Les stratégies pour bâtir un Cyber Security Operation Center (Partie 2/3)

cyber security 1805246 960 720

Préambule    

Toutes les informations dérobées à une entreprise par le biais de son système informatique comme les fichiers clients, les informations bancaires, les documents administratifs, les plans industriels, les rapports de recherches, les stratégies commerciales etc se revend sur un marché très demandeur. Les chiffres montrent que la cybercriminalité est sur le point de dépasser celui du trafic de drogue. Le phénomène prend des proportions inquiétantes en Afrique, le site du gouvernement du Ghana vient d’être piraté au moment où je rédige cette publication. Nous ne sommes pas très loin.

Dans le cadre de ma série de publication sur les CSOC, voici la seconde partie.

RELIRE LA PARTIE 1 - MARS 2017

Les grands principes de la threat ou cyber intelligence

Le renseignement sur les menaces informatiques est organisé en différentes strates correspondant à différents besoins :

Renseignements opérationnels (ou technique)

Il s’agit de données techniques liées à des attaques pouvant affecter une entreprise en particulier : malware ciblant l’entreprise et ses clients, IPs compromises, vulnérabilités spécifiques, recèle d’informations etc… Ces données exploitées permettent aux entreprises de visualiser les signaux faibles d’une attaque passée ou imminente afin de la bloquer ou de la détecter rapidement.

Renseignements tactiques

L’objectif de ce renseignement est de fournir aux équipes du SSI des prévisions méthodologiques à 6 mois, contextualisées en fonction de leur propre secteur. Ces informations font l’objet d’une qualification très fine réalisée par des analystes spécialisés. Ce renseignement permet ensuite à l’organisation d’être en mesure de positionner ses forces face aux menaces à venir.

Renseignements stratégiques

Toujours nourri par une analyse humaine et prospective, ce renseignement permet aux entreprises de prévoir l’impact de la sécurité sur leurs activités business : implantation dans un pays à risques, impact sur le lancement d’une nouvelle offre etc…

Les 5 principales missions d’un CSOC

Un CSOC peut varier en taille, de quelques personnes pour une entreprise a plusieurs dizaines pour celui d’un état. Quelque que soit ses dimensions, les éléments suivants sont constants :

  • Prévention proactive des incidents en cyber sécurité

a. Analyse continue des menaces

b. Scanning des réseaux et des hôtes pour identifier les vulnérabilités

c. Coordination du déploiement des contre-mesures

d. Conseil en architectures sécurisées et politiques de sécurités

  • Monitoring, détection et analyse des potentielles intrusions en temps réels et au travers d’historiques de sources diverses d’incidents en cyber sécurité
  • Répondre aux incidents confirmés en coordonnant les ressources et en pilotant l’usage des contre-mesures
  • Fournir un mécanisme de sensibilisation ainsi qu’un reporting du niveau de cyber sécurité et des incidents aux destinataires appropriées
  • Utiliser les technologies de défense et l’analyse des données relatives à la sécurité collectées par celles-ci

    De ces cinq missions, la plus chronophage est probablement celle qui consiste à analyser les données collectées. Les sources les plus importantes seront les détecteurs d’intrusions. Les détecteurs d’intrusions sont des dispositifs places soit sur un hôte, soit sur un réseau pour détecter les activités malicieuses et non désirées qui vont attirer l’attention de l’analyste. En combinaison avec les fichiers LOG, un CSOC collectera, analysera et stockera des milliers de données relatives à la sécurité tous les jours.

Des personnes dédiées devront être recrutées pour effectuer ce travail permanent d’analyse.
Cette couche de compétences est souvent identifiée comme le Tier 1.
Le Tier 1 (composé d’analystes) détermine si un incident mérite d’être pris en compte et passe l’alerte au Tier 2 (composé d’analystes).
Le Tier 2 effectuera alors une analyse plus approfondie pour comprendre ce qui se passe réellement et déterminer si une action doit être enclenchée ou non.

Niveau des compétences des CSOC (Authority)

Nous définirons le niveau des compétences des CSOC comme étant l’ensemble des droits à agir avec ou sans permissions, avec ou sans la coordination d’autres groupe. Les CSOC doivent avoir au minimum trois niveau de compétences :
1. Pas de compétence : Dans ce cas de figure le CSOC peut suggérer ou influer sur les actions qu’elle pourrait entreprendre. Il n’a pas les moyens formels d’agir. Il se contentera d’émettre des recommandations qui pourront être suivies ou non.
2. Compétence partagée : Dans ce cas de figure, le CSOC peut émettre des recommandations aux dirigeants ou au propriétaire légal du système à défendre. Ces recommandations sont ensuite confrontées à d’autres avis d’acteurs extérieurs au CSOC.
3. Compétence totale : Dans ce cas de figure, le CSOC peut agir sans en référer à une instance supérieure.

Quel que soit le niveau de compétence il existe deux niveaux d’action pour chacune d’elle :
Niveau réactif : Définit l’ensemble des actions mise en œuvre après un incident potentiel ou confirmé
Niveau proactif : Définit l’ensemble des actions mise en œuvre dans le cas où une menace est considérée comme probable. Ces actions sont majoritairement d’ordres stratégiques et ont une durée relativement longue. Elles impactent donc de façon mesurable la cyber sécurité des systèmes.
Il est important de préciser que quel que soit le niveau de compétence d’un CSOC, rien ne doit se faire sans la coopération avec le propriétaire des systèmes, des administrateurs systèmes et des RSI/DSI.

Les services que doit implémenter un CSOC

Un CSOC permet le monitoring et la défense d’un système en offrant un ensemble de services. Depuis 2003 que M. J. West-Brown, D. Stikvoort, K.-P. Kossakowski, G. Killcrece, R. Ruefle et M. Zajicekm les ont définis dans leur publication Handbook for Computer Security Incident Response Teams (CSIRTs), cette liste de service à évoluer afin de s’adapter non seulement aux mutations des missions mais aussi à la complexité des systèmes à défendre.

Nom

Description

Real-Time Analysis (Analyse en temps réel)

Call Center

Permet de recevoir toutes les requêtes s’adressant au CSOC, cela concerne les rapports d’incidents et les marches à suivre. Toutes ces requêtes peuvent être faites via des appels téléphoniques, emails et site internet. Cela revient à un système identique à un support technique classique avec la particularité qu’il ne traite que les incidents liés à la sécurité.

Real-Time Monitoring and Triage

Trie et analyse en temps réels des sources de données comme les logs et les alertes afin d’identifier de potentiels intrusions. Ensuite les incidents suspects sont redirigés vers une équipe d’analyse ayant les prérogatives de répondre le cas échéant pour une étude plus approfondie.

Intel and Trending

Cyber Intelligence Collection and Analysis

Collecte, classement et analyse des rapports de cyber intelligence, des rapports de cyber intrusions et toutes les informations y relatives (articles de presse, forums spécialisés, listes de distribution, commentaires, avis de spécialistes etc…) couvrant les nouvelles menaces et vulnérabilités, des nouveaux produits et des recherches en cours pouvant impacter les missions du CSOC.

Cyber Intelligence Distribution

Synthèse, résumé et distribution des rapports de cyber intelligence, des rapports de cyber intrusions et toutes les informations y relatives sous forme de newsletter, de vidéos, de podcast hebdomadaire ou mensuelle. Une web TV et une web radio serait un moyen de distribution efficace.

Les patchs de vulnérabilités, de sécurité ou les campagnes de phishing étant urgents, leur distribution se fera immédiatement en réduisant au maximum les délais pour réduire les risques.  

Cyber Intelligence Creation

Rapport de cyber intelligence émanant du CSOC. Par exemple la découverte et l’analyse d’une nouvelle menaces ou vulnérabilités encore inconnu de la communauté des spécialistes en sécurité.

Cyber Intelligence Fusion

Extraction de données de cyber intelligence pour identifier de nouvelles signatures, de nouveaux contenus et de nouvelles attaques.

Trending

Analyse dans la durée, de l’ordre du mois ou de l’année d’éléments comme les logs, les cybers incidents, les activités des malwares dans le but de mieux comprendre les attaques.

Threat Assessment

Estimation des menaces posées par les différents acteurs envers les bénéficiaires des services du CSOC. 

Incident Analysis

Analyse prolongée et donc approfondie des potentielles cyber intrusions et des retours de tous les membres du CSOC. Il s’agit ici de comprendre le qui, le quoi, le quand et le pourquoi des cyber intrusions. Permettant de mettre en place des stratégies pour limiter les impacts et comment rétablir l’intégrité des systèmes. Des analystes documenteront en détails ces analyses suivis de recommandations.

Tradecraft Analysis

De façon discrète et minutieuse, suivre, étudier, analyser et coordonner les activités des attaquants dans le but de mieux comprendre leurs façons d’agir, de penser et de construire leurs cyber intrusions. Ce service est différent des autres en ce sens que : 1) il nécessite d’avoir accès aux ressources des systèmes non plus seulement les données en permettant par exemple de piéger les attaquants via des honeypot. 2) Un attaquant peut-être ignorer volontairement pour comprendre ses techniques et outils permettant ainsi d’alimenter le service de cyber intelligence creation

Incident Response Coordination

En collaboration avec les instances et personnes affectées collecte les informations sur les cybers incidents, comprendre leurs significations et évaluer leur impact sur les missions du CSOC. Plus important, ce service coordonne les réponses et le reporting des incidents. Cela n’implique pas directement l’implémentation des contre-mesures du CSOC.

Countermeasure Implementation

Implémentation des actions de contre-mesures dans le but de détecter, bloquer ou supprimer les cyber intrusions et leurs dégâts. Les contremesures possibles incluent l’isolation logique ou physique des systèmes affectés, le renforcement des firewalls, les DNS black holes, IP blocks, déploiement de patchs s’ils existent et désactivations de compte impliques.

On-site Incident Response

Travail en collaboration avec les équipes des entités infectées pour répondre aux cyber intrusions et restaurer l’ensemble des systèmes sur site.  Cela impliquera que les membres du CSOC qui seront sur place ou se déplaceront de mettre en œuvre leur expertise pour analyser les dégâts, supprimer les modifications faites par les attaquants et restaurer les systèmes endommagés. Ce travail est fait en partenariat avec les propriétaires des systèmes et les administrateurs systèmes.

Remote Incident Response

Travail en collaboration avec les équipes des entités infectées pour répondre aux cyber intrusions et restaurer l’ensemble des systèmes cette fois-ci a distance. Le même travail que le on-site incident response avec la différence que les membres du CSOC auront moins de voir pas du tout de contrôle sur les informations. Ce service sera fourni soit par téléphone, appels vidéo ou très rarement via un terminal distant comme SSH ou Microsoft Terminal Services.

Artifact Analysis

Forensic Artifact Handling

Collecte et stockage des preuves physiques comme les disques durs ou les clés USB en rapport avec les cybers incidents dans le but de rendre ces preuves recevables par la justice. Selon les juridictions, cela peut impliquer de copier sans altération tous les supports impliqués.  

Malware and Implant Analysis

Aussi connu sous le terme « malware reverse engineering ». Consiste à extraire les malwares (virus, chevaux de Troie, implants, dropers, etc..) du trafic des réseaux ou des copies de support de stockage et de les analyser pour en déterminer la nature.  Les membres du CSOC rechercheront des vecteurs d’infections, des comportements suspects pour déterminer la portée d’une cyber intrusion et de préparer les réponses adéquates.  Cela peut impliquer de l’analyse de code statique à travers des décompilations ou de l’analyse en mode runtime/execution ou les deux en même temps.  Ce service permet un monitoring actif et des réponses efficaces.  Même si les techniques utilisées sont souvent proches du Forensic Artifact Handling, ce service n’a pas pour vocation de fournir des preuves légales.  

Forensic Artifact Analysis

Analyse des preuves numériques (support de stockage, trafic réseau, périphériques mobiles) dans le but de déterminer la véritable portée des cybers incidents via une chronologie des évènements. Ce service capitalise les techniques comme celles utilisées dans l’analyse des malwares avec plus de documentation et des procédures rigoureuses du fait de l’aspect légal que doivent revêtir ces preuves numériques pour pouvoir traduire les éventuels responsables en justice.

CSOC Tool Life-Cycle Support

Border Protection Device O&M

(O&M) Operation and maintenance de la protection des frontières (firewalls, web proxies, email proxies et les filtreurs de contenus). Les mise a jours, les politiques d’utilisations des périphériques, dans le cas d’une réponse à une menace ou à un incident. Ce service est en collaboration étroite avec le NOC.

CSOC Infrastructure O&M

(O&M) Operation and maintenance des équipements du CSOC. Cela implique les serveurs, stations de travail, imprimantes, bases de données, système de gestion des incidents, les réseaux de stockages de données. Ses propres routeurs, switchs, firewalls, contrôleurs de domaines, système de supervision, système d’exploitation et les matériels divers. Le personnel affecté à ce service a de fait le privilège root” sur les équipements du CSOC.

Sensor Tuning and Maintenance

Maintenance et alimentation des plateformes de sondes du CSOC. Les IDS, les IPS, les SIEM et tous les systèmes permettant de collecter des informations sur l’état de la sécurité des systèmes. Cela implique la mise à jour des nouvelles signatures et toutes les activités permettant de maintenir un niveau élevé d’efficacité.

Custom Signature Creation

Création et compilation des signatures découvertes par les membres du CSOC. Ces informations peuvent ou non être partagées avec les autres CSOC.

Tool Engineering and Deployment

Recherche des nouvelles tendances, évaluation des produits et solutions, prototypage, ingénierie, intégration, déploiement et mise à jour des équipements du CSOC essentiellement basé sur des produits gratuits ou open source (FOSS) ou commerciaux le cas échéant. Ce service implique donc la budgétisation, l’acquisition et la recapitalisation des systèmes du CSOC.  Le personnel associé a ce service doit effectuer une veille permanente sur les aspects pouvant apporter de nouvelles capacités et être capable de les déployer en quelques semaines.  

Tool Research and Development

Recherche et développement d’outils personnalisés lorsqu’aucun équivalent open source ou commercial n’existe ou ne correspond pas aux besoins du CSOC. Ce service va du développement (code) a l’implémentation de plusieurs années de recherches académiques.

Audit and Insider Threat

Audit Data Collection and Distribution

Agrégation de tous les évènements en rapport avec les cybers incidents dans le but de les analyser. Cela implique la rétention long terme des données.

Audit Content Creation and Management

Création et personnalisation du SIEM ou des logs dans le but de permettre un audit approfondit.

Insider Threat Case Support

Assistance a l’analyse des menaces et investigations dans deux domaines lies mais distincts :

1.    Identification des causes potentielles de menaces interne (mauvaise utilisation des ressources informatiques, fraude sur les passes, fraudes financières, espionnage industriel et vol). Le CSOC apportera son assistance aux enquêteurs appropriés (juge d’instruction, OPJ etc.) 

2.  A la demande et sous mandat de ces enquêteurs appropries, le CSOC fournira les services de supervision, de collecte d’information et d’analyse en appui à un cas de menace interne.

Insider Threat Case Investigation

Le CSOC va capitaliser ses propres règlementations pour enquêter sur les menaces internes, par exemple en déclenchant une surveillance d’individu suspect sans l’accord d’une entité externe. En pratique très peu de CSOC en dehors des forces de police judiciaires ont de telles compétences légales, c’est pour cela qu’en général, les CSOC agissent sous l’autorité d’une entité juridique supérieure.

Network Mapping

Cartographie permanente des réseaux pour en comprendre la taille, la forme, la composition et le périmètre des interfaces à travers des techniques automatiques (autodiscovery) ou manuelle comme nmap. Ces cartes sont très souvent conçues avec la coopération d’autres entités comme les NOC ou les architectes réseaux.

Vulnerability Scanning

Scanning permanent des vulnérabilités connues sur les hôtes, en se concentrant sur chaque niveau de patch des systèmes et de l’harmonisation des politiques de sécurités en général avec des outils distribues automatises.  Comme la cartographie, ce service permet au CSOC de mieux comprendre ce qu’il doit defendre. Le CSOC peut fournir ses informations aux organisations si elles le souhaitent sous forme de rapports cycliques.

Vulnerability Assessment

Evaluation des vulnérabilités des sites des organisations sous la protection du CSOC. Le Blue Teaming consiste, avec les propriétaires et les administrateurs systèmes, d’examiner l’architecture de la sécurité, d’examiner la vulnérabilité des systèmes non plus sur la base des vulnérabilités connues mais sur la base des configurations. Ce service reposera majoritairement mais pas seulement sur les outils de scanning de vulnérabilités, et aussi des rapports internes et d’interviews.  De ce service naitra un rapport mettant en évidence les découvertes et les recommandations pour corriger les insuffisantes constatées.  Le CSOC capitalise aussi ce service pour étendre sont monitoring et la connaissance par les analystes des systèmes des organisations.

Penetration Testing

Le Red Teaming ou test de pénétration permet aux membres du CSOC de simuler des attaques et des intrusions sur un segment spécifique des infrastructures de l’organisation pour mesurer sa capacité à se remettre d’une éventuelle attaque. Ces opérations sont menées avec une batteries de précautions juridiques et d’autorisations des dirigeants et en toute transparence. Le CSOC peut aussi sous-traiter ce service en supervisant les tests de bout en bout.

Product Assessment

Ce service permet de tester et d’homologuer ou non les niveaux de sécurités des produits et solutions acquises par les organisations avant de les utiliser ou de les déployer dans leurs infrastructures. Evaluations des forces et faiblesses, tests de vulnérabilités etc… 

Security Consulting

Fourniture de conseil en cyber sécurité aux organisations. Cela va de l’accompagnement à la conception de nouvelles architectures, de la continuité des affaires, de la mise en place de procédures de restauration des systèmes en cas de cyber attaques, de la rédaction et de la mise en œuvre des politiques de sécurités, de l’élaboration des guides de sécurisation des configurations etc… 

Training and Awareness Building

Formation proactive des organisations et de leurs utilisateurs. Cela passe par la communication mais aussi l’élaboration de guide éducationnels traitant des problèmes liés a la cyber sécurité permettant de façon simple et concrète de se protéger contre les attaques communes comme le phishing/pharming et de former les utilisateurs à bien rapporter les cybers incidents.

Situational Awareness

Diffusion régulière et répétitive de la base de connaissance du CSOC sur les infrastructures à destination des organisations (réseaux, menaces, incidents, vulnérabilités etc..). Ce service va au-delà de la simple diffusion, il permet d’améliorer durablement la compréhension des organisations sur les problématiques de cyber sécurité, permettant ainsi une meilleure prise de décision lorsque cela peut affecter leur défense. Ce dispositif de diffusion peut être implémenté via le site Internet du CSOC, un portail dédié ou une liste de diffusion.

Redistribution of TTPs (Tactics, Techniques, and Procedures)

Partage consistent et structure des produits internes du CSOC aux autres consommateurs de façon plus élargie comme les partenaires ou les adhérents des groupes et centres d’intérêts de la communauté. Ceci inclut Presque tout (outils, cyber intelligence, signatures, rapports d’incidents etc…). L’information entre les CSOC est bidirectionnel.

Media Relations

Communication directe avec les organes de presse spécialisées ou non sans affecter la réputation des organisations. En sus sans les nommer.

Aziz Da Silva

[1] Senior IT Strategy & Technology Innovation Consultant
[2] Security and Risk Analysis–Information and Cyber Security Consultant
[1] Ingénieur Conseil (Consultant) Senior en Stratégies et Innovations Technologiques 
[2] Consultant en Sécurité Économique et Protection du Patrimoine