Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

Savoir faire CONIX

Purple TEAM est née d’un constat récurrent au cours de nos interactions avec les différents SOC de nos clients : quelle que soit la solution technique utilisée (QRadar, RSA, AlienVault, ArcSight, Splunk, ELK, etc.), les équipes d’analystes n’ont pas le temps de mettre en place de nouvelles règles de détection ni d’affiner celles qui sont déjà en place.

En effet, le traitement des incidents – du déclenchement de l’alerte, à l’analyse et au reporting qui en découlent, en passant par l’élimination des faux positifs – ne laisse que peu de temps aux équipes d’analystes pour mettre en place ces nouvelles règles et affiner celles qui existent déjà.

De plus, les analystes SOC ne sont pas forcément familiers avec les techniques utilisées par les auditeurs pour pénétrer les différents types de systèmes et de périmètres qu’ils surveillent.

L’offre Purple TEAM de CONIX vise donc à valider et à améliorer l’efficacité de la détection et la réactivité d’un SOC au travers d’une prestation d’expertise conjointe entre auditeurs techniques (pentesters) et analystes sécurité (experts SOC).

Une mission Purple TEAM se déroule selon un processus optimisé et efficace :

Les auditeurs réalisent une attaque devant les analystes. Si celle-ci ne génère pas d’alerte, les auditeurs et les analystes mettent en place la nouvelle règle de détection puis réitèrent l’opération. Quand une attaque est correctement détectée, l’attaque suivante démarre.

Processus Purple TEAM

Ces attaques sont le fruit d’une étroite collaboration en amont entre les équipes d’audit et d’analystes CONIX, d’une part, et les équipes d’analystes et d’exploitation du client pour le périmètre concerné, d’autre part. De cette coopération naît un cahier de test dans lequel, pour chaque attaque possible identifiée, une technique de détection et une méthode de déclenchement d’alerte sont associées afin que la mission se déroule de la manière la plus efficace possible.

En moyenne, une mission Purple TEAM dure environ une semaine, dont deux jours sur site. En 48h, les équipes parviennent généralement à mettre en œuvre de 5 à 10 nouvelles règles de détection sur le périmètre SIEM (Security information and event management) en production concerné.

By | 2019-05-03T15:18:42+00:00 09/05/2019|Conix Security, Non classé, Technique|