Un article du site Web Ooda Loop fait remarquer que, lorsque l’on pense à de grandes entreprises telles qu’Amazon, Google ou Tesla, les deux premiers mots qui viennent à l’esprit sont innovation et changement. Ces entreprises ont pénétré leurs secteurs respectifs car elles ont su prévoir les événements futurs. Mais est-il possible de prévoir quels types d’incidents de sécurité sont susceptibles de se produire dans une entreprise ? Si la réponse est oui, il serait possible d’économiser beaucoup de temps et de ressources dans la construction d’un cadre de détection des menaces. Mais, en vérité, chercher à anticiper un incident réel revient à chercher une aiguille dans un botte de foin.

Normalement, les hackeurs effectuent une reconnaissance de l’entreprise pour identifier les points forts et les points faibles de son infrastructure. Sur la base du résultat de cette reconnaissance, ils conçoivent leur charge utile pour avoir une probabilité de réussite plus élevée. Dans ce scénario, si les défenseurs peuvent prévoir la technique d’un hackeur et créer un modèle de détection, il est alors beaucoup plus rapide de détecter ce type d’incident et d’y répondre.

Pour construire ce cadre de prévision, il faut d’abord disposer de deux ensembles de données essentiels. Le premier est la liste des techniques utilisées par les hackeurs pour attaquer une entreprise. Par chance, le cadre Mitre Att&ck fournit déjà cette liste. Le second ensemble de données peut être obtenu en mappant les cas d’utilisation du système SIEM (security information and event management, gestion de l’information et des événements de sécurité) avec les techniques Mitre Att&ck. Les défenseurs peuvent ainsi comprendre où est le point mort dans leurs détections en tenant compte des différentes méthodes utilisées par les pirates informatiques. Par exemple, l’une des techniques pourrait être une tâche programmée en tant que défenseur : rechercher des cas d’utilisation pertinents et un journal approprié disponible dans son SIEM. Dans ce scénario, les journaux d’incidents Windows devraient être disponibles sur la plateforme SIEM et le cas d’utilisation de détection devrait rechercher l’identifiant d’événement Windows 4698.

Cette activité permet de révéler les techniques pour lesquelles il n’existe pas de couverture du point de vue de l’utilisation. Ces techniques peuvent être mappées à l’aide de la matrice de mappage Mitre pour déterminer quels attaquants auraient un taux de réussite plus élevé contre n’importe quelle entreprise. Les défenseurs peuvent ensuite adopter une approche axée sur la construction de plusieurs modèles de recherche de menaces pour détecter ces attaquants. Cette approche contribue également à améliorer la couverture des journaux d’une organisation sur tous ses dispositifs.

_____

Aquest apunt en català / Esta entrada en español / This post in English