Le pivotement intelligent vous permet de créer une image plus large et est essentiel pour la détection et la réponse

Pivot. C’est un mot que nous entendons plus fréquemment depuis la pandémie et je le trouve intéressant pour sa double signification. D’une part, cela signifie «tourner». Les écoles se tournent vers l’apprentissage en ligne. Les entreprises évoluent vers une main-d’œuvre éloignée. Les détaillants se tournent vers le commerce sans contact. Mais cela signifie aussi «crucial». Des mesures comme celles-ci sont essentielles pour maintenir les taux d’infection à Covid-19 bas. Bien qu’il s’agisse d’un terme à la mode, en cybersécurité, le pivotement du renseignement est essentiel à la détection et à la réponse.

La première étape est la détection, avoir les bonnes données à partir des bons outils au bon moment. Mais quelles sont les bonnes données? Chaque produit au sein de votre infrastructure de sécurité crée ses propres journaux et événements, générant une quantité massive de données – adresses IP, URL, valeurs de hachage, etc. Ces indicateurs sont le plus petit dénominateur commun de tous ces journaux disparates, et chacun de ces indicateurs pourrait révéler comportement malveillant. Par exemple, vous pouvez voir une adresse IP que vous ne reconnaissez pas dans votre système de prévention des intrusions (IPS). Ainsi, vous décidez d’interroger d’autres systèmes pour voir si l’un de vos autres outils de sécurité a détecté une communication vers cette adresse IP, ce qui est une information précieuse. Mais un indicateur n’est qu’une donnée. Sans contexte, vous ne pouvez pas avoir une image complète de ce qui se passe.

Dans mon article précédent, j’ai discuté du concept de pivotement du renseignement avec un exemple simplifié de recherche de renseignements sur les menaces externes pour voir si une adresse IP particulière est associée à un adversaire spécifique. Avec cette intelligence, vous pouvez pivoter vers cet adversaire et apprendre qu’il existe de nombreuses adresses IP supplémentaires liées à cet adversaire. En recherchant dans vos autres outils, vous trouvez un sous-ensemble substantiel de ces adresses IP associées. C’est un signe assez solide que quelque chose peut se passer.