“FIC2018”

Cybersécurité : comment lutter contre la désensibilisation aux alertes

0

L’une des plus grandes difficultés pour l’équipe en charge de la sécurité informatique consiste à gérer et à trier le déluge d’alertes de sécurité produites chaque jour. La chasse aux faux positifs lui prend un temps considérable, ce qui accroît la pression sur les ressources informatiques et humaines, et se répercute sur les coûts. Cependant, l’enjeu est élevé. L’incapacité à détecter des infections actives pourrait avoir des conséquences financières autrement plus graves.

Les alertes sont là pour signaler des problèmes qui exigent une attention particulière. Mais quand elles sont constantes et qu’une grande partie d’entre elles correspond à des faux positifs, le risque est que nous n’y prenions plus garde. Compte tenu de l’afflux croissant d’alertes, rien d’étonnant à ce que les équipes y soient désensibilisées. Elles sont tellement submergées d’informations et de notifications constantes qu’identifier les menaces réelles revient à rechercher des aiguilles dans une botte de foin, ce qui fait qu’elles sont ignorées ou passent à travers les mailles du filet. Les entreprises qui gèrent quotidiennement des milliers d’alertes ont plus que jamais besoin de réduire le bruit et de s’appuyer sur des solutions fiables, capables de détecter toutes les menaces, même les plus sophistiquées.

Un déluge d’alertes

L’incapacité des antivirus à identifier les menaces et programmes malveillants les plus récents a donné naissance à une nouvelle industrie de technologies d’alertes, allant des produits de détection des intrusions et des boîtes noires déployées sur le réseau pour signaler de vagues anomalies, à des sandbox et des solutions de renseignement sur les menaces bombardant les entreprises d’indicateurs de compromission (IoC).

Autour de ce déluge sans fin d’alertes liées aux infections, compromissions, incidents et atteintes à la sécurité s’est à son tour développée une industrie d’outils de consolidation des alertes, de corrélation, de coalescence, d’analyse du Big Data, de tri par attribution causale, et la liste ne s’arrête pas là. Cette surenchère d’informations alourdit inévitablement la charge de travail d’équipes déjà à court de temps et de personnel pour traiter ces menaces. Au final, à la désensibilisation aux alertes s’ajoute l’épuisement des ressources et des budgets.

Pour autant, quel choix avons-nous ? Si un terminal n’est pas correctement protégé, nous n’avons d’autre alternative que de réunir autant de technologies que possible dans l’espoir que l’une d’elles déclenche une alerte suffisamment précise pour empêcher l’infection de se propager à nos systèmes internes. Cette approche répond aux principes de meilleures pratiques, de surveillance continue, de vigilance et de résilience. Telle est la réalité des alertes générées par des indicateurs de compromission dans le cadre des opérations de sécurité.

Des risques d’un bout à l’autre de la chaîne

Le problème semble insoluble : nous savons que les alertes sont trop nombreuses pour être toutes examinées, mais négliger des alertes présente un risque. À cela s’ajoute le temps nécessaire pour déterminer si une alerte reposant sur un indicateur de compromission renvoie à une menace réelle pour l’environnement, et, si tel est le cas, pour savoir si cette menace a pu ou non être bloquée par une autre fonction de sécurité.

Si l’on considère la suite d’événements qui composent la chaîne de frappe d’une attaque (au cours de laquelle l’attaque passe d’une couche à une autre, l’exploit se transforme en infection puis en compromission, la compromission non détectée crée un incident, l’incident entraîne l’exfiltration de données sensibles et aboutit à une atteinte à la sécurité), chaque étape de la chaîne comporte un risque de faux positif/négatif ou d’erreur de diagnostic.

En fin de compte, les alertes générées par des indicateurs de compromission ne sont rien d’autre que des indicateurs. Plus les sources d’indicateurs sont nombreuses, plus le risque de désensibilisation aux alertes augmente à chaque étape de la chaîne de frappe. Ce type d’alertes est celui qui ralentit le plus la remontée des incidents de sécurité. D’où la nécessité d’alertes mieux ciblées, reposant sur ce qui se passe réellement au sein de l’environnement et non sur des conjectures.

About Author

Frédéric Bénichou

Directeur Régional Europe du Sud de SentinelOne

Leave A Reply