Les avantages de constituer une Blue Team mature et diversifiée


Il y a quelques jours, un ami et moi avions une conversation plutôt engageante qui a suscité mon excitation. Nous parlions de mes perspectives de devenir membre de l’équipe rouge en tant que progression de carrière naturelle. La raison pour laquelle j’ai été ému n’est pas que je veuille changer de travail ou de poste, car je suis un campeur heureux de faire partie de l’équipe bleue de Cymulate.

Ce qui m’a bouleversé, c’est que mon ami n’arrivait pas à saisir l’idée que je voulais continuer à travailler dans l’équipe bleue car, pour lui, la seule progression naturelle était de passer à l’équipe rouge.

Les équipes rouges incluent de nombreux rôles allant des testeurs d’intrusion aux attaquants et aux développeurs d’exploits. Ces rôles attirent le plus l’attention et les nombreuses certifications qui tournent autour de ces rôles (OSCP, OSEP, CEH) les font paraître fantaisistes. Les films font généralement des pirates les héros, tout en ignorant généralement le côté défenseur, les complexités et les défis des rôles des équipes bleues sont beaucoup moins connus.

Bien que les rôles de défenseur des équipes bleues puissent ne pas sembler aussi fantaisistes et recueillir peu ou pas de buzz, ils incluent des titres essentiels et divers qui couvrent des fonctions passionnantes et stimulantes et, enfin, bien rémunérés. En fait, Hollywood devrait s’en occuper !

Défendre est plus complexe qu’attaquer, et c’est plus crucial

Considérez que vous êtes un défenseur de la cybersécurité et que votre travail consiste à protéger votre infrastructure informatique.

  • En tant que défenseur, vous devez apprendre toutes sortes de techniques d’atténuation des attaques pour protéger votre infrastructure informatique. À l’inverse, un attaquant peut se contenter de maîtriser l’exploitation d’une seule vulnérabilité et continuer à exploiter cette seule vulnérabilité.
  • En tant que défenseur, vous devez être vigilant 24/7/365 pour protéger votre infrastructure. En tant qu’attaquant, vous choisissez soit une heure/date spécifique pour lancer une attaque, soit vous lancez des attaques par force brute ennuyeuses sur de nombreuses cibles potentielles.
  • En tant que défenseur, vous devez protéger tous les maillons faibles de votre infrastructure – xerox, imprimante machine, système de présence, système de surveillance ou terminal utilisé par votre réceptionniste – tandis que les attaquants peuvent sélectionner n’importe quel système connecté à votre infrastructure.
  • En tant que défenseur, vous devez vous conformer à votre organisme de réglementation local lors de l’exécution de votre travail quotidien. Les attaquants ont la liberté d’enfreindre les lois et les réglementations.
  • En tant que défenseur, vous êtes préparé par l’équipe rouge qui assiste votre travail en créant des scénarios d’attaque pour tester vos capacités.

Les équipes bleues comprennent des disciplines complexes, stimulantes et à forte intensité de recherche, et les rôles connexes ne sont pas pourvus.

Dans la conversation mentionnée ci-dessus, mon ami a supposé que les rôles de défense consistaient principalement à surveiller les SIEM (Security Information and Event Management) et d’autres outils d’alerte, ce qui est correct pour les rôles d’analyste SOC (Security Operations Center). Voici quelques rôles atypiques de la Blue Team :

  • Chasseurs de menaces – Responsable de la recherche proactive des menaces au sein de l’organisation
  • Chercheurs de logiciels malveillants – Responsable de la rétro-ingénierie des logiciels malveillants
  • Chercheurs en renseignement sur les menaces – Responsable de fournir des renseignements et des informations concernant les attaques futures et d’attribuer les attaques à des attaquants spécifiques
  • DFIR – Digital Forensics et Incident Responders sont chargés de contenir et d’enquêter sur les attaques lorsqu’elles se produisent

Ces rôles sont stimulants, chronophages, complexes et exigeants. De plus, ils impliquent de travailler avec le reste de l’équipe bleue pour fournir la meilleure valeur pour l’organisation.

Selon une récente enquête du CSIS auprès de décideurs informatiques dans huit pays : « 82 % des employeurs signalent une pénurie de compétences en cybersécurité, et 71 % pensent que ce manque de talents cause des dommages directs et mesurables à leurs organisations ». Selon CyberSeek, une initiative financée par la National Initiative for Cybersecurity Education (NICE), les États-Unis faisaient face à un manque de près de 314 000 professionnels de la cybersécurité en janvier 2019. Pour mettre cela en contexte, l’effectif total de la cybersécurité employée dans le pays n’est que de 716 000. Selon les données tirées des offres d’emploi, le nombre d’emplois non pourvus en cybersécurité a augmenté de plus de 50 % depuis 2015. D’ici 2022, la pénurie mondiale de main-d’œuvre en cybersécurité devrait atteindre plus de 1,8 million de postes non pourvus.

Les cadres de niveau C sont déconnectés de la réalité en ce qui concerne les équipes bleues internes

Le graphique ci-dessus est issu d’un excellent exposé intitulé « Comment obtenir une promotion : développer des métriques pour montrer le fonctionnement de Threat Intel – SANS CTI Summit 2019 ». Cela illustre la déconnexion entre les cadres de haut niveau et les employés « sur le terrain » et comment les cadres de haut niveau pensent que leurs équipes défensives sont beaucoup plus matures que leur auto-évaluation d’équipe.

Résoudre le problème

S’efforcer d’enseigner le nouveau métier d’analyste SOC

Faire venir des chercheurs nouveaux et expérimentés est coûteux et compliqué. Peut-être que les organisations devraient s’efforcer de promouvoir et d’encourager les analystes d’entrée à apprendre et à expérimenter de nouvelles compétences et technologies. Si les managers du SOC peuvent craindre que cela n’interfère avec les missions quotidiennes des analystes expérimentés ou qu’ils ne se traduisent par des départs de l’entreprise, cela va paradoxalement inciter les analystes à rester et à participer plus activement à la maturation de la sécurité de l’organisation sans surcoût ou presque.

Faites passer les employés d’un poste à l’autre

Les gens en ont marre de faire la même chose tous les jours. Une façon astucieuse de maintenir l’engagement des employés et de renforcer votre organisation consiste peut-être à laisser les gens passer d’un rôle à l’autre, par exemple en apprenant aux chasseurs de menaces à effectuer un travail de renseignement sur les menaces en leur donnant des affectations faciles ou en les envoyant suivre des cours. Une autre idée prometteuse consiste à impliquer des analystes SOC de niveau inférieur avec de véritables équipes de réponse aux incidents et ainsi faire progresser leurs compétences. Tant les organisations que les employés bénéficient de tels engagements.

Laissez nos employés voir les résultats de leur travail exigeant

Qu’il s’agisse d’analystes SOC de niveau inférieur ou de cadres supérieurs de niveau C, les gens ont besoin de motivation. Les employés doivent comprendre s’ils font bien leur travail, et les cadres doivent comprendre la valeur de leur travail et la qualité de son exécution.

Envisagez des moyens de mesurer votre centre d’opérations de sécurité :

  • Quelle est l’efficacité du SOC dans le traitement des alertes importantes ?
  • Avec quelle efficacité le SOC collecte-t-il des données pertinentes, coordonne-t-il une réponse et prend-il des mesures ?
  • Quelle est l’activité de l’environnement de sécurité et quelle est l’ampleur des activités gérées par le SOC ?
  • Dans quelle mesure les analystes couvrent-ils efficacement le nombre maximal d’alertes et de menaces ?
  • Dans quelle mesure la capacité du SOC est-elle adéquate à chaque niveau et quelle est la charge de travail des différents groupes d’analystes ?

Le tableau ci-dessous contient d’autres exemples et mesures tirés d’Exabeam.

Et, bien sûr, validez le travail de votre équipe bleue avec des outils de validation de sécurité continue tels que ceux sur La plate-forme XSPM de Cymulate où vous pouvez automatiser, personnaliser et étendre les scénarios d’attaque et les campagnes pour une variété d’évaluations de sécurité.

Sérieusement, valider le travail de votre équipe bleue augmente à la fois la cyber-résilience de votre organisation et fournit des mesures quantifiées de l’efficacité de votre équipe bleue dans le temps.

Remarque : Cet article a été écrit et contribué par Dan Lisichkin, Threat Hunter et Threat Intelligence Researcher chez Cymuler.



ttn-fr-57