Cybersécurité : comment LinkedIn a réduit son temps de réaction aux attaques

Se protéger contre le hameçonnage, les logiciels malveillants et autres cybermenaces est un défi difficile à relever pour toute organisation. Mais lorsque votre entreprise compte plus de 20 000 employés et gère un service utilisé par près d’un milliard de personnes, le défi est encore plus grand.

Et c’est précisément le défi auquel est confronté LinkedIn. Le plus grand réseau professionnel du monde compte plus de 875 millions de membres, allant des juniors aux cadres de haut niveau, qui l’utilisent tous pour nouer des contacts avec leurs collègues et leurs pairs, discuter et trouver de nouveaux emplois.

Avec des centaines de millions d’utilisateurs, LinkedIn doit s’assurer que ses systèmes sont sécurisés contre des cybermenaces en constante évolution. Une tâche qui incombe à l’équipe de détection des menaces et de réponse aux incidents de LinkedIn.

“Nous devons toujours être prêts”

Jeff Bollinger, directeur de l’ingénierie de détection et de réponse aux incidents, est à la tête de cette équipe et ne se fait aucune illusion sur l’importance du défi que représentent les cybermenaces pour l’entreprise.

Des groupes de pirates informatiques très sophistiqués ont des entreprises très en vue comme LinkedIn dans leur ligne de mire, qu’il s’agisse d’essayer d’inciter les utilisateurs à cliquer sur des liens de phishing ou d’installer des logiciels malveillants via de l’ingénierie sociale.

“Nous devons toujours être prêts – qu’il s’agisse d’un attaquant opportuniste ou d’un attaquant dédié, nous devons avoir nos capteurs et notre collecte de signaux en place pour faire face, peu importe de qui il s’agit” déclare M. Bollinger.

Un projet de 6 mois pour améliorer la réponse à incident

La mise en place d’une cybersécurité plus mature n’a pas été une mince affaire, et Bollinger décrit ce projet comme “une sorte de tir vers la lune” – c’est pourquoi le programme a été baptisé Moonbase. Moonbase devait améliorer la détection des menaces et la réponse aux incidents, tout en améliorant la qualité de vie des analystes et ingénieurs en sécurité de LinkedIn grâce à l’automatisation, en réduisant la nécessité d’examiner manuellement les fichiers et les journaux des serveurs.

C’est avec cet objectif en tête que, sur une période de six mois entre mars 2022 et septembre 2022, LinkedIn a reconstruit ses capacités de détection et de surveillance des menaces, ainsi que son centre d’opérations de sécurité (SOC) – et ce processus a commencé par une réévaluation de la façon dont les menaces potentielles sont analysées et détectées en premier lieu…

“Toute bonne équipe et tout bon programme commencent par un modèle de menace approprié. Nous devons comprendre quelles sont les menaces réelles qui pèsent sur notre entreprise”, explique M. Bollinger.

Examen des modèles et des données d’incidents réels

Cette prise de conscience commence par une analyse des données qui doivent être protégées de toute urgence, comme la propriété intellectuelle, les informations sur les clients et les informations réglementées par des lois ou des normes, puis par une réflexion sur les risques potentiels pour ces données.

Pour LinkedIn et Bollinger, une menace est “tout ce qui porte atteinte ou interfère avec la confidentialité, l’intégrité et la disponibilité d’un système ou de données”.

L’examen des modèles et des données d’incidents réels permet de savoir à quoi ressemblent les cyberattaques, ce qui est considéré comme une activité malveillante et quel type de comportement inhabituel doit déclencher des alertes. Mais s’en remettre uniquement à des personnes pour faire ce travail est un défi qui prend beaucoup de temps.

Les vertus de l’automatisation

En utilisant l’automatisation dans le cadre de ce processus d’analyse, Moonbase a orienté le SOC vers un nouveau modèle : une opération de sécurité software defined et orientée vers le cloud. L’objectif du SOC “software defined” est de laisser une grande partie de la détection initiale des menaces à l’automatisation, qui signale les menaces potentielles que les enquêteurs peuvent examiner.

Mais cela ne veut pas dire que les humains ne sont pas du tout impliqués dans le processus de détection. Alors que de nombreuses cyberattaques sont basées sur des techniques communes et éprouvées, sur lesquelles les pirates s’appuient tout au long de la chaîne d’attaque, la nature évolutive des cybermenaces signifie qu’il y a toujours de nouvelles menaces inconnues déployées pour tenter de pénétrer dans le réseau – et il est vital que cette activité puisse également être détectée.

“Pour ce qui est de ce que nous ne savons pas, il nous suffit de rechercher des signaux étranges dans notre chasse aux menaces. Et c’est vraiment le moyen d’y parvenir – en consacrant du temps à la recherche de signaux inhabituels”, déclare M. Bollinger.

Filtrer le légitime et le dangereux

Cependant, l’un des défis est que les cyber-attaquants utilisent souvent des outils et des services légitimes pour mener des activités malveillantes. Ainsi, alors qu’il pourrait être possible de détecter si un logiciel malveillant a été installé sur le système, trouver un comportement malveillant qui pourrait aussi être un comportement légitime de l’utilisateur est un défi. Et c’est sur ce défi que LinkedIn s’est concentrée.

“L’activité d’administration normale et légitime ressemble souvent exactement à du piratage parce que les attaquants visent le plus haut niveau de privilèges — ils veulent être administrateur de domaine ou ils veulent obtenir un accès root, afin de faire ce qu’ils veulent”, explique M. Bollinger.

Cependant, en utilisant le SOC pour analyser les comportements inhabituels détectés par l’automatisation, il est possible soit de confirmer qu’il s’agit d’une activité légitime, soit de trouver une activité malveillante potentielle avant qu’elle ne devienne un problème.

De la détection à la lutte contre les menaces

Le SOC ne nécessite pas non plus que le personnel chargé de la sécurité de l’information surveille méthodiquement ce que fait chaque utilisateur de l’entreprise, ne s’intéressant aux comptes individuels que si un comportement étrange ou potentiellement malveillant est détecté.

Cette stratégie permet à l’équipe de chasseurs de menaces d’utiliser son temps pour examiner rapidement un plus grand nombre de données de manière plus détaillée et, si nécessaire, prendre des mesures contre les menaces réelles, plutôt que de devoir prendre le temps d’examiner manuellement chaque alerte, en particulier lorsque beaucoup de ces alertes sont de fausses alertes.

“Je pense que cela nous donne beaucoup plus de pouvoir pour travailler sur ces problèmes”, déclare M. Bollinger.

Mais la détection des menaces n’est qu’une partie de la bataille. Lorsqu’une menace est détectée, LinkedIn doit ensuite agir rapidement et sans heurts, pour éviter les perturbations et prévenir un incident de grande ampleur.

“Le temps qui s’écoule entre le moment où l’activité se produit et celui où vous la voyez pour la première fois”

C’est là que l’équipe de réponse aux incidents intervient. Elle recherche et filtre les menaces, sur la base de ce qui a été détaillé par l’équipe de chasse aux menaces.

“Nous donnons à nos équipes le plus de contexte et de données possible dès le départ, afin qu’elles puissent minimiser le temps passé à collecter des données, à fouiller, à chercher des choses, et qu’elles puissent maximiser leur temps à utiliser les capacités de réflexion du cerveau humain pour comprendre ce qui se passe réellement”, explique M. Bollinger.

Le fonctionnement de la réponse aux incidents n’a pas changé radicalement, mais la façon dont elle est abordée, avec le contexte supplémentaire des données et de l’analyse, a été révisée. Et ce changement a aidé LinkedIn à devenir beaucoup plus efficace lorsqu’il s’agit de détecter et de protéger contre des menaces. Selon M. Bollinger, les enquêtes sont désormais beaucoup plus rapides, de la détection des menaces à leur traitement.

“Le temps de détection est le temps qui s’écoule entre le moment où l’activité se produit et celui où vous la voyez pour la première fois – et l’accélération de ce temps a été spectaculaire pour nous. Nous sommes passés de plusieurs jours à quelques minutes”, explique-t-il. “Nous avons considérablement réduit notre temps de détection. Une fois que nous avons abaissé le seuil du temps de détection, nous disposons également de plus de temps pour contenir l’incident lui-même.

Et les processus ?

“Maintenant que nous sommes plus rapides et que nous voyons mieux les choses, cela réduit les possibilités pour les attaquants de causer des dommages – mais plus vite nous détectons un incident, plus vite nous pouvons l’arrêter, et cela réduit la fenêtre dont dispose un attaquant pour causer des dommages”, ajoute M. Bollinger.

Le maintien de la sécurité de l’entreprise est un élément important de la refonte des capacités de détection des menaces de LinkedIn, mais il y a aussi un autre élément clé du travail : la conception du processus, de sorte qu’il soit utile et efficace pour le personnel du SOC, les aidant à éviter le stress et l’épuisement qui peuvent accompagner le travail dans la cybersécurité, en particulier lors de la réponse à des incidents en direct.

“L’un des éléments clés de ce projet était la préservation de notre capital humain. Nous voulons que le personnel ait un travail satisfaisant, mais nous voulons aussi qu’il soit efficace et ne s’épuise pas”, explique M. Bollinger.

Améliorer la qualité du travail des équipes cyber

L’approche est également conçue pour encourager la collaboration entre les ingénieurs de détection et les intervenants en cas d’incident, qui, bien que divisés en deux équipes différentes, travaillent en fin de compte pour le même objectif.

Cette approche commune s’est également étendue aux employés de LinkedIn, qui font désormais partie du processus d’identification et de neutralisation des menaces.

Les utilisateurs sont informés de l’activité potentiellement suspecte autour de leurs comptes, avec un contexte et des explications supplémentaires sur les raisons pour lesquelles l’équipe de chasseurs de menaces estime qu’un élément est suspect, ainsi qu’une demande à l’utilisateur pour savoir s’il pense que cet élément est suspect.

En fonction de la réponse et du contexte, un flux de travail est déclenché, ce qui peut conduire à une enquête sur l’incident potentiel – et à une remédiation. “Au lieu de faire travailler les gens plus dur, nous les faisons travailler plus intelligemment – c’était vraiment l’un des principaux éléments pour nous dans tout cela”, dit Bollinger.

Source : “ZDNet.com”