Simulation de brèche et d'attaque : Réunir les rouges et les bleus
Le 16 avril 2020, nous avons organisé notre webinaire "Breach and Attack Simulation", au cours duquel notre directeur technique Ralph Moonen et notre responsable du développement de produits Robert Meppelink ont discuté de la simulation de brèche et d'attaque. Les participants ont posé de bonnes questions, que nous avons résumées ci-dessous sous forme de questions-réponses. Si vous avez encore des questions, veuillez contacter cybersecurity@bureauveritas.com.
Curieux de découvrir nos autres webinaires ? Visitez : https://cybersecurity.bureauveritas.com/webinars
QandA
Merci pour toutes les questions que vous avez posées pendant le webinaire, nous en avons reçu beaucoup ! Notre directeur technique, Ralph Moonen, a répondu à toutes les questions ci-dessous.
Si vous avez encore des questions, veuillez contacter cybersecurity@bureauveritas.com.
Comment définissez-vous les cas d'utilisation dans un SOC/SIEM ? Le cadre MITRE peut-il être utilisé à cette fin ?
Vous les définissez généralement avec des règles, mais cela dépend du SIEM que vous utilisez. Par exemple, vous pouvez définir un cas d'utilisation comme "Je veux une alerte lorsque quelqu'un se connecte à notre VPN à partir d'une adresse IP chinoise". Vous pouvez définir des règles pour cela, et oui, vous pouvez relier cela aux TTP du cadre ATTandCK de Mitre. Certains systèmes SIEM prennent cela en charge plus que d'autres, mais c'est tout à fait possible.
Comment ces simulations fonctionnent-elles dans un environnement qui ne peut être isolé du réseau ou arrêté ?
Cette approche est destinée à être mise en œuvre dans un environnement de production.
Pouvez-vous m'indiquer la durée des tests SOC/SIEM ? De quel type d'investissement s'agit-il en moyenne ?
Entre 5 et 20 jours d'effort en fonction du nombre de cas d'utilisation.
Les cas d'utilisation de l'étude de cas sont-ils testés pendant la mise en œuvre ?
Oui, ils le sont.
La vérification d'un SIEM fait-elle partie de l'audit informatique standard ?
Pas à ce niveau de détail.
Comment évaluez-vous l'état de préparation à la réponse chez un client ? Validez-vous la conception de sa gouvernance, de ses processus, de ses techniques, de ses plans, de ses ressources, etc. pour réagir aux incidents ?
Il faudrait plutôt une approche de type Red Teaming pour évaluer cela, plutôt que l'approche décrite. Et pour une "évaluation de l'état de préparation", il faudrait également des techniques d'audit plus classiques pour évaluer la gouvernance,
Votre message principal semble être le suivant : si vous ne testez pas bien votre système SIEM, il vous donne un faux sentiment de sécurité. N'est-ce pas ?
C'est exact. C'est pour la même raison que nous effectuons des exercices d'évacuation.
Nous avons externalisé notre solution SOC/SIEM, comment puis-je savoir qu'elle fonctionne correctement comme ils l'ont promis ?
Vous ne le savez pas. Mais vous pouvez la tester en utilisant des techniques telles que celles que nous avons décrites dans ce webinaire.
Les attaques varient-elles en fonction du système ou simulez-vous simplement des attaques identiques pour chaque système ?
Les attaques varient en fonction du système, tout comme les messages et les événements du journal. Vous devez donc disposer d'informations détaillées sur les systèmes exacts pour pouvoir émuler des attaques avec précision.
Et si le responsable de la Security Management voulait tester la réponse de son équipe bleue, comment allez-vous gérer cela puisque l'équipe bleue ne peut pas être alertée ?
Dans ce cas, je proposerais d'effectuer un exercice de Red Teaming, car il se concentre davantage sur la réponse. L'approche expliquée dans ce webinaire vise à tester les capacités de détection plutôt que la réponse.
Si vous avez d'autres questions, n'hésitez pas à nous Contactez-nous à l'adresse cybersecurity@bureauveritas.com.