Détection et réponse gérés : approche perturbatrice ou un mouton dans un déguisement de loup ?

aitoff / Pixabay

Quand on visite des conférences de importantes, telles que RSA et Black Hat, on voit rapidement l’amour de l’ pour la rhétorique hyperbolique et des promesses absolutistes de la protection contre les menaces. Bien sûr, une fois que le battage médiatique est remplacé par des déploiements, la réalité est en deçà des promesses visionnaires. C’est un cycle de Saint Graal à l’échec.

Récemment, a publié la troisième édition de son Guide du marché pour les services de détection et de réponse gérés (MDR). Le MDR pour Managed Detection and Response. La liste des fournisseurs a doublé par rapport aux quatorze d’origine. La liste contient de nouveaux fournisseurs sur la scène. L’optimiste dira que ces fournisseurs adoptent une meilleure approche; le cynique dira que c’est plus du marketing et une façon de faire de la hype. De toute façon, on peut se demander si c’est le mouton ou le loup qui porte les vêtements de l’autre.

Le guide MDR reconnaît certainement cette ambiguïté, arguant que les fournisseurs de MDR fournissent des solutions clés en main qui détectent les menaces et répondent avec un mélange d’actions de reporting, d’interruption ou de confinement, enveloppées dans un service 24 h/24 et 7j/7. Fracturé à partir de la catégorie MSSP traditionnelle, MDR apporte une gestion des menaces en temps réel aux petites et moyennes entreprises qui n’ont pas les moyens de construire leur propre équipe de sécurité et de SOC, comme le font les grandes entreprises comme les banques et les assurances. Ce qui différencie MDR de ses genres MSSP, est la réponse aux incidents allégés en tant que focus intentionnel sur la gestion des menaces, plutôt que sur la gestion des périphériques ou des alertes. C’est une approche intelligente. Trouver des attaques et les arrêter avant qu’elles se métastasent et deviennent un événement de perturbation d’affaires.

En termes de perturbation, cela rapproche les entreprises de leur objectif. Considérant MDR sur une ligne d’évolution, il écarte l’industrie d’une approche instrumentale de la gestion des appareils vers un état d’esprit intrinsèque déterminé à protéger l’entreprise, ses investisseurs, employés et clients. Nous pouvons maintenant voir la forêt au lieu de nous préoccuper des arbres. Une façon de classifier ce changement est de penser à trois niveaux d’avancement dans la gestion des risques. La première étape est axée sur l’appareil, passant de l’alerte à la menace. En d’autres termes, nous passons d’une réaction réactionnaire à des attaques en déployant la technologie de prévention à travers une ère de journalisation et d’alerte dictée par les exigences de conformité, à un stade ultérieur de gestion des menaces auto-actualisées.

Pendant des décennies, l’industrie s’est concentrée sur la technologie de prévention conçue pour empêcher diverses attaques d’atteindre leur cible, mais malheureusement c’est insuffisant. Comme le nombre de dispositifs a augmenté en nombre et en complexité, et que peu ont remplacé leur prédécesseur, la demande en équipes de sécurité a augmenté en termes de gestion des correctifs et des politiques. Cette friction a créé la demande de gestion externalisée et d’agrégation de journaux, et les services de sécurité gérés sont nés. Dans la plupart des cas, l’approche MSSP portait davantage sur les appareils et l’agrégation post-événement des journaux et des rapports.

Les industries fortement réglementées se sont également heurtées aux exigences de conformité qui ont donné naissance à la première génération d’outils de gestion des logs, tels que SIEM (Security Information and Event Management). Cette étape de conformité 1.0 a fait progresser l’industrie de la pensée centrée sur les appareils à l’accent sur les logs et la gestion des alertes. Mais, comme vous le diront de nombreuses entreprises fortement réglementées, vous pouvez être 100 % conforme, mais aussi ciblé à 100% par les cybercriminels. La conformité et la sécurité ne sont pas synonymes, ils sont liés, mais ils se chevauchent quelque peu.

Le SIEM géré permet de mieux sécuriser les entreprises, mais il s’appuie sur les journaux générés par la technologie de prévention. Ainsi, si l’un de ces systèmes ne détecte pas une menace potentielle, alors le système d’enregistrement est aveugle. C’est là que le MDR entre en scène. Grâce à une combinaison d’analyse du comportement utilisateur, d’analyse approfondie du trafic réseau (capture et analyse complètes des paquets), de protection des terminaux, de protection des services cloud et de réponse aux incidents légers, MDR s’appuie sur les SIEM gérés pour éviter les pannes. Souvent appelées chasse aux menaces, les entreprises, en particulier les petites entreprises, pourraient se conformer à des normes de conformité plus strictes, notamment la surveillance 24 heures sur 24, sept jours sur sept (conformité 2.0) et mieux protéger leurs activités. L’espoir est que l’intelligence artificielle, l’apprentissage automatique et d’autres technologies à venir feront finalement passer l’industrie de la sécurité d’un mode réactif à un modèle prédictif (MDR 2.0 ?).

En attendant, MDR est disponible dans beaucoup de saveurs, avec des patrimoines variables de MSSP, gestion de risque, gestion SIEM. Heureusement, Gartner le reconnaît et suggère que lorsque vous sélectionnez un fournisseur MDR, vous alignez vos besoins sur leurs services, examinez les capacités de réponse de près et déterminez si vous avez besoin d’un fournisseur expérimenté sur les marchés réglementés. En fin de compte, si vous voulez savoir si le MDR perturbe votre approche de sécurité, faites en sorte que le fournisseur prouve ce qu’il prétend grâce à une évaluation complète de la preuve de concept. La seule façon de déterminer si vous choisissez un loup ou un mouton est de les voir en chasse. Leur vraie nature émergera et vous saurez la bête qui est en face de vous.

Source

Houssen Mohsinaly

Houssen Mohsinaly

Rédacteur web depuis 2009 et vulgarisateur scientifique. J'écris sur l'actualité scientifique, les cryptomonnaie, mais également les nombreux domaines de la sécurité informatique. Que ce soit les piratages, les Ransomwares, les virus et d'autres malwares.

Avant de lancer ce blog, j'étais contributeur sur de nombreux magazines spécialisés dans la sécurité informatique et je tenais également une rubrique sur les menaces sur le numérique dans un titre de la presse écrite.

Pour me contacter personnellement :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *