À mesure que les opportunités de collecte de données sur le réseau augmentent et que les modèles d’utilisation évoluent, nos méthodes de « parentalité en réseau » doivent emboîter le pas. Malgré des politiques de sécurité bien définies, des garanties techniques et une formation approfondie des utilisateurs, les gens commettent encore des erreurs et les adversaires réussissent toujours. Une situation similaire existe, malgré tous les efforts de la société, en ce qui concerne l’éducation des enfants. Comme détaillé dans cet article de blog, en utilisant la perspective d’un centre d’opérations de sécurité (SOC) En traitant leur réseau comme les enfants dont ils sont responsables, nous pouvons utiliser des aspects de la parentalité pour déterminer l’utilisation des données surveillées afin de développer une connaissance plus complète de la situation. Cet article de blog suppose que le lecteur a des enfants… ou en avait un.
Données Netflow : écouter votre réseau
La méthode séculaire pour en apprendre davantage sur vos enfants est de les écouter. Des grandes annonces aux changements subtils de ton, tout peut aider les parents à maintenir un sentiment de bien-être pour leur enfant. Ils détectent les modifications des opinions et des sentiments et remarquent lorsqu’un problème ou une situation n’est plus discuté, par exemple lorsque l’enfant se désintéresse d’un sujet ou d’une activité particulière à l’école. Ils peuvent également entendre des mots ou des phrases qui, selon eux, nécessitent une intervention, comme influenceur des médias sociaux. Plus important encore, ils peuvent observer et enquêter sur tout signe de problème de santé. La collecte et l’analyse approfondies du netflow permettent à un SOC d’écouter son réseau.
Flux net la collection est établie pratique depuis des décennies. Pendant une grande partie de son existence, il s’agissait de la principale source d’informations décrivant activité sur les réseaux. Depuis sa création, nous avons assisté à la croissance des plateformes de stockage et d’analyse de Big Data qui ont permis l’expansion des enregistrements de flux traditionnels pour inclure inspection approfondie des paquets métadonnées, telles que les noms de domaine et les certificats SSL. Les changements dans les architectures de réseau, tels que l’adoption du cloud et confiance zéro, ont réduit la valeur de netflow, car tout le trafic ne peut pas être facilement capturé à la périphérie du réseau. Netflow n’est cependant pas dénué d’intérêt et ne peut être entièrement remplacé par d’autres sources de données. Il demeure une source d’information essentielle pour établir et maintenir une connaissance de la situation. Les adversaires doivent toujours atteindre les ressources internes du réseau depuis l’extérieur. Même lors d’un accès à distance avec des informations d’identification volées, ce trafic est visible pour la surveillance du réseau. Netflow n’est peut-être plus le seul jeu en ville – et peut même désormais être considéré comme une source de données secondaire – mais les rumeurs sur sa disparition ont été grandement exagérées.
Le rôle des données EDR
Détection et réponse des points de terminaison (EDR) les données sont des informations générées localement sur le fonctionnement interne d’un hôte ou d’une machine au niveau du système. La collecte de données EDR étant désormais réalisable à grande échelle, elle constitue un excellent complément à Netflow, ou peut-être même l’inverse. Cependant, ces données sont fondamentalement différentes du netflow en termes de structure, de variabilité, de complexité et de granularité. Par conséquent, les techniques analytiques, les approches de traitement et la médecine légale doivent être ajustées en conséquence. Une action au niveau de l’utilisateur effectuée sur un point de terminaison par un membre de l’organisation ou un adversaire crée une multitude d’enregistrements au niveau du système. Ces détails sont essentiels à long terme, mais dans un océan d’appels système standards et attendus, les analystes SOC ont un période difficile identifier précisément un enregistrement spécifique qui indique un comportement malveillant. Même si l’EDR ne donne pas une image claire et complète de la manière dont un hôte interagit avec le réseau environnant, il n’existe pas de meilleure source de données activement surveillées et collectées sur les opérations internes d’un hôte ou d’une machine donnée. Cette situation est similaire à la manière dont les tests et examens médicaux fournissent des données irremplaçables sur notre corps mais ne peuvent pas déterminer ce que nous pensons ou ressentons.
Pendant que nous regardons nos enfants vaquer à leurs occupations quotidiennes, nous effectuons une analyse superficielle de leurs données récapitulatives EDR. Nous pouvons voir s’ils sont lents, s’ils n’ont pas d’appétit, s’ils développent une éruption cutanée, s’ils prennent ou perdent du poids de manière malsaine ou s’ils présentent de grandes fluctuations émotionnelles. Après avoir observé ces problèmes, nous choisissons ensuite la voie à suivre appropriée. Ces prochaines étapes reviennent à basculer entre les sources de données, à déclencher des analyses ciblées ou à changer complètement votre orientation analytique. Demander à votre enfant de vous parler d’un problème revient à identifier les enregistrements Netflow associés pour obtenir des informations supplémentaires. Un médecin utilise les antécédents médicaux et les informations sur l’ensemble du patient pour déterminer les tests à effectuer. Cette analyse s’apparente à un audit médico-légal des données EDR d’un système en réponse à une anomalie observée. Même si les résultats de ces tests sont détaillés et essentiels, ils ne peuvent toujours pas nous dire exactement ce que l’enfant a dit et fait.
Adapter l’analyse au cloud
Prêter attention et interpréter tout ce qu’un enfant dit et fait perpétuellement peut être difficile sans un contexte situationnel facilitant les comparaisons avec l’histoire et les attentes de base. Cette situation explique pourquoi les conférences parents-enseignants peuvent être si utiles. Nous avons des attentes claires sur la manière dont les élèves doivent se comporter en classe et sur la manière dont leur développement doit progresser. Les commentaires reçus lors de ces conférences sont utiles en raison de leur niveau de spécificité et parce qu’ils sont proposés par une source fiable : un expert formé dans le domaine. Dans la plupart des cas, le feedback souhaité est : Tout se passe bien, rien d’extraordinaire. Même si ces commentaires ne sont peut-être pas passionnants, ils confirment qu’il n’y a rien à craindre de la part d’une source fiable dont vous êtes sûr qu’elle surveille de près les écarts par rapport à la norme. Le même style d’intelligence contextuelle peut être obtenu grâce à une surveillance appropriée des environnements cloud.
La transition vers des services de cloud public est généralement effectuée à des fins commerciales spécifiques. En conséquence, le comportement attendu des actifs dans le cloud est plus facilement défini, du moins par rapport à l’utilisation du réseau des actifs sur site. Il y a moins de trafic généré par l’homme émanant de l’infrastructure cloud. Les modèles d’accès sont plus réguliers, tout comme les protocoles de couche application utilisés. La détection des écarts est beaucoup plus simple dans ces environnements contraints.
Il existe deux principaux types de données qui peuvent être collectées dans le cloud pour fournir une connaissance de la situation : la surveillance du trafic et les journaux de service. La surveillance du trafic peut être réalisée via des journaux de flux tiers ou via la mise en miroir du trafic dans des capteurs de flux net établis tels que Yet Another Flowmeter (YAF) ou Zeek. Les journaux de service sont des enregistrements de toutes les activités se produisant au sein d’un service particulier. Chaque source de données peut être utilisée pour détecter les anomalies comportementales et les erreurs de configuration de manière plus simple que les architectures réseau sur site.
Éviter le scénario de porte de coffre-fort verrouillée et de fenêtre ouverte avec Zero Trust
Les concepts de confiance zéro, associés aux postures de travail à distance, ont permis à une activité utilisateur importante de se dérouler en dehors des limites traditionnelles du réseau. Bâtiment architectures zéro confiance exige que les organisations identifient les actifs critiques ainsi que les autorisations et listes d’accès associées à ces ressources. Une fois ces autorisations et accès déployés et confirmés, la surveillance de ces connexions doit commencer pour garantir la conformité totale aux politiques. Cet examen doit être effectué à la fois pour les utilisateurs et les actifs critiques. Il ne suffit pas d’être sûr que tous les accès attendus maintiennent des protections de confiance zéro.
Nous voulons éviter une situation analogue à une porte de coffre-fort verrouillée (connexions sans confiance) fixée à un mur avec un grand trou. Netflow peut être utilisé pour vérifier si toutes les connexions vers et depuis les actifs critiques sont correctement sécurisées conformément à la politique, et pas seulement les connexions intégrées dans les politiques. Les journaux d’application Zero Trust peuvent être corrélés aux enregistrements Netflow pour confirmer les connexions sécurisées et interroger les connexions échouées répétées.
Le déploiement initial d’architectures Zero Trust s’apparente à un parent rencontrant les amis de son enfant. L’essentiel est qu’après les présentations initiales, un parent doit s’assurer que ce sont les principaux amis avec lesquels son enfant interagit. Ce processus se produit naturellement lorsque les parents écoutent leurs enfants discuter des activités et prêtent attention aux nouveaux noms. À mesure que les enfants élargissent leurs cercles sociaux, les parents doivent continuellement mettre à jour leurs listes d’amis pour rester conscients de la situation et s’assurer qu’ils prêtent attention aux aspects appropriés de la vie de leurs enfants. Cette analogie s’étend à l’autre avantage des architectures Zero Trust : la mobilité. Les téléphones intelligents augmentent la liberté des enfants tout en maintenant un lien avec leurs parents. Pour que cela soit efficace, les parents doivent s’assurer que leur enfant soit joignable. La même logique s’applique à la surveillance des connexions aux actifs critiques, car les organisations doivent garantir que leurs utilisateurs accèdent à ces actifs en toute sécurité, quel que soit leur emplacement ou leur type de matériel.
L’importance de l’analyse des données en streaming en temps réel
Ce que nous tenons pour acquis en matière de parentalité, c’est que l’analyse se fait en temps réel. Nous n’utilisons pas de mécanismes pour enregistrer les activités de nos enfants en vue d’une analyse future, tout en ignorant le présent. Nous n’attendons pas que quelque chose de malheureux arrive aux enfants pour revenir en arrière et rechercher ce qu’ils ont dit, comment ils se sont comportés, les actions à l’école et avec qui ils ont interagi. Cependant, c’est la voie que nous empruntons la plupart du temps pour la collecte de données de sécurité, alors que nous devrions chercher à obtenir des informations au fur et à mesure que les événements se produisent et que les données sont collectées.
Il existe de nombreux types de détections propices à l’analyse en continu qui ne nécessitent pas de maintien de l’état et évitent les calculs complexes :
- mauvaises configurations du réseau
- violations des règles
- L’indicateur de flux de cyber-renseignements est activé
- protocoles sortants rarement utilisés
- applications rarement utilisées
- changements dans les valeurs statiques, telles que V(irtuel)P(rivate)C(fort) ID
- informations sur le compte ou le certificat
- points de terminaison de connexion Zero Trust
Comprendre l’objectif spécifique des différentes sources de données et les liens appropriés pour les enrichissements et les transitions est essentiel pour que les opérateurs SOC évitent de se noyer dans les données. L’utilisation de l’analyse en continu pour créer un contexte et accélérer les détections peut éviter les requêtes volumineuses et les jointures de référentiels répétées. Les opérateurs SOC se considérant comme les parents des actifs de leur réseau peuvent changer de perspective et apporter une meilleure compréhension.
Bonne parentalité.
