Fonctionnement des SOC et CSIRT

Comment fonctionne un Security Operations Center (SOC)?

Les Security Operations Centers sont des centres de défense modernes dédiés aux cyberattaques. Mais comment fonctionnent ces SOC, et comment collaborent-ils avec les «pompiers IT» du CSIRT? Découvrez-le à l’aide d’un incident (fictif) de sécurité.

Text: Andreas Heer, Image: iStock
14. avril 2022

Un silence concentré, que seul le bruit du clavier vient percer. Les spécialistes en sécurité informatique sont assis face à leurs écrans et analysent via le réseau les serveurs et les ordinateurs portables où s’est glissé un logiciel malveillant malgré toutes les mesures de sécurité en place. Ils ne laissent transparaître aucun signe de panique, alors même qu’il s’agit d’une attaque élaborée qui nécessite l’intervention de l’équipe Computer Security Incident Response (CSIRT). En raison de la criticité de l’attaque, les analystes en sécurité du SOC font remonter l’incident.

Analyse de l’homme et de la machine

Il a fallu réagir vite. La plateforme SOAR (Security Orchestration, Automation and Response) a signalé des attaques inhabituelles d’utilisateurs sur le serveur interne et sur des adresses internet. Le Security Analyst de service a transformé l’alerte en incident via la plateforme SOAR et l’a transmis à sa collègue de l’équipe Incident Response Layer pour une analyse plus approfondie.

«Notre plateforme centrale SOAR nous aide à enrichir les alertes provenant de différents systèmes de détection par le biais de flux de travail d’analyse automatisés, à filtrer les fausses alertes et ainsi à identifier rapidement les incidents sérieux», explique Florian Leibenzeder, responsable technique au SOC de Swisscom. Dans ce cas, la première analyse a révélé un «True Positive», c’est-à-dire un véritable incident de sécurité. Ce dernier a ainsi été transféré en escalade.

Dès lors, les résultats de la spécialiste en sécurité se sont révélés problématiques: déjà trois ordinateurs portables montrent le même comportement suspicieux. L’un des utilisateurs avait contacté la hotline dédiée à la cyberdéfense parce que l’un des documents qu’il a reçu lui a semblé étrange à l’ouverture.

L’entretien téléphonique a permis de comprendre que cet utilisateur a reçu une «offre» d’un fournisseur présumé sur une plateforme de partage de fichiers. Cette étape est survenue après un premier échange par mail; de ce fait, l’utilisateur ne s’est pas méfié et a ouvert le document. Et a ainsi été victime d’un nouveau programme malveillant élaboré. Étant donné que les cybercriminels ont utilisé une plateforme connue de partage de fichiers à des fins frauduleuses, ils ont pu contourner les mécanismes d’identification de la solution EDR (Endpoint Detection & Response). Cette attaque particulièrement élaborée et ciblée met les nerfs des spécialistes en sécurité à rude épreuve.

Du SOC au CSIRT

L’expertise humaine est à présent nécessaire, à savoir celle des Incident Responders expérimentés du CSIRT, qui sont actuellement de service dans l’Operations Squad. Malgré tout, le calme règne. Les experts sont concentrés devant leurs écrans. Ils sont désormais parvenus à isoler le logiciel malveillant et à limiter l’attaque – il s’agit de la phase «Containment» de l’Incident Response. Le SANS Institute(ouvre une nouvelle fenêtre), spécialisé dans la formation continue en matière de cybersécurité, est à l’origine de ce processus standard. L’«Incident Response Cycle» divise la stratégie de défense en six étapes, de la préparation jusqu’aux «Lessons Learned», au cours desquelles les expériences et les enseignements tirés du traitement de l’incident de sécurité sont évalués et des mesures d’amélioration sont définies. «Cette standardisation permet de garder une vue d’ensemble dans certains cas et de ne pas sombrer dans la panique», explique Stephan Rickauer, responsable du service CSIRT pour les clients commerciaux chez Swisscom.

Afin de limiter l’attaque, le CSIRT a bloqué les trois comptes utilisateurs concernés et séparé les ordinateurs portables du réseau afin de freiner la propagation du logiciel malveillant sur le réseau de l’entreprise. Même avec ces mesures, les spécialistes ne pouvaient pas encore affirmer avec certitude que les hackers avaient été écartés du réseau. Après une brève concertation, ils ont alors mis l’accent sur la recherche d’éventuelles traces de l’attaque (Indicator of Compromise, IoC). Les spécialistes veulent en effet s’assurer que les cybercriminels ne se baladent pas sur un autre système ou ne causent pas d’autres dommages. Leur expertise est désormais requise.

Les routiniers de sécurité poursuivent le travail du système SOAR et examinent manuellement l’infrastructure à la recherche d’autres traces d’intrusion. Leurs vastes connaissances et leur longue expérience aident à structurer les recherches. L’un des experts examine les fichiers journaux à la recherche de logins et activités suspicieux du logiciel malveillant, tandis qu’un autre analyse le trafic réseau à la recherche d’éventuelles attaques sur un serveur Command&Control. Ces activités permettent aux experts de trouver des fichiers malveillants, des anomalies sur le réseau et des entrées de registre bien cachés.

De la limitation au post-traitement

Peu de temps après, les experts en sécurité donnent la fin de l’alerte. Aucune nouvelle alerte n’a été déclenchée sur la plateforme SOAR, et les tentatives d’accès au serveur ont échoué. L’incident est déclassé, et les personnes impliquées planifient l’évaluation de leur intervention dans le cadre de l’étape «Lesson Learned».

«L’automatisation et l’harmonisation des outils nous permettent de faire face à la complexité croissante de nos infrastructures et des attaques dont elles font l’objet.»

Florian Leibenzeder, responsable technique du SOC Swisscom

Comment les spécialistes du CSIRT parviennent-ils à planifier des tâches qui dépendent d’événements extérieurs, qui peuvent survenir à tout moment et qui sont donc imprévisibles? «La criticité d’un événement permet de définir les priorités, c’est le critère le plus important», précise Stephan Rickauer.

C’est pourquoi les analystes en sécurité décident de remettre l’examen approfondi des appareils à plus tard. Cet examen aide à mieux comprendre la procédure des hackers, c’est-à-dire à identifier les techniques, les tactiques et les procédés employés (TTP). Néanmoins, cette étape n’est plus urgente car les ordinateurs portables sont à présent hors de danger.

De l’analyse à l’automatisation

L’examen approfondi sera réalisé dans le cadre de l’évaluation de l’incident de sécurité. Dans un premier temps, les spécialistes en sécurité échangeront au sujet de la procédure pour savoir ce qui s’est bien passé et ce qui peut être amélioré. Ensuite, ils développeront un nouveau «Detection Use Case» sur la base de l’analyse de l’incident. Il s’agit d’une représentation schématique du modèle de l’attaque – pour indiquer, par exemple, les entrées de journal et les systèmes qui ont été touchés par ce type d’attaque.

«Lors de l’élaboration de use case, notre objectif est d’automatiser la première analyse, le tri et éventuellement la réaction. Pour cela, nous nous appuyons sur les fonctions EDR sur les postes de travail et les serveurs, ainsi que sur les flux de travail SOAR pour l’automatisation de l’analyse et de la réponse. L’automatisation et l’harmonisation des outils nous permettent de faire face à la complexité croissante de nos infrastructures et des attaques dont elles font l’objet», ajoute Florian Leibenzeder. Pour une cyberdéfense de pointe, le SOC et le CSIRT doivent miser sur des outils d’automatisation.

De cette manière, le SOC est en mesure de réagir automatiquement à ce type d’attaque. Le CSIRT n’aurait alors même plus besoin d’intervenir, car l’attaque aurait déjà été stoppée par l’Incident Response. «Tout l’intérêt du travail au CSIRT réside dans la variété des tâches. Nous ne faisons jamais deux fois la même chose», dit Stephan Rickauer en riant.

L’attaque décrite ici est fictive et vise à illustrer le travail du SOC et du CSIRT.

IPack d’information

CSIRT, l’équipe de sauvetage informatique

Comment une équipe Computer Security Incident Response Team protège votre service informatique en cas d’attaques?

Interview

«L’automatisation nous aide, mais elle a ses limites»

Lorenz Inglin dirige l’équipe Cyberdéfense de Swisscom, chargée de la sécurité de l’infrastructure de Swisscom. Aujourd’hui, l’équipe est structurée selon un modèle en trois couches.

Lorenz Inglin, pourquoi avez-vous choisi cette structure pour l’équipe Cyberdéfense?

Cette structure s’est imposée comme la norme dans notre secteur. Nous avons amélioré en permanence notre méthode de travail. Chez nous, les trois niveaux travaillent en étroite collaboration au sein de l’exploitation opérationnelle. Dans ce cadre, les collaborateurs de la couche 3 du CSIRT coachent les analystes en sécurité des couches 1 et 2. Les collègues du SOC soutiennent quant à eux les collaborateurs du CSIRT. Les activités sont ainsi étroitement liées. Cette méthode, que nous avons appliquée il y a maintenant deux ans, porte ses fruits.

Lorenz Inglin, responsable de l’équipe Cyberdéfense de Swisscom. Lorenz Inglin, responsable de l’équipe Cyberdéfense de Swisscom.

Les spécialistes en sécurité sont une denrée rare. Dans quelle mesure l’automatisation vous aide-t-elle à couvrir ce manque de main-d’œuvre qualifiée?

Il y a certes un problème de main-d’œuvre, mais aussi de charge de travail. C’est pourquoi l’automatisation est d’autant plus importante. D’une part, une solution EDR moderne nous aide dans l’étape d’identification. D’autre part, nous utilisons une plateforme SOAR pour automatiser l’analyse et la réponse. De manière générale, nous investissons beaucoup dans la prévention. Si nous souhaitons réduire le terrain des attaques, nous devons moins surveiller et plutôt prévenir les attaques potentielles au lieu de simplement y réagir. Cette approche bénéficie aussi à nos clients, car nous sommes par exemple en mesure de détecter de nouveaux sites de phishing en temps voulu et de les bloquer sur les réseaux de Swisscom. Cela facilite une fois de plus les étapes d’analyse et de réaction du SOC.

Malgré tout, avez-vous besoin d’une intervention humaine dans certains cas?

Oui, pour les analyses plus approfondies notamment. L’automatisation nous aide principalement à corréler les alertes et les tâches récurrentes. Mais certains cas restent imprévisibles ou sont tout simplement trop complexes pour une analyse automatisée, ou bien le logiciel ne parvient pas à identifier le contexte: lorsqu’un collaborateur envoie un numéro IBAN par e-mail, s’agit-il de données bancaires confidentielles et d’un flux de données indésirable, ou tout simplement de bulletins de versement pour une association?

En savoir plus sur ce thème