Accélérez l’investigation et la résolution des incidents grâce à l'analyse du trafic réseau

  Posted On   By Bitdefender   Cybersécurité pour les entreprises

 

L’efficacité de l’investigation des incidents de sécurité et de leur résolution est essentielle à la réussite de l’ensemble des efforts de protection. Cependant, l’amélioration des investigations et de la résolution des incidents n’est pas sans difficultés : un trop grand nombre d’alertes à gérer et une mauvaise corrélation entre les alertes.

L’analyse tu trafic réseau (Network Traffic Analytics – NTA) relève ces défis et accélère l’investigation et la résolution des incidents en :

– Améliorant la qualité des alertes de sécurité

– Fournissant une meilleure corrélation entre les alertes

 

Améliorer la qualité des alertes de sécurité

Bien que l’excès d’alertes soit l’un des défis les plus importants auxquels sont confrontés les analystes en sécurité et les SOC (Security Operations Center), seulement 54% des répondants à une étude, réalisée en 2018 par SANS Institute, affirmaient collecter des métriques au sein de leur SOC. Les entreprises qui n’ont pas de KPI ont des difficultés à ajuster leur niveau de compétences, leurs process et leurs outils pour assurer le traitement adéquat de tous les incidents de sécurité.

Ainsi, il est estimé qu’environ 30% des alertes de sécurité sont tout simplement ignorées. Ceci pour deux raisons principales :

– Le nombre d’alertes

– La qualité de ces alertes

Pour accroître l’efficience et l’efficacité des investigations sur les incidents, il faut commencer par améliorer la qualité des signalements et réduire leur nombre. La plupart des appareils au sein de l’infrastructure, des endpoints aux serveurs, switches, routeurs ou pare-feux, génèrent de nombreuses alertes de tous types. Mais quelles sont celles qui devraient être prioritaires ? Lesquelles, si elles sont ignorées ou si elles ne font pas l’objet d’une enquête rapide, présentent le risque le plus élevé ?

Les alertes générées par les solutions d’analyse du trafic réseau sont plus susceptibles d’être pertinentes que les alertes générées par d’autres outils. Dans un récent article autour de la conférence RSA 2019, un analyste senior chez ESG a déclaré : “Les recherches d’ESG indiquent que la surveillance de la sécurité des réseaux est le plus souvent le centre de gravité de la détection des menaces. En d’autres termes, les analystes des SOC détectent d’abord les activités suspectes sur le réseau, puis se tournent ailleurs pour poursuivre l’investigation… Il est souvent plus rentable pour les RSSI de déployer des outils plus modernes de surveillance et d’analyse de la sécurité des réseaux “.

Les autres alertes doivent-elles pour autant être ignorées ? Absolument pas. Mais l’utilisation d’une solution de type NTA, agissant comme une sentinelle dans votre entreprise, réduit la charge de travail et améliore l’efficacité des enquêtes sur les incidents. Cela n’éliminera pas complètement le problème lié au trop grand nombre d’alertes, mais le choix d’une source de signal plus fiable peut aider à surmonter ce défi.

 

Une meilleure corrélation des alertes

Seulement 30% des entreprises s’appuient sur une corrélation d’alertes entièrement automatisée ou en grande partie automatisée. Les 70% restants corrèlent les alertes manuellement. Au milieu de la pénurie actuelle d’employés qualifiés en cybersécurité, cette situation est préoccupante.

Il existe de multiples approches au problème du tri des alertes, y compris les outils SIEM (Security Information and Events Management) et SOAR (Security Orchestration Automation and Response). Alors qu’une solution SIEM regroupe un grand nombre d’alertes et essaie d’y donner un sens, les solutions NTA fonctionnent au niveau de la source originelle : le trafic réseau. En analysant directement le trafic réseau et en corrélant des dizaines ou des centaines d’événements au sein de l’infrastructure, les solutions NTA peuvent donner une image claire et complète de chaque incident de sécurité.

 

Bitdefender Network Traffic Security Analytics (NTSA)

Bitdefender NTSA fournit une visibilité claire et complète de l’activité réseau liée aux menaces en se basant sur le recueil de toutes les informations des métadonnées réseau (données concernant les flux réseau au lieu du contenu de communication) et automatise le tri des incidents de sécurité avec NTSA IntelliTriage. IntelliTriage combine des modèles de Machine Learning, de l’analyse comportementale et des scénarios de détection complexes basés sur la Threat Intelligence Bitdefender pour trier automatiquement les incidents de sécurité et proposer des actions pour y répondre.

En utilisant IntelliTriage, les SOC peuvent ainsi réduire considérablement le temps nécessaire pour enquêter sur les incidents et pour réaliser la chasse aux menaces.

 

 

Vous souhaitez en savoir plus ?

Visualisez notre webinaire pour découvrir comment réduire le temps d’investigation et de réponse aux menaces grâce à l’analyse du trafic réseau. Nous vous recommandons aussi de visiter la page produit pour en savoir plus sur comment les solutions NTA peuvent réduire votre exposition aux attaques en fournissant une visibilité complète sur les cybermenaces au niveau du réseau.

 

Sources :

https://www.sans.org/reading-room/whitepapers/analyst/membership/38570