Nmedia - Fotolia
Analystes SOC de niveau 1 : Entre burn-out et bore-out
Jouant un rôle essentiel dans un centre de sécurité opérationnel, l’analyste de premier niveau peut paradoxalement se retrouver submergé par la tâche… comme par l’ennui. Mais ce n’est pas inéluctable.
Chargé du tri des alertes en temps réel et de la prise en charge des alertes « entrantes » des utilisateurs, l’analyste de premier niveau joue un rôle primordial dans le fonctionnement d’un SOC.
Confronté à des volumes considérables d’événements, il porte l’énorme responsabilité d’y identifier les motifs les plus inquiétants, demandant à être analysés en profondeur au niveau 2. La moindre erreur, dans ce qui s’apparente souvent à chercher l’aiguille proverbiale dans la botte de foin, peut se traduire par la non-détection d’un incident critique. L’analyse des incidents les plus graves s’avère d’ailleurs impitoyable. Elle fait bien souvent remonter des événements qui avaient été collectés par les outils de surveillance et auraient donc pu être vus avant que le pire n’arrive.
Si l’erreur est indissociable de l’analyse humaine et que les mécanismes d’analyse et d’apprentissage a posteriori sont indispensables à tout bon SOC, certaines défaillances ont des racines plus profondes et inquiétantes.
Il peut tout d’abord s’agir d’un problème de compétences individuelles. Et de ce point de vue, il est difficile de résoudre l’équation qui permettrait d’affecter à des tâches par essence industrielles et souvent répétitives des analystes qui auraient un œil sécurité assez aiguisé pour identifier des signaux faibles dans un flux constant d’alertes. A cette équation s’ajoute le travail de nuit pour les SOC devant assurer un service en 24/7. Elle peut ainsi devenir insoluble.
Il s’agit également souvent de défaillance des processus de veille, le manque d’informations sur le contexte et les techniques d’attaque rendant difficile la distinction entre alertes pertinentes et événements bénins ou sans objet. Cette défaillance est d’autant plus préjudiciable que la plupart des SOC disposent de ressources humaines ne leur permettant d’analyser qu’une part infime des alertes générées.
Chose surprenante dans un domaine d’expertise et en évolution permanente comme la cyber-défense c’est aussi l’ennui qui guette parfois l’analyste de premier niveau. Il faut y voir un autre symptôme du manque de maturité des activités de détection de certains SOC poussant leurs analystes à passer et repasser à longueur de journée sur des événements à faible potentiel.
Quelle est, par exemple, la valeur réellement ajoutée de l’analyse unitaire des alertes remontées par une solution de protection des terminaux, du suivi de l’évolution du volume de spam sur une passerelle de messagerie ? Des analyses plus ciblées s’avèrent, dans bien des cas, moins lourdes et plus intéressantes. Il en va ainsi, notamment, l’analyse du surf internet des utilisateurs générant le plus d’alertes antivirales. De même, que dire des politiques de surveillance prévoyant une revue complète des flux bloqués par les proxies sur des catégories « malware » sans jamais s’intéresser aux comportements suspects dans le trafic autorisé, par exemple la communication vers un site référencé comme malveillant par un flux de renseignements externe ?
Stress, frustration et donc ennui, la gestion des ressources humaines de ces premiers niveaux est un véritable défi. Dans le pire des cas, les SOC doivent faire face à un turn-over important qui freine fortement l’amélioration continue des processus de détection.
Pour y faire face, une première piste peut consister à étendre le périmètre de responsabilité des analystes de niveau 1. Plusieurs activités peuvent ainsi venir compléter leur fiche de poste, à commencer par des activités tirant les compétences des analystes « vers le haut » comme l’analyse des alertes de veille – une progression vers le renseignement sur les menaces, la threat intelligence –, l’analyse ouverte de rapports sur les logs, en complément des alertes en temps réel – une progression vers l’analyse de niveau 2 –, ou encore l’analyse des mails et pièces jointes suspectes avec des outils de bac à sable (sandboxing) – une progression vers la réponse aux incidents et la rétro-ingénierie.
Ce type d’élargissement de périmètre, qui peut aller jusqu’à une fusion complète des deux premiers niveaux d’analyse du SOC, est particulièrement pertinent dans les structures de taille réduite – quelques équivalents temps plein – qui constituent encore le gros du marché français.
Une seconde piste, plus évidente, consiste à mieux outiller les analystes afin de rendre leur travail plus efficace et de leur permettre de se concentrer sur des tâches à plus forte valeur ajoutée. Cette logique d’amélioration peut prendre plusieurs formes : l’évolution d’une politique de surveillance générique vers une politique personnalisée et alignée sur les scénarii de risque de l’entreprise ; l’optimisation des alertes unitaires en s’appuyant sur des listes d’exclusion et des seuils de déclenchement enrichis au fil de l’eau ; l’exploitation des fonctionnalités de corrélation des systèmes de gestions des informations et des événements de sécurité (SIEM) pour détecter des scénarii plus complexes et affiner la détection.
Elle peut aussi passer par l’acquisition de sources de veille avancée sur les menaces permettant d’automatiser en partie le tri des alertes – par exemple, un flux affectant un niveau de menace différent à chaque domaine malveillant – et de rendre la détection plus dynamique.