Qu'est-ce que l'ingénierie de détection ?
Tout comme les cybercriminels font évoluer leurs attaques et techniques, les équipes de sécurité doivent aussi faire évoluer leur contenu de détection. L'ingénierie de détection s'inscrit donc dans un cycle de développement qui exige des efforts continus. Pourtant, pour peu qu'elle soit correctement mise en œuvre, elle peut réduire le délai moyen de détection, de réponse et de récupération en cas de cybermenace.
L'ingénierie de détection est le processus qui consiste à identifier les cybermenaces avant qu'elles ne provoquent des dommages importants. Elle repose sur la création d'une culture et d'un processus de développement, de transformation et d'optimisation des détections visant à protéger l'entreprise des cybermenaces existantes. Elle coordonne et aligne le travail des développeurs de contenu, des threat hunters, des équipes de recherche de menaces, des Red Teams et des équipes de gestion des risques afin de mettre en place un système de défense alimenté par les cybermenaces identifiées.
Le guide complet du SIEM nouvelle génération
Découvrez comment moderniser votre SOC avec des solutions SIEM de nouvelle génération. Découvrez les principales fonctionnalités et les avantages de la gestion des événements et des informations de sécurité.
Téléchargez le guide complet de NG-SIEMObjectif de la détection
L'ingénierie de détection commence par la modélisation des menaces, c'est-à-dire l'identification des cybermenaces pertinentes pour votre entreprise. Pour ce faire, vous pouvez utiliser le cadre MITRE ATT@CK et réaliser une analyse des failles de sécurité, même si, au final, les réponses aux questions suivantes devraient suffire à vous éclairer :
- Qu'ai-je besoin de détecter ?
- Quels sont les cybercriminels, techniques, outils, etc., auxquels nous devons prendre garde ?
- Comment puis-je démontrer l'importance de ces menaces pour mon entreprise ?
Les réponses à ces questions devraient vous aider à élaborer une formule de détection des cybermenaces auxquelles votre entreprise doit être attentive.
Exigences de la détection
À partir de là, identifiez les sources de log disponibles et déterminez celles qui vous manquent pour détecter les cybermenaces identifiées. Ensuite, identifiez les cas d'usage, analysez les rapports de vulnérabilité et affinez votre compréhension des failles de votre système de défense. Faites preuve de diligence raisonnable. Renseignez-vous sur la cybermenace et émettez des hypothèses à son sujet. À ce stade, vous pouvez commencer à rédiger le contenu des détections.
Pour ce faire, vous devez répondre aux questions suivantes :
- Comment puis-je détecter X ?
- De quels logs ou sources de données ai-je besoin ?
- Quelle logique de détection dois-je utiliser ?
Implémentation de la détection
Les réponses à ces questions vous mèneront à l'implémentation proprement dite, dans le cadre de laquelle vous aborderez le cycle de développement et la gestion en continu de la capacité de détection. Une fois le contenu destiné aux détections élaboré, il vous faudra l'ajuster en permanence pour éviter les faux positifs et tenir compte d'autres nuances éventuelles. Outre les ajustements et le déploiement, cette étape requiert également de passer en revue les contenus des détections rédigés précédemment. Dans le cadre de ce processus, posez-vous les questions suivantes :
- Comment puis-je automatiser la détection ?
- Cette approche de détection est-elle plus pertinente sous la forme d'un tableau de bord, d'une recherche enregistrée, d'un rapport ou d'une règle ?
La nature cyclique de l'ingénierie de détection exige d'adopter une culture collaborative au sein de l'entreprise. Sans cela, vous avez peu de chances d'obtenir des résultats. L'ingénierie de détection a pour effet de réduire les délais moyens de détection et de réponse en cas d'incident. Mais il est évident que des trouble-fête qui ne font pas nécessairement partie du cycle de détection finiront toujours par faire irruption, et c'est là tout l'intérêt du Threat Hunting.
Découvrez la première plateforme IA native au monde pour le SIEM et la gestion des logs nouvelle génération
Renforcez votre cybersécurité avec CrowdStrike Falcon®, la première plateforme basée sur l'IA pour le SIEM et la gestion des logs. Bénéficiez de la journalisation de sécurité à l'échelle du pétaoctet. Choisissez entre des options de déploiement cloud natives ou autohébergées. Journalisez vos données grâce à une architecture puissante, sans index ni goulot d'étranglement. Cette solution permet d'ingérer plus de 1 Po de données par jour et facilite le Threat Hunting. Devancez vos cyberadversaires en effectuant des recherches en temps réel en moins d'une seconde pour les requêtes complexes. Obtenez une visibilité complète en consolidant les données pour éliminer les silos. Les équipes de sécurité, informatiques et DevOps peuvent ainsi traquer les cybermenaces, surveiller les performances et assurer la conformité de manière transparente sur 3 milliards d'événements en moins d'une seconde.