continuent de se développer sur la base de l’expérience réelle des membres à travers le monde.

Examinons un peu plus en profondeur la façon dont les données brutes peuvent être transformées en preuves, en prenant à nouveau l’exemple des données de réseau. Les données réseau peuvent et doivent être examinées et analysées au fur et à mesure de leur circulation, ce que l’on appelle généralement l’analyse du trafic réseau (ATN).
Mais qu’est-ce qui est réellement examiné ? Est-ce vraiment si utile ?
Les protocoles (par exemple, HTTP, DNS), la chronologie des sessions réseau (par exemple les “human keystrokes” sur SSH), les métadonnées du trafic réseau crypté (par exemple, SSL, RDP, SSH), ou même simplement l’identification des différents VPN utilisés sont des exemples de la manière dont les données réseau peuvent être analysées. Et maintenant ?
Les notifications ou les alertes sont envoyées au centre d’opérations de sécurité, mais comment peuvent-ils savoir ce qu’il faut examiner ou ce qui est le plus important/dangereux ?
Il est facile de dire que chaque alerte doit être examinée, mais la réalité est que des centaines d’alertes peuvent être reçues en une heure et que personne ne dispose de suffisamment de personnel pour le faire.
Le fait de disposer du contexte et des activités corrélées entourant l’alerte (c’est-à-dire les preuves) peut considérablement accélérer l’analyse humaine et peut être utilisé pour affiner et hiérarchiser les alertes exploitables.

Pour prendre un exemple plus complexe; Corelight Investigator possède un composant qui utilise l’apprentissage automatique pour analyser une série de consultations DNS afin d’évaluer si leur regroupement temporel, leur taux d’échec et leur structure lexicale suggèrent fortement qu’un logiciel malveillant utilise un “Domain Generation Algorithm” (algorithme de génération de domaine) pour établir une connexion de commande et de contrôle.
Corelight établi une forme de preuve avec les informations fournies par l’analyse du trafic Zeek et développe des preuves de plus haut niveau concernant la nature de l’activité se produisant sur un système potentiellement infecté.

Que votre organisation utilise uniquement un SIEM, une combinaison de SIEM et d’analyses personnalisées dans un “data lake” (grand nombre de données), ou une solution NDR en mode SaaS (ex : Corelight Investigator) avec un SIEM, la chose la plus importante à garantir est que votre organisation dispose des preuves nécessaires pour soutenir des enquêtes efficaces.
Des preuves complètes sur le réseau, soutenues par l’apprentissage automatique et d’autres analyses dans une plateforme de recherche rapide et intuitive, accélèrent les opérations de sécurité.
Elle simplifie considérablement les flux de travail de premier niveau, de sorte que les équipes disposent de plus de temps pour la recherche et la réponse des activités qui se déroulent de plus en plus rapidement lorsqu’elles sont associées à un moteur de recherche de logs (journaux) intuitif.
Grâce à la possibilité d’accéder rapidement aux données brutes, les équipes disposent des preuves nécessaires pour expliquer en détail ce qui s’est passé et comprendre comment l’événement s’est produit.

Ce qu’il faut retenir : vous devez transformer les données en preuves. Les preuves alimentent les détections.
Les résultats de la détection, associés à des preuves, fournissent à l’organisation les connaissances nécessaires à une “defensible disclosure” (révélation justifiée) (ex : la capacité d’expliquer exactement ce qui s’est passé, quand cela s’est passé, combien de temps cela a duré et comment l’activité a été atténuée).
Votre organisation, vos parties prenantes et les organismes de surveillance vous en remercieront.

Source : CoreLight

Pour plus d’informations concernant les solutions