Blog

Le piratage informatique consiste à trouver un moyen d'atteindre un objectif, à ne jamais accepter de refus pour une réponse, et à être plus persévérant et patient que quiconque. - Paul Asadoorian, fondateur et directeur technique de Security Weekly.

Les hackers s'arment des dernières technologies, utilisent différentes techniques et tentent d'exploiter toutes les vulnérabilités possibles dans la sécurité d'une entreprise. Avec ces outils à leur disposition, ils persisteront jusqu'à ce qu'ils obtiennent ce qu'ils veulent.

Pour garder une longueur d'avance sur les hackers et se tenir au fait des technologies de pointe, votre entreprise a besoin d'une équipe dédiée dont l'objectif principal est de détecter et de stopper les cyberattaques qui la menacent. C'est là que les centres d'opérations de sécurité (SOC) entrent en jeu.

Dans la première partie de cette série de blogs sur les SOC, nous traiterons de ce qu'ils sont et de leur fonctionnement, et plus tard, nous plongerons plus en détail dans les SOC et jetterons un regard sur la vie d'un analyste de SOC.

Qu'est-ce qu'un centre d'opérations de sécurité ?

Un SOC est une installation centrale pour une équipe d'experts en sécurité qui travaillent 24 heures sur 24 pour surveiller et arrêter les menaces à la sécurité d'une entreprise. L'objectif de l'équipe SOC est de détecter, d'enquêter et de limiter les cyberattaques en utilisant une combinaison de solutions technologiques et de flux de travail.

Contrairement à un service informatique ordinaire, les SOC sont généralement composés d'ingénieurs spécialisés en sécurité. Selon l'entreprise, les SOC peuvent également inclure des experts en sécurité ayant des compétences spécifiques dans des domaines de la cybersécurité comme la détection des intrusions, la rétro-ingénierie des logiciels malveillants, l'analyse des risques, l'analyse médico-légale, la cryptanalyse, etc.

Les SOC ont deux responsabilités importantes parmi d'autres : contrecarrer les cyberattaques et surveiller la conformité aux obligations.

Contrecarrer les cyberattaques

Les SOC surveillent et analysent l'activité sur les réseaux, serveurs, bases de données, applications, sites web et autres systèmes d'une entreprise, à la recherche d'activités malveillantes qui pourraient indiquer un incident de sécurité ou une compromission. Afin de limiter les attaques de manière efficace, les membres de l'équipe SOC doivent connaître les dernières tendances en matière de cybercriminalité, les nouveaux développements en matière de sécurité et les bonnes pratiques recommandées.

D'autres activités telles que la réalisation régulière de contrôles de maintenance, la mise à jour des systèmes existants, la correction des vulnérabilités et la mise à jour des règles de pare-feu doivent également être effectuées par l'équipe. Souvent, les alarmes de sécurité peuvent être déclenchées par une action justifiée, c'est pourquoi les SOC visent également à éliminer les faux positifs. Une partie importante de ce processus consiste à ajouter de nouvelles règles et à modifier les règles existantes qui déclenchent des faux positifs.

Contrôle du respect des obligations

Le respect des exigences de conformité n'est pas un travail ponctuel ; que ce soit pour un audit de sécurité interne ou pour se conformer à des obligations réglementaires, il est nécessaire de surveiller en permanence le réseau pour détecter toute violation. Les SOC mènent ces activités régulières de surveillance des utilisateurs et des changements afin de s'assurer que les normes de conformité sont toujours respectées. La préparation de rapports d'audit pour les conformités réglementaires telles que PCI DSS, HIPAA, SOX, GDPR, FISMA, etc. est l'une des principales responsabilités des SOC.

Comment les SOC fonctionnent-ils ?

Les SOC utilisent principalement des solutions de gestion des informations et des événements de sécurité (SIEM) pour contrecarrer les attaques et répondre aux exigences de conformité. Ces systèmes SIEM utilisent diverses techniques pour établir et maintenir la sécurité, et mettent en corrélation tous les événements de sécurité afin de détecter tout signe d'attaque. Les menaces de moindre importance sont surveillées pour détecter les signes d'éventuelles futures attaques silencieuses.

Une solution SIEM offre certaines fonctionnalités essentielles :

- Gestion des logs
- Gestion des incidents
- Surveillance des activités des utilisateurs privilégiés
- Threat intelligence
- Analyse des entités et du comportement des utilisateurs (UEBA)
- Analyse et rapports médico-légaux
- Contrôle de l'intégrité des fichiers
- Audit des bases de données et des applications
- Contrôle de l'intégrité des fichiers
- Audit des bases de données et des applications
- Audit des périphériques réseau
- Audit des changements dans l'Active Directory

Chacune de ces fonctionnalités garantit que le réseau de l'entreprise est protégé contre différents types de cyberattaques. Comme les cyberattaques peuvent s'intensifier rapidement, les outils et systèmes utilisés par le SOC doivent être automatisés pour prendre immédiatement des mesures correctives.

Découvrez Log360, la solution unique de ManageEngine pour les problèmes de sécurité des réseaux, et bien plus encore. Testez gratuitement pendant 30 jours les fonctionnalités de Log360.

 Samson Santharaj, Cybersecurity Expert ManageEngine

Le dixième rapport d'enquête 2017 sur les compromissions de données (Verizon’s annual Data Breach Investigations Report ou DBIR) est sorti en Avril 2017. Le DBIR apporte beaucoup d’informations dans son analyse détaillée des incidents de sécurité et des violations de données à travers le monde. A première vue, les statistiques pour 2016 semblent bonnes par rapport à 2015.

Par exemple, le nombre d'incidents de sécurité est passé de 64199 en 2015 à 42068 en 2016. Et ce n'est pas la seule bonne nouvelle. Le nombre confirmé de violations de données est également passé de 2260 en 2015 à 1935 en 2016. Nous avons d'abord été impressionnés puis nous avons examiné plus attentivement les informations et nous y avons trouvé des faits troublants.

La mauvaise utilisation des privilèges est présentée dans le rapport comme l'une des principales menaces.

Lire la suite...

Google a récemment accusé Symantec, l'une des plus importantes Autorités de Certification (CA), d'avoir violé la confiance des internautes lors de communications Web chiffrées. Dans sa publication dans Google Groups, le 23 mars 2017, l'ingénieur de Google Ryan Sleevi a déclaré que Symantec avait émis environ 30 000 certificats SSL depuis plusieurs années, sans respecter les standards de l’industrie. Dans un effort de renforcement de la sécurité des sites Web, Google a considérablement réduit sa confiance pour les certificats Symantec.
Au milieu de la guerre des certificats entre Google et Symantec, les organisations ne peuvent se permettre d'ignorer les avertissements de sécurité du navigateur, car un site Web affiché comme peu sécurisé dans Google Chrome réduira considérablement la confiance des clients.

Lire la suite...

Les hackers attaquent toujours les maillons les plus faibles et les vulnérabilités connues des logiciels présents dans votre organisation. Les récentes attaques utilisant le ransomware WannaCry ne font pas exception. Ce ransomware exploite pleinement une vulnérabilité connue de Windows pour s'exécuter sur les ordinateurs sans privilèges administratifs et se déplacer sur le réseau pour infecter d'autres machines.

Généralement, les attaques par ransomware proviennent d'une simple attaque par phishing lorsque le logiciel malveillant s'appuie sur une machine utilisateur. Si l'utilisateur dispose de privilèges administratifs, les logiciels malveillants peuvent ainsi facilement infecter tous les autres ordinateurs. Alors, comment empêcher les attaques par ransomware, comme WannaCry, d’infecter votre entreprise ? Comme vous le verrez ci-dessous, les bons outils et techniques peuvent couper la route aux ransomware. (Et plus loin, vous trouverez un bref résumé sur WannaCry.)

Lire la suite...