DIGITAL SOLUTIONS

Stratégies de corrélation au sein d’un SOC : comment ça marche ?

Phishing, ransomware… Les cyber-attaques contre les entreprises ont littéralement explosé cette année. Pour s’en prémunir, de plus en plus d’entreprises choisissent de mettre en place un SOC : Security Operations Center.

October 21, 2020

Cette unité de sécurité permet de surveiller l’ensemble de l’infrastructure et des données d’une entreprise depuis un seul et même service. Cette organisation en « QG » de sécurité unique, permet d’identifier automatiquement les événements potentiellement dangereux pour votre réseau. Explications.

Security Operations Center (SOC) : la tour de guet de votre infrastructure informatique

Votre réseau informatique dispose de plusieurs niveaux de sécurité : firewall, IDS/IPS, protection DDOS, Endpoint Detection and Response (EDR)… Ces dispositifs s’apparentent aux murs d’enceinte d’un château fort, c’est-à-dire qu’ils visent à vous protéger des intrusions. Mais il est aussi essentiel de surveiller et comptabiliser les tentatives d’effraction dont votre réseau fait l’objet. Vous devez pour cela disposer d’une tour de guet qui offre une pleine visibilité sur vos différents murs d’enceinte. C’est le rôle du SOC. Il supervise les allers et venues sur vos infrastructures informatiques : de la couche réseau jusqu’aux logiciels installés sur les postes de travail.

Comment fonctionne un SOC ?

Chaque composant de votre réseau génère un important volume de logs, appelés évènements. : connexion VPN, entrées et sorties du bâtiment, consultation de documents partagés… Ce service a pour mission de collecter toutes ces informations réseau, de les rendre compatibles sous un même format dans une gigantesque base de données appelée Data Lake.

Ces données peuvent ensuite être analysées pour détecter les anomalies potentielles. Comment définit-on une anomalie ? Ceci est propre à chaque entreprise. Par exemple se connecter au VPN après minuit, consulter à la suite des dizaines de dossiers partagés sur le réseau, ou encore télécharger des données depuis le serveur vers son ordinateur. Toutes ces anomalies sont recensées dans un SIEM (Security Information and Event Management) et peuvent ainsi faire l’objet d’une vérification par vos équipes. C’est-à-dire demander à votre collègue si c’est bien lui qui s’est connecté après minuit.

Mais un SOC bien configuré permet surtout d’envoyer des alertes aux administrateurs lorsqu’une suite d’évènements potentiellement dangereux se succèdent et laissent penser qu’une cyber-attaque est en cours. C’est là qu’interviennent les règles de corrélation. Voyons comment cela fonctionne.

Qu’est-ce qu’une règle de corrélation ?

Une règle de corrélation indique à votre système les séquences d’évènements considérées comme des anomalies qui pourraient conduire à un défaut de sécurité ou une cyber-attaque. Concrètement, une corrélation consiste à déterminer que lorsqu’un évènement “x” et “y” ou “x” et “y” plus “z” se produisent, vos administrateurs doivent en être informés.

Prenons l’exemple d’une tentative de phishing :

L’attaquant envoie un email avec un document Word en pièce-jointe. L’utilisateur ouvre la pièce-jointe qui contient une macro (soit une suite d’instruction à exécuter) offrant ainsi à l’attaquant un accès total sur la machine de l’utilisateur.

  • Pour prévenir ce risque, les équipes SOC identifient une corrélation entre ces différents évènements :
    l’utilisateur reçoit un email
  • le mail contient une pièce jointe
  • l’utilisateur ouvre le document qui contient une macro
  • la macro lance une connexion vers internet

L’enchainement de ces 4 événements constitue les étapes clés d’une cyber-attaque. Une alerte est donc transmise à vos administrateurs réseau qui doivent vérifier dans les plus brefs délais si vous êtes ou non victime d’une attaque.

Il est important de garder à l’esprit qu’il n’existe pas de « log magique » qui indiquerait à coup sûr qu’une attaque est en cours. C’est pourquoi l’élaboration de règles de corrélation est une étape cruciale de votre stratégie de sécurité. Il s’agit de trouver le juste équilibre entre un trop grand nombre de faux positifs qui gaspillerait le temps précieux de vos équipes et le risque de manquer d’éventuels enchainements d’évènements qui préfigurent une attaque.

La pondération pour resserrer les mailles du filet

On peut aller encore plus loin dans cet exercice de corrélation en attribuant un poids à chaque action ou « use case » (en fonction de sa probabilité et de ses conséquences). Plus le risque est élevé, plus le poids l’est aussi. Donc, non seulement toutes les actions d’un utilisateur (ou d’une adresse IP) sont gardées en mémoire, mais une note pondérée leur est également associée. Ce qui donne ensuite une note globale à chacun des utilisateurs du réseau. Ainsi, si un utilisateur lambda se met à générer énormément d’actions dites « normales » (poids faibles), grâce au score pondéré attribué à l’utilisateur, le système sera capable de générer une alerte.

S’il est donc toujours possible de passer à côté de l’un ou l’autre évènement isolé, la valeur ajoutée d’un SOC et de sa stratégie de corrélation est de réussir à identifier assez d’actions suspicieuses afin de détecter à coup sûr une attaque.

La sécurité informatique de votre entreprise vous interroge ? Consultez les autres articles de nos experts sur l’importance d’adopter le bon référentiel de sécurité ou encore le facteur humain dans une stratégie de cyber sécurité.

Watch video

In the same category