Quand les lacunes en matière de visibilité interne ont retardé la détection
L'entreprise ne manquait pas d'outils de sécurité ; ce qui lui faisait défaut, c'était une visibilité claire sur l'activité du réseau interne, où les attaquants pouvaient se déplacer entre des systèmes de confiance avant que le SOC ne dispose de suffisamment d'éléments pour réagir.
Il était difficile de suivre les communications internes
L'approche existante reposait largement sur les défenses périmétriques et les signaux provenant des terminaux. Si ces contrôles permettaient de détecter les menaces connues, ils n'offraient qu'un aperçu limité des communications entre les systèmes internes. De ce fait, des comportements suspects au sein du réseau pouvaient persister sans être immédiatement détectés.
Sans une meilleure visibilité interne, le SOC n'était pas en mesure d'identifier systématiquement les mouvements des attaquants dès les premières phases de l'attaque. Dans un environnement caractérisé par des réseaux segmentés, des ressources sensibles et des opérations critiques, cette lacune augmentait le risque opérationnel.
La détection commençait souvent après que l'attaque se soit propagée
Le trafic réseau interne étant plus difficile à analyser, l'équipe devait souvent attendre des indicateurs tardifs, tels que des alertes provenant des terminaux ou des comportements inhabituels du système, avant de lancer une enquête plus approfondie. À ce stade, un pirate pouvait déjà s'être propagé à plusieurs systèmes ou avoir atteint des zones plus sensibles de l'environnement.
Cela a ralenti et compliqué la réaction. Les analystes devaient reconstituer l'activité a posteriori au lieu de l'interrompre plus tôt, ce qui a accru à la fois la pression opérationnelle et les risques liés à la mission.
Le caractère fragmentaire des preuves a ralenti les enquêtes
Une fois qu'un incident était en cours d'examen, l'équipe se trouvait confrontée à un autre défi : rassembler suffisamment d'informations contextuelles pour en cerner rapidement l'ampleur et l'impact. Les analystes devaient recouper les signaux provenant de multiples outils et sources de données, ce qui ralentissait le triage, retardait la réponse et rendait les conclusions plus difficiles à justifier. Plus les éléments de preuve étaient fragmentés, plus il fallait de temps pour déterminer si une activité était inoffensive, suspecte ou réellement nuisible.
Visibilité interne, détection précoce et contexte d'action
L'entreprise n'avait pas besoin d'une nouvelle source d'alerte autonome. Elle avait besoin d'une capacité de détection réseau capable de réduire l'incertitude, d'améliorer l'efficacité des analystes et d'aider le SOC à intervenir plus rapidement et avec davantage d'assurance.
Ses exigences étaient claires :
- Une visibilité permanente sur le réseau interne, couvrant les systèmes internes, les environnements cloud et les connexions externes
- Une détection plus précoce des comportements anormaux afin de pouvoir repérer les mouvements latéraux et les activités de commandement et de contrôle avant que les menaces ne prennent de l'ampleur
- Un contexte d'enquête plus complet permettant aux analystes d'évaluer plus rapidement l'ampleur du problème sans avoir à rassembler manuellement des éléments d'information fragmentés
- Compatibilité avec les environnements d'exploitation fédéraux, y compris les déploiements réglementés, segmentés et potentiellement déconnectés
- Suivi et rapports conformes aux exigences de conformité afin de répondre aux exigences fédérales en matière de cybersécurité
Tirer parti de l'activité du réseau pour prendre des décisions plus rapides et plus éclairées
Une fois que l'entreprise a déployé MetaDefender NDR, son SOC a pu détecter plus rapidement les comportements internes suspects et mener ses enquêtes en disposant de davantage de contexte. Dès le début, le déploiement s'est concentré sur trois priorités : étendre la visibilité sur le réseau, améliorer la détection des comportements malveillants et accélérer les enquêtes du SOC.
Améliorer la visibilité dans l'ensemble de l'environnement
Le déploiement a porté sur des segments stratégiques du réseau, avec des capteurs installés aux principaux points de concentration afin d'améliorer la visibilité sur les communications entre les systèmes internes, les environnements cloud et les connexions externes. Cela a permis aux analystes d'avoir une vue d'ensemble plus cohérente de l'activité dans l'ensemble de l'environnement et a aidé le SOC à surveiller ce qui se passait à l'intérieur du réseau, et pas seulement à sa périphérie.
Détecter plus tôt les comportements sophistiqués des pirates
MetaDefender NDR ces données télémétriques afin de détecter les schémas de trafic anormaux, les mouvements latéraux et les activités de commande et de contrôle. En combinant la détection assistée par l'apprentissage automatique, l'analyse comportementale et les renseignements intégrés sur les menaces, la plateforme a permis d'identifier des schémas suspects qui, auparavant, se confondaient avec le trafic normal. Le SOC a ainsi pu détecter plus tôt les comportements malveillants, avant que les menaces ne puissent se propager davantage dans les systèmes critiques.
Accélérer les enquêtes pour le SOC
Tout aussi important, cela a facilité les enquêtes. Les analystes n'avaient plus besoin de se fier à des données fragmentées réparties sur plusieurs systèmes pour comprendre ce qui se passait. Grâce à des données de télémétrie plus riches, à un contexte plus complet, à une corrélation rapide des incidents et à l'interopérabilité avec des workflows plus larges des opérations de sécurité, les enquêtes sont devenues plus ciblées et plus efficaces.
Une détection plus précoce, des enquêtes plus rapides, une confiance renforcée
Le résultat le plus marquant a été le passage d'une détection tardive à une détection plus précoce, s'appuyant sur les informations du réseau. Après le déploiement, l'organisation a amélioré sa capacité à identifier plus tôt les activités suspectes, ce qui a permis au SOC de disposer de plus de temps pour évaluer, contenir et réagir avant que les menaces ne perturbent les opérations critiques.
Cette amélioration s'est manifestée dans l'ensemble des opérations de sécurité quotidiennes :
- Les analystes ont pu bénéficier d'une meilleure visibilité sur les communications au sein des réseaux internes sécurisés
- Des activités suspectes et des mouvements d'attaquants ont été détectés plus tôt
- L'analyse des causes profondes est devenue plus rapide et plus efficace
- La coordination entre les équipes chargées des opérations de sécurité s'est améliorée lors de la gestion des incidents
- La surveillance et l'analyse ont été mieux alignées sur les exigences fédérales en matière de cybersécurité
- Les équipes de sécurité étaient mieux à même de protéger les systèmes critiques contre les menaces internes sophistiquées
Conséquences opérationnelles sur la détection, les enquêtes et la protection des missions
| Avant MetaDefender NDR | Après MetaDefender NDR | Conséquences opérationnelles |
|---|---|---|
| Visibilité limitée sur le trafic interne est-ouest | Une meilleure visibilité sur l'activité des réseaux internes, cloud et externes | Détection plus précoce des mouvements suspects |
| Les enquêtes débutaient souvent après l'apparition d'indicateurs au niveau des points finaux ou du système | Les analystes pourraient mener leurs enquêtes directement à partir des données de télémétrie du réseau | Une réponse plus rapide et plus proactive |
| Il a fallu rassembler les éléments de preuve à l'aide de plusieurs outils | Un contexte plus riche et une meilleure corrélation des incidents ont permis d'améliorer les processus d'enquête | Une plus grande efficacité des analystes et une meilleure assurance dans la prise de décision |
| Les lacunes en matière de surveillance ont engendré des risques dans un environnement fédéral fragmenté | La surveillance continue a permis de mieux soutenir les opérations réglementées | Une meilleure préparation en matière de sécurité et une protection renforcée des missions pour les systèmes critiques |
Mettre en place un modèle d'opérations de sécurité plus proactif
Cette organisation ne s'est pas contentée d'ajouter un outil de sécurité supplémentaire. Elle a renforcé les capacités de son centre d'opérations de sécurité (SOC) en matière de détection, d'enquête et de réponse aux menaces. Grâce à une meilleure visibilité sur le comportement du réseau interne, à une détection plus précoce des activités des attaquants et à un contexte d'enquête plus solide, l'équipe est passée d'une approche réactive à une détection et une réponse plus proactives. Les analystes ont ainsi pu travailler avec plus de clarté, prendre des décisions plus rapidement et protéger les systèmes sensibles avec davantage d'assurance.
Pour les organismes fédéraux confrontés à des défis similaires, le message est clair : les signaux provenant des terminaux et du périmètre ne suffisent pas à eux seuls lorsque les attaquants tentent de se déplacer discrètement entre des systèmes de confiance. Une visibilité plus étendue sur le réseau et une détection riche en contexte peuvent fournir aux équipes de sécurité les bases dont elles ont besoin pour réagir plus rapidement, agir avec davantage d'assurance et mieux protéger les opérations critiques.
Prêt à améliorer la visibilité sur l'ensemble de votre environnement fédéral et à détecter plus tôt les menaces internes ? Contactez un OPSWAT .
