Lorsqu'il est attaqué par menaces à la sécurité du réseau, vous disposez d'un certain nombre d'outils — systèmes de détection d'intrusion (IDS), systèmes de prévention d'intrusion (IPS), logiciels antivirus, technologies de gestion des informations et des événements de sécurité (SIEM) — qui ne perdent pas de temps pour vous envoyer une alerte indiquant que quelque chose ne va pas.
Lorsqu’une menace potentielle est identifiée, la rapidité est essentielle. Plus rapidement les menaces à la sécurité du réseau peuvent être localisées, isolées et atténuées, moins il y a de risques de dommages ou de pertes réels. Même si le processus d'alerte est entièrement automatisé, ce qui explique pourquoi presque aucun temps n'est perdu dans la détection des problèmes, le flux de travail typique de réponse de sécurité reste très manuel et prend beaucoup de temps. C’est là que la visibilité et l’automatisation entrent en jeu.
Lorsque chaque seconde compte, l'automatisation "juste à temps" déclenche un diagnostic de niveau 0 qui réduit considérablement le temps d'atténuation des attaques.
Avant tout, vous devez comprendre l’impact des menaces de sécurité réseau. Votre IDS/IPS ou SIEM ne vous fournira pas beaucoup d’informations, si ce n’est vous informer de l’existence d’un trafic potentiellement malveillant. Vos diagrammes de réseau vous donnent une idée de la façon dont le réseau est connecté, vous verrez donc quel est l'impact potentiel. Mais les diagrammes sont trop souvent incomplets ou obsolètes. Vous devez soit compter sur votre mémoire (ce qui devient de plus en plus difficile dans les environnements complexes, multifournisseurs, définis par logiciel et hybrides), soit émettre manuellement un ensemble de commandes CLI et parcourir des tonnes de textes en sortie. Cela vous donne une visibilité sur la configuration et la conception au niveau de l'appareil, mais pas au niveau du réseau. Cela fait beaucoup de temps pour avoir une vision très limitée de la situation. Et lorsque tout le reste échoue, vous devrez transmettre les choses à un ingénieur de niveau supérieur. Mais comme nous le savons tous, trouver l’expert capable d’arrêter le saignement est plus facile à dire qu’à faire. Les « silos de données » traditionnels entre le NOC et le SOC rendent la collaboration et la remontée des informations moins transparentes : différentes équipes s'appuient sur différents outils, différents systèmes et différents ensembles de données.
Supposons qu'un attaquant tente de submerger un appareil ciblé avec des paquets de requête d'écho ICMP (ping flood). Votre IPS détecte la menace et génère un trap SNMP vers Splunk. Splunk reçoit le trap et, à l'aide d'un mécanisme de recherche et d'alerte, déclenche un appel API pour NetBrain avec les paramètres d'entrée Source (attaquant) et Destination (victime).
Dès que Splunk détecte des menaces de sécurité réseau, les appels API se déclenchent NetBrain pour cartographier automatiquement la zone à problème et diagnostiquer le problème en temps réel.
NetBrain fait alors deux choses automatiquement :
Nous appelons cela un diagnostic de niveau 0, car tout ce tri et cette analyse se font automatiquement, avant qu'un humain ne soit impliqué. Les capacités d'automatisation « juste à temps » vous donnent un aperçu et des analyses en temps réel des menaces de sécurité réseau au moment où elles se produisent.
NetBrain crée automatiquement un Dynamic Map du chemin d'attaque, et Executable Runbooks collectent et analysent automatiquement toutes les données pour vous.
Tous les résultats de diagnostic sont enregistrés directement à l'intérieur du Runbook. Cette console d'analyse partagée permet à tout le monde de voir qui a fait quoi et quand - éliminant ainsi le besoin de réinventer la roue pendant l'escalade (exécuter les mêmes analyses que les ingénieurs précédents) et de mettre différentes équipes (NOC et SOC) sur la même page pour atténuer une attaque. En fait, un NetBrain enquête a constaté que le manque de collaboration entre les équipes réseau et sécurité était le défi numéro 1 lors du dépannage des problèmes de sécurité réseau. Les équipes NOC et SOC peuvent documenter automatiquement les processus (en personnalisant Runbooks à la volée avec les prochaines meilleures étapes à suivre) et partagez des informations critiques qui réduisent considérablement le temps de résolution.
Depuis longtemps, les organisations ont la possibilité de générer automatiquement des alertes lorsque des menaces apparentes à la sécurité du réseau attaquent leur réseau. N'est-il pas temps que les ingénieurs chargés d'atténuer ces attaques disposent du même niveau d'automatisation dans leur arsenal ?
En savoir plus sur comment NetBrain peut vous aider dans votre efforts de sécurité.
Consultez notre blog sur Garantir une sécurité efficace et une collaboration réseau.