Principaux Défis pour les MSSP et MDR et Comment les Surmonter

Certaines choses ne vieillissent jamais. Dans le monde des fournisseurs de sécurité, il y aura toujours un manque de professionnels, de temps et de véritables fournisseurs, tandis que vous serez toujours confronté à une abondance de risques, de complexité et de pression sur les coûts. Cependant, il existe des défis moins évidents qui entravent la croissance et l’évolutivité de votre MSSP ou MDR. Plongeons immédiatement dans quelques problèmes quotidiens préoccupants à résoudre pour amener votre entreprise au niveau supérieur.

Défi 1. Couverture des sources de journaux

Nous commençons par l’un des plus compliqués car, peu importe depuis combien de temps vous êtes dans la cybersécurité, vous savez qu’il est délicat de trouver un équilibre. Où se trouve le juste milieu entre une grande couverture qui vous garde en sécurité et d’énormes volumes de données associés à une fatigue d’alerte ? Eh bien, cette question mérite des heures de discussion car chaque cas est unique. Cependant, il existe des recommandations universelles qui, espérons-le, vous éviteront de froncer les sourcils chaque fois que quelqu’un vous parlera de la stratégie de journalisation.

Solution

Avant de commencer quoi que ce soit, reformulez la question de Quels journaux devrais-je collecter ? to Pourquoi dois-je collecter ce journal particulier ?

Voici ce que vous devez prendre en compte lors de la sélection des journaux :

• N’essayez pas de couvrir toutes les techniques. Au lieu de cela, améliorez votre connaissance de la kill chain pour comprendre les vecteurs d’attaque. Vous pouvez commencer par les bases chez MITRE ATT&CK et ensuite affiner vos connaissances avec une série d’articles de Jose Luiz Rodriguez sur les sources de données ATT&CK.
• Rappelez-vous qu’aucune attaque ne se résume à un simple cadre. C’est pourquoi vous devez rester flexible.
• Restez à jour sur les nouvelles techniques en vérifiant constamment les dernières recherches et en gardant un œil sur les leaders de l’industrie.
• Considérez toujours le domaine d’activité et la région de vos clients. Sur cette base, définissez les APT et les vecteurs d’attaque les plus courants.
• Utilisez toujours uniquement des renseignements sur les menaces fiables et récents, en évitant les données historiques.
• Rappelez-vous que la visibilité est cruciale non seulement avant, mais aussi pendant et après un incident de cybersécurité.

La grande base de connaissances sur vos sources de journaux peut être le Guide NIST pour la gestion des journaux de sécurité informatique (document 800-92). Tout en NIST est encore en cours de mise à jour de ce guide, l’institut a publié un mémorandum pour les chefs de départements exécutifs et les agences. Les révisions sont principalement motivées par la nature en évolution des attaques récentes.

L’étape suivante, tout aussi importante que la collecte des journaux, consiste à analyser les événements enregistrés. Nous avons déjà couvert les conseils pour une analyse réussie des journaux ici.

Défi 2. Variété des plateformes

Être un fournisseur de services de sécurité crée un défi de polyvalence. Pour la satisfaction des clients et un marché cible plus large, vous devez être capable de soutenir divers produits et outils, y compris plusieurs SIEM, EDR et XDR. Cela entraîne un problème de gestion redoutable, nécessite un apprentissage supplémentaire, et demande plus de spécialistes dans votre équipe.

Solution

Pour offrir et soutenir une grande qualité de services, la meilleure façon de procéder est de rechercher des solutions universelles. Dans le domaine de la cybersécurité, la première chose que vous devriez intégrer dans vos procédures de travail est Sigma. C’est un langage commun pour la cybersécurité qui vous permet de créer une requête générique et de l’utiliser ensuite pour diverses plateformes. Si vous êtes nouveau avec Sigma, consultez les matériaux suivants :

• SigmaHQ referentiel GitHub
• A feuille de triche sur les bases de l’ingénierie de la détection avec Sigma par Josh Brower et Chris Sanders
• Anatomie d’une règle Sigma par Thomas Roccia
• The pySigma referentiel GitHub lancé par Thomas Patzke et Florian Roth. pySigma est une bibliothèque Python pour l’analyse et la conversion des règles Sigma en requêtes
• A guide des règles Sigma pour les débutants

Un autre conseil est de choisir des fournisseurs de confiance qui peuvent couvrir plusieurs besoins avec une seule solution. Cependant, évitez les produits universels car plus l’offre est large, plus il est difficile de la maintenir suffisamment profonde. Vérifiez comment LTI a résolu le défi de la gestion de multiples solutions SIEM et EDR en utilisant la plateforme SOC Prime.

Défi 3. Nouvelles menaces émergentes

Le paysage des menaces change à une vitesse de plus en plus élevée, ce qui nous laisse comme seule option d’améliorer constamment les méthodes de détection et de réponse. Chaque entreprise trouve sa propre réponse à ce défi. Certaines se concentrent sur de nouveaux logiciels, tandis que d’autres emploient de nouveaux spécialistes. Mais est-ce vraiment efficace ? De telles mesures augmenteront le coût mais n’apporteront pas nécessairement les résultats souhaités. Quelle est l’approche la plus appropriée ?

Solution

Voici les recommandations qui peuvent renforcer considérablement votre posture de sécurité face à un paysage de menaces en constante évolution :

1. Optez pour des détections basées sur le comportement plutôt que des règles basées sur l’IOC. Les règles de détection basées sur le comportement durent simplement plus longtemps car elles recherchent principalement les schémas que les adversaires utilisent de manière répétée. En même temps, les détections basées sur l’IOC sont mieux utilisées rétroactivement pour vérifier les données historiques et savoir si vous avez été attaqué auparavant. Rappelez-vous simplement qu’une requête simple faite pour identifier l’activité inhabituelle de rundll32 vous servira beaucoup plus longtemps qu’une détection basée sur le rapport d’IOC.
2. Intégrez/améliorez vos procédures de Threat Hunting. Bien que de nombreuses entreprises évitent le Threat Hunting ou le réalisent de manière très basique, c’est une excellente solution pour améliorer votre cyberdéfense proactive.
3. Soyez conscient des nouvelles menaces, vecteurs d’attaque, techniques, acteurs de menace, etc. Restez toujours informé des nouveaux rapports, apprenez et essayez de suivre les leaders et experts de l’industrie. Cela peut certainement vous éviter une grande partie des mauvaises surprises.
4. Utilisez la défense collaborative contre les cybermenaces à votre avantage. Il existe différents projets open-source qui peuvent être très bénéfiques pour votre entreprise. Essayez de commencer par les référentiels GitHub, tels que LOLBAS, ELF Parser, YARA, regexploit, lynis, etc.
5. Recherchez des règles de détection dans la Plateforme SOC Prime. C’est un excellent moyen de trouver des détections, un contexte de menaces, des binaires et les simulations correspondantes de Red Canary .

Défi 4. Timing

Alors que nous pourrions débattre de quel est l’actif le plus précieux, tout le monde conviendrait que le temps est inestimable. Ne pas être en mesure de détecter les menaces en temps opportun peut entraîner non seulement des pertes financières mais aussi des pertes de données, des problèmes de conformité et des risques pour la réputation. Bien sûr, lorsqu’on parle de cybersécurité, rien ni personne ne peut vous donner une garantie à 100 %, mais être cohérent et stratégique fera plus que vous ne le pensez.

La détection opportune dépend souvent des facteurs que nous avons déjà mentionnés : la connaissance de la kill chain, la collecte et l’analyse intelligentes des journaux, l’intégration du Threat Hunting, et être à jour sur les nouvelles menaces émergentes. Cependant, une étape supplémentaire pour accélérer la livraison des services est d’automatiser les processus récurrents dans la mesure du possible. Mais quelle automatisation est la plus efficace pour les MSSP et MDR en particulier ?

Solution

Pour libérer plus de temps et de ressources pour les activités critiques pour l’entreprise, essayez d’automatiser les procédures suivantes :

• Analyse et surveillance. En général, ces processus sont faciles à automatiser car ils ne nécessitent pas beaucoup d’attention humaine.
• Les tâches d’enrichissement de données. La plupart des tâches liées aux données au niveau initial peuvent être automatisées car l’attention humaine est beaucoup plus utile par la suite.
• Tri et analyse de base. Avant de remettre les données brutes à votre analyste, vous pouvez facilement automatiser le processus de tri et d’analyse simple, du moins pour les cas les plus typiques.
• Réponse aux incidents de bas niveau. La réponse aux incidents peut varier considérablement. Cependant, certaines des bases peuvent être facilement automatisées
• Autres idées : test de pénétration automatisé, déploiement de détection, mises à jour logicielles, etc. Cette liste peut être modifiée et étendue en fonction des politiques et de la stratégie de votre entreprise.

Le concept de l’automatisation des processus robotiques (RBA) est toujours discuté pour présenter plusieurs inconvénients, tels que :

• Toutes les tâches de cybersécurité ne peuvent pas être automatisées. En réalité, c’est très loin d’être le cas.
• Les bots RPA peuvent être piratés, entraînant des perturbations opérationnelles ou une perte de données sensibles, par exemple.
• Vous avez toujours besoin d’un spécialiste compétent pour configurer le processus d’automatisation et le maintenir en marche. Vous ne pouvez donc pas automatiser vos processus et les oublier.
• À mesure que le paysage des menaces évolue, vous devrez également apporter plusieurs ajustements.
• Certaines entreprises ne peuvent pas appliquer l’automatisation en raison de leurs politiques.

Défi 5. Concurrence

Probablement, chaque entreprise affirmerait que la concurrence élevée est l’un de leurs défis, peu importe ce qu’elles font. Cependant, chaque industrie a ses particularités, de sorte que les stratégies pour se démarquer des concurrents varient également considérablement.

Solution

En tant que fournisseur de services de sécurité, vous pouvez toujours vous référer à la liste de contrôle suivante qui vous remettra toujours sur les rails :

1. Preuve d’expertise et de qualité. Vous pouvez imaginer que chaque fournisseur affirme être le meilleur. Soyez celui qui peut le prouver, et laissez vos avis parler. Si vous faites un excellent travail, vos clients satisfaits partageront très probablement leurs expériences positives. Parfois, vous avez juste besoin de demander.
2. Choisissez vos partenaires judicieusement. Si vous avez une sélection de fournisseurs fiables, vous n’aurez aucun mal à prouver la qualité de vos services.
3. Montrez votre haute valeur. Certaines entreprises peuvent s’engager dans une course aux armements en baissant les prix et en acquérant plus de clients qu’elles ne peuvent gérer. Essayez de privilégier la qualité sur la quantité, et vous verrez les miracles du marketing de bouche à oreille.
4. Prouvez votre efficacité avec des rapports clairs. Rappelez-vous que vous fournissez des services à des entreprises, et presque toutes les décisions des dirigeants d’entreprise sont basées sur le ROI. Montrez que vos services sont critiques en fournissant des rapports réguliers et explicites.
5. Rapidité et efficacité. La cybersécurité fait que chaque seconde compte. Vous devez donc travailler à fournir des résultats de qualité avec le meilleur temps possible. Cependant, évitez de faire des promesses irréalistes.
6. Soyez différent. Même si cette niche est saturée d’offres, regardez comment vos concurrents se commercialisent. S’engagent-ils avec la communauté ? Quels sont leurs principaux arguments de vente ? Et comment attirent-ils de nouveaux clients ? Ce ne sont que quelques questions qui pourraient vous aider à reconsidérer votre stratégie.

Conclusion

La cybersécurité est une industrie difficile, il y aura donc toujours des défis à surmonter. Mais si vous avez une stratégie appropriée, une approche cohérente et des fournisseurs de haute qualité pour vous soutenir, rien n’est impossible pour vous. SOC Prime est un partenaire de confiance de nombreux MSSP et MDR. Vérifiez l’efficacité du plus grand marché de la détection des menaces par vous-même gratuitement.