Cisco Threat Response dans le cycle de gestion des incidents et de collecte d'informations :

La solution Cisco Threat Response, un nouvel outil qui permet aux équipes chargées des opérations de sécurité de détecter les menaces dans leur infrastructure et d'y remédier. Pour ce faire, elles combinent les informations mondiales et locales sur les menaces, ainsi que les données contextuelles de Cisco et de fournisseurs tiers. Nous examinerons le modèle F3EAD de riposte reposant sur la Threat Intelligence, et nous expliquerons comment Cisco Threat Response améliore les performances à chaque étape.

Présentation du modèle F3EAD :

La Threat Intelligence et le traitement des incidents sont des disciplines matures, chacune s'accompagnant de nombreux modèles et cadres définis en matière d'adoption et d'exploitation, qui servent de guides pour les experts. Examinons certains modèles représentatifs et voyons comment les associer au mieux dans un cadre utile de recherche des menaces.

Le cycle de gestion des incidents peut se résumer aux actions suivantes : préparation, identification, confinement, éradication, restauration et activité après l'incident.

Le cycle de collecte des informations se résume aux actions suivantes : Direction, Collecte, Traitement, Analyse et Diffusion.

F3EAD (à prononcer « feed ») est l'un des modèles applicables au Threat Hunting.

F3EAD combine des éléments du cycle de gestion des incidents et du cycle de collecte des informations.

Appliqué à la gestion des incidents, le modèle compte les étapes suivantes :

Rechercher : cette étape identifie les menaces que les responsables de la sécurité devront gérer. Ces informations proviennent de nombreuses sources, notamment des flux de renseignements privés et tiers. Cette phase est similaire à la phase de préparation du cycle de gestion des incidents.

Résoudre : au cours de cette étape, les responsables de la cybersécurité s'emploient à localiser les données télémétriques impliquées dans les informations identifiées lors de la phase précédente. Cette phase est similaire à la phase d'identification du cycle de gestion des incidents.

Terminer : c'est là que les responsables de la cybersécurité prennent des mesures contre le hacker, en passant par les phases de confinement et d'éradication du cycle de gestion des incidents.

Les étapes Rechercher, Résoudre et Terminer font partie de la procédure de gestion des incidents du modèle F3EAD. Les étapes suivantes entrent plutôt dans la catégorie de collecte des informations du modèle F3EAD.

Exploiter : il s'agit de la phase de collecte du cycle de collecte des informations. Il peut s'agir d'utiliser les données probantes de la phase Terminer qui peuvent être utiles aux responsables de la sécurité. Tous les indicateurs de compromission, les échantillons de malwares et les signes courants de vulnérabilités et d'exposition font partie des informations collectées lors de cette étape.

Analyser : l'objectif de cette phase est de développer les informations collectées. En développant ces informations, vous bénéficierez d'une vue d'ensemble de l'élément observable initial ou de l'indicateur afin de mieux cerner l'étendue de la menace. Ainsi, les hackers et les indicateurs associés peuvent être détectés, maîtrisés et éradiqués.

Diffuser : à cette étape, les résultats des enquêtes techniques ou du Threat Hunting sont publiés. Ces informations sont diffusées en se concentrant sur les destinataires. D'un point de vue tactique, ces informations bouclent la boucle et reviennent au début du modèle F3EAD, à savoir l'étape Rechercher.

Cisco Threat Response aide les analystes de la sécurité à gérer les incidents en s'appuyant sur des informations.

Le modèle F3EAD :

Conclusion :

En résumé, Cisco Threat Response aide les analystes de la sécurité à gérer les incidents en s'appuyant sur des informations. Ils peuvent effectuer les tâches suivantes :

• Améliorer leur capacité à détecter et à identifier les menaces dans leur environnement.

• Mettre en corrélation leurs détections dans plusieurs sources pour classer les incidents par ordre de priorité.

• Affiner leurs détections grâce à la Threat Intelligence et aux informations contextuelles sur les utilisateurs, les appareils et les données afin de réduire les faux positifs et de mettre en évidence les zones exactes qui sont affectées.

• Automatiser et orchestrer les actions de riposte pour réduire les délais nécessaires à la résolution des problèmes.

NOUS CONTACTER

ABBAKAN an Ingram Micro Company

11-15 quai du président Paul Doumer

92400 Courbevoie

contacts@abbakan.com