Ce qui était autrefois dans les marges de la cybersécurité, l’ingénierie de détection a gagné de l’espace et de l’intérêt, voici ce que vous devez savoir.
L’ingénierie de détection, qui était autrefois une pratique de niche parmi les grandes entreprises, semble avoir évolué en une capacité que les organisations des industries considèrent désormais essentielles à leurs opérations de sécurité.
Qu’est-ce que l’ingénierie de détection?
L’ingénierie de détection consiste à créer et à mettre en œuvre des systèmes pour identifier les menaces de sécurité potentielles dans l’environnement technologique spécifique d’une organisation sans se noyer de fausses alarmes. Il s’agit d’écrire des règles intelligentes qui peuvent s’installer quand quelque chose de potentiellement suspect ou malveillant se produit dans les réseaux ou systèmes d’une organisation et s’assurer que ces alertes sont utiles. Le processus implique généralement la modélisation des menaces, la compréhension des TTP de l’attaquant, l’écriture, les tests et la validation des règles de détection et l’adaptation des détections basées sur de nouvelles menaces et techniques d’attaque.
Une petite enquête auprès de 264 professionnels de la cybersécurité par le SANS Institute et Anvilogic a révélé que 80% des organisations – et 85% des grandes entreprises – investissent activement dans l’ingénierie de la détection, 60% ont désormais des équipes dédiées. Plus des deux tiers (67%) ont signalé un solide soutien en leadership à la pratique au sein de leur organisation.
Les données de l’enquête suggèrent que de nombreuses entreprises ont non seulement adopté des pratiques d’ingénierie de détection, mais en ont fait un objectif stratégique de leur effort d’atténuation de la cyber-risque. « Il y a une décennie, l’ingénierie de détection était un rôle relativement inconnu dans la cybersécurité », indique le rapport. «Maintenant, il est devenu l’un des rôles les plus critiques dans les opérations de sécurité.»
Plus que les pratiques de détection de menace habituelles
Les partisans soutiennent que l’ingénierie de détection diffère des pratiques de détection traditionnelles de menace dans l’approche, la méthodologie et l’intégration au cycle de vie du développement. Les processus de détection des menaces sont généralement plus réactifs et s’appuient sur des règles et des signatures prédéfinies de fournisseurs qui offrent une personnalisation limitée aux organisations qui les utilisent. En revanche, l’ingénierie de détection applique des principes de développement de logiciels pour créer et maintenir la logique de détection personnalisée pour l’environnement spécifique et le paysage des menaces d’une organisation. Plutôt que de s’appuyer sur des règles génériques statiques et des IOC connue, l’objectif avec l’ingénierie de détection est de développer des mécanismes sur mesure pour détecter les menaces car elles se manifesteraient en fait dans l’environnement spécifique d’une organisation.
Souvent, cela implique un accent plus fort sur les détections basées sur le comportement, l’intégration de l’intelligence des menaces pour créer des détections alignées sur les tactiques adversaires du monde réel et l’utilisation de la modélisation des menaces pour anticiper les chemins d’attaque potentiels, explique Heath Renfrow, CISO et co-fondateur de Fenix24, une société de récupération de catastrophe cyber. «Contrairement à la détection des menaces conventionnelles, qui repose souvent sur des signatures statiques et des règles prédéfinies, l’ingénierie de détection est axée sur le comportement, au contexte et adapté au paysage de menace unique d’une organisation», explique Renfrow. «Cela implique un mélange d’opérations de sécurité, de renseignement sur les menaces et de science des données pour créer des capacités de détection plus adaptatives et résilientes.»
Le rapport SANS-Anvilogic décrit les pratiques d’ingénierie de détection comme évoluant au fil des ans, de l’abandon des consoles spécifiques aux fournisseurs et des langages propriétaires pour incorporer les principes du cycle de vie de développement logiciel (SDLC) et des principes d’intégration continue / déploiement continu (CI / CD). Cela permet aux équipes de tester, de déployer et d’affiner les détections plus efficacement tout en conservant des traces de modifications vérifiables.
Adoption des moteurs de l’ingénierie de détection
Il existe quelques facteurs stimulant l’adoption des pratiques d’ingénierie de détection. Le plus important est le fait que les détections prêtes à l’emploi ne sont pas assez bonnes. Ils ne basent pas dans l’environnement, ils ne conduisent pas de faux positifs et, en résumé, ils n’alertent pas toujours sur les choses qui comptent, explique Johnathon Miller, vice-président des opérations de sécurité chez Lumifi Cyber.
Les alertes génériques qui ne tiennent pas compte du contexte organisationnel sont devenues un problème majeur et un contributeur à la fatigue fausse positive au sein de nombreuses équipes de sécurité. Soixante-quatre pour cent des organisations de l’enquête d’Anvilogic, par exemple, ont déclaré des taux de faux positifs élevés; 61% ont eu du mal avec des détections qui manquaient de précision environnementale; Et 34% ont déclaré qu’ils avaient rencontré des retards dans les mises à jour et les améliorations.
«Les méthodes traditionnelles de détection des menaces ont été historiquement statiques; si A = A, créez une alerte», explique Kevin Gonzalez, vice-président de la sécurité, des opérations et des données, Anvilogic. «Ce sont souvent des mécanismes rigides et noirs qui manquent de flexibilité dans la personnalisation. Bien que utiles dans une certaine mesure, ces approches deviennent ingérables à grande échelle, en particulier dans les organisations avec des environnements hybrides», dit-il.
Les volumes de menace croissants et la sophistication sont un autre problème. Les attaquants utilisent des techniques plus avancées et évasives – y compris les logiciels malveillants sans fil, vivant des approches terrestres, des exploits et des attaques zéro jour via la chaîne d’approvisionnement du logiciel – rendant la détection basée sur la signature largement insuffisante. L’adoption croissante des cloud a également introduit de nouvelles vulnérabilités et a créé des angles morts que les méthodes de détection héritée ont souvent du mal à couvrir.
L’augmentation des menaces persistantes avancées (APT), des attaques de chaîne d’approvisionnement et des opérations de ransomware a rendu les approches réactives traditionnelles insuffisantes, explique Renfrow. «Les organisations réalisent maintenant que l’ingénierie de détection proactive réduit le temps de résidence, améliore les capacités de réponse et améliore la cyber-résilience globale. De plus, les cadres de conformité et les fournisseurs de cyber-assurance soulignent de plus en plus de fortes stratégies de détection.»
Industries adoptant l’ingénierie de la détection
Les organisations du secteur bancaire et des finances, l’industrie technologique, les sociétés de cybersécurité et, dans une moindre mesure, les sociétés de santé sont parmi les principaux adoptants des pratiques d’ingénierie de détection. Beaucoup sont dans des secteurs qui doivent faire face à un examen réglementaire ou sont des cibles fréquentes d’acteurs de menace sophistiqués. Mais la réalité est que la plupart des organisations, en particulier les plus grandes, peuvent bénéficier de la mise en œuvre d’une approche systématique du développement de mécanismes de détection pour leur profil de menace spécifique.
Toute grande entreprise avec une infrastructure informatique complexe peut bénéficier de l’ingénierie de détection. Les centres d’opérations de sécurité (SOC) doivent améliorer et maximiser en permanence leur posture de détection. «En plus du paysage des menaces en évolution, leurs propres infrastructures informatiques internes changent constamment, ce qui peut entraîner la« dérive »de la détection, où les règles de détection sont enfreintes et ne tireront plus ou ne s’alerteront plus», explique Michael Mumcuoglu, PDG de Cardinops, Michael Mumcuoglu.
Les experts en sécurité soulignent certaines exigences clés pour mettre en place une capacité d’ingénierie de détection. Le plus grand d’entre eux est les données. Pour réussir, les équipes d’ingénierie de détection ont besoin d’accéder aux journaux et aux données des événements de sécurité des points de terminaison, des réseaux, des environnements cloud et des outils de sécurité et une plate-forme de gestion SIEM ou de journaux centralisée pour agréger et normaliser les données de sécurité. Une capacité d’ingénierie de détection efficace signifie également avoir du personnel qualifié, y compris des ingénieurs de détection, des analystes et des chercheurs de menace, pour élaborer et affiner les règles de détection. Des processus formels pour la modélisation des menaces, les tests et l’intégration de l’intelligence des menaces à la réponse aux incidents.
L’objectif devrait être de dépasser les signatures statiques et de se concentrer sur le fonctionnement des attaquants, en priorisant la détection des menaces basées sur le comportement. Utilisez des cadres comme Mitre ATT & CK pour cartographier la couverture de détection contre les techniques d’adversaire connues et utiliser des outils d’émulation adverse comme l’équipe rouge atomique pour valider l’efficacité, explique Renfrow. «L’ingénierie de détection fonctionne mieux lorsque les opérations de sécurité, les renseignements sur les menaces et les équipes informatiques travaillent ensemble», note Renfrow.
Comment l’IA et l’automatisation peuvent aider
L’IA / ML peut également jouer un rôle clé dans le réglage des règles et l’automatisation. Quelque 45% des répondants au sondage ont décrit leurs organisations comme utilisant l’IA dans leurs programmes d’ingénierie de détection à des fins telles que la détection des anomalies, la génération de règles et le triage d’alerte. Près de neuf sur 10 (88%) pensaient que l’IA aurait un impact important sur leurs programmes d’ingénierie de détection au cours des trois prochaines années. «L’un des cas d’utilisation les plus forts (de l’IA) consiste à analyser de grandes quantités de données pour identifier les anomalies, en particulier lors de l’utilisation d’un modèle de langue formé sur mesure», explique Glenn Thorpe, directeur principal de la recherche en matière de sécurité et de l’ingénierie de détection chez Greynoise Intelligence. «Selon le modèle de menace d’une organisation et la tolérance au risque, l’emploi d’une IA avec un LLM bien formé peut améliorer considérablement l’efficacité et l’efficacité des défenseurs au sein de l’organisation.»
L’IA n’est pas le seul changement. D’autres organisations adoptent également des processus automatisés pour l’ingénierie de détection. Les domaines que les organisations automatisent comprennent la cartographie de la couverture de détection au cadre de Mitre ATT & CK, l’identification des détections brisées ou mal configurées, et la possibilité d’opérationnaliser l’intelligence des menaces et de la convertir en règles de détection exploitables, a déclaré Mumcuoglu. Quatre-vingt-treize pour cent des répondants à l’enquête d’Anvilogic ont déclaré qu’ils utilisaient actuellement ou prévoient d’utiliser l’automatisation dans leur flux de travail d’ingénierie de détection pour le développement de règles, le réglage des détections existantes et la chasse aux menaces.
Thorpe met en garde contre les organisations à la recherche d’une sorte d’approche unique pour se présenter à une capacité d’ingénierie de détection. «Au lieu de cela, un état d’esprit créatif, une diversité des pensées et des expériences et de la curiosité sont essentiels pour constituer une équipe efficace.»
Un bon point de départ est d’identifier les données de base de votre organisation et de trouver des individus qui peuvent analyser ces données sous plusieurs angles. Développez une compréhension réaliste de ce que vous ne savez pas et commencez à combler ces lacunes d’informations. «Vous pourriez découvrir que de petits changements peuvent améliorer considérablement votre visibilité et votre compréhension du trafic réseau», note Thorpe.
