Qu'est-ce que l'ingénierie de détection ?

Arfan Sharif - février 15, 2023

Introduction

Tout comme les cybercriminels font évoluer leurs attaques et leurs techniques, les équipes de sécurité doivent enrichir le contenu des détections. L’ingénierie de détection s’inscrit donc dans un cycle de développement qui exige des efforts continus. Pourtant, pour peu qu’elle soit correctement mise en œuvre, elle peut réduire le délai moyen de détection, de réponse et de récupération en cas de cybermenace.

L’ingénierie de détection est le processus qui consiste à identifier les cybermenaces avant qu’elles ne provoquent des dommages importants. Elle repose sur la création d’une culture et d’un processus de développement, de transformation et d’optimisation des détections visant à protéger l’entreprise des cybermenaces existantes. Elle coordonne et aligne le travail des développeurs de contenu, des threat hunters, des équipes de recherche de menaces, des Red Teams et des équipes de gestion des risques afin de mettre en place un système de défense alimenté par les cybermenaces identifiées.

Objectif de la détection

L’ingénierie de détection commence par la modélisation des menaces, c’est-à-dire l’identification des cybermenaces pertinentes pour votre entreprise. Pour ce faire, vous pouvez utiliser le cadre MITRE ATT@CK et réaliser une analyse des failles de sécurité, même si, au final, les réponses aux questions suivantes devraient suffire à vous éclairer :

  • Qu’ai-je besoin de détecter ?
  • Quels sont les cybercriminels, techniques, outils, etc. auxquels nous devons prendre garde ?
  • Comment puis-je démontrer l’importance de ces menaces pour mon entreprise ?

Les réponses à ces questions devraient vous aider à élaborer une formule de détection des cybermenaces auxquelles votre entreprise doit être attentive.

Exigences de la détection

À partir de là, identifiez les sources de log disponibles et déterminez celles qui vous manquent pour détecter les cybermenaces identifiées. Ensuite, identifiez les cas d’usage, analysez les rapports de vulnérabilité et affinez votre compréhension des failles de votre système de défense. Faites preuve de diligence raisonnable. Renseignez-vous sur la cybermenace et émettez des hypothèses à son sujet. À ce stade, vous pouvez commencer à rédiger le contenu des détections.

Pour ce faire, vous devez répondre aux questions suivantes :

  • Comment puis-je détecter X ?
  • De quels logs ou sources de données ai-je besoin ?
  • Quelle logique de détection dois-je utiliser ?

Implémentation de la détection

Les réponses à ces questions vous mèneront à l’implémentation proprement dite, dans le cadre de laquelle vous aborderez le cycle de développement et la gestion en continu de la capacité de détection. Une fois le contenu destiné aux détections élaboré, il vous faudra l’ajuster en permanence pour éviter les faux positifs et tenir compte d’autres nuances éventuelles. Outre les ajustements et le déploiement, cette étape requiert également de passer en revue les contenus des détections rédigés précédemment. Dans le cadre de ce processus, posez-vous les questions suivantes :

  • Comment puis-je automatiser la détection ?
  • Cette approche de détection est-elle plus pertinente sous la forme d’un tableau de bord, d’une recherche enregistrée, d’un rapport ou d’une règle ?

La nature cyclique de l’ingénierie de détection exige d’adopter une culture collaborative au sein de l’entreprise. Sans cela, vous avez peu de chances d’obtenir des résultats. L’ingénierie de détection a pour effet de réduire les délais moyens de détection et de réponse en cas d’incident. Mais il est évident que des trouble-fête qui ne font pas nécessairement partie du cycle de détection finiront toujours par faire irruption, et c’est là tout l’intérêt du Threat Hunting.

Journalisez toutes vos données et répondez à toutes les questions – gratuitement

Falcon LogScale Community Edition (anciennement Humio) offre une plateforme moderne et gratuite de gestion des logs pour le cloud. Exploitez l’ingestion des données de streaming pour bénéficier d’une visibilité instantanée sur les systèmes distribués, de même que détecter et résoudre les incidents.

Falcon LogScale Community Edition, disponible instantanément et gratuitement, inclut les fonctionnalités suivantes :

  • Ingestion de jusqu’à 16 Go de données par jour
  • Durée de rétention de 7 jours
  • Aucune carte de crédit requise
  • Accès continu sans période d’essai
  • Journalisation sans index, alertes en temps réel et tableaux de bord en direct
  • Accès à notre place de marché et à nos packages, y compris aux guides de création de nouveaux packages
  • Formation et collaboration avec une communauté active

DÉMARRER GRATUITEMENT

À PROPOS DE L'AUTEUR

Arfan Sharif est responsable du marketing produits pour le portefeuille d’observabilité chez CrowdStrike. Il possède plus de 15 ans d’expérience dans les solutions de gestion des logs, ITOps, d’observabilité, de sécurité et d’expérience client pour des entreprises telles que Splunk, Genesys et Quest. Arfan est titulaire d’un diplôme en informatique de la Buckinghamshire New University, et a travaillé aussi bien dans le marketing produits que dans l’ingénierie commerciale.