CI Détection en environnement cloud

De Wiki Campus Cyber
Aller à :navigation, rechercher

Définition des principaux risques et stratégie de détection, d’investigation et de réaction sur les environnements cloud

Catégorie : Communauté d'intérêt


Statut : En cours

Description[modifier | modifier le wikicode]

L’émergence du cloud au sein du SI des entreprises amène de nouveaux enjeux en termes de cybersécurité, notamment pour la détection de comportements malveillants. Dans un contexte le plus souvent multicloud, il s’agit pour les entreprises, en particulier pour les SOC, de définir et mettre en place une stratégie de détection en prenant en compte les spécificités de chaque environnement cloud et de leurs fonctionnalités intrinsèques (autoscalling, conteneurisation, cloud native…).

Objectifs initiaux[modifier | modifier le wikicode]

1) Définir les risques inhérents au cloud.

2) Hiérarchiser les besoins en couverture de ces risques.

3) Définir les pré-requis (habilitations, accès, compétences) nécessaires au SOC/CSIRT pour la détection, l’investigation et la réaction.

4) Partager les bonnes pratiques en termes de détection en environnement multicloud (Quels sont les cas d’usages incontournables, quels logs sont nécessaires, comment les collecter, où les stocker ?).

Livrables possibles[modifier | modifier le wikicode]

  • Cartographie des risques cloud (« une sorte de OWASP Top 10 Cloud Security Risks »)
  • Un livre blanc des bonnes pratiques sur la détection cloud

Journal de bord de la CI[modifier | modifier le wikicode]

Lancement de 3 groupes de travail :

  • Cartographie des risques cloud / état de la menace
  • Radar tech des solutions d'aide à la détection dans le Cloud
  • Formation et compétences métiers des analystes Cloud

Avancement de la phase de réflexion :

La communauté a sélectionné les thématiques prioritaires ainsi que les problématiques de travail associées :

  • Formation / Compétences
    • Comment s'assurer que les analystes soient au fait des nouvelles typologies d'attaque ?
  • Référentiels / Outillage
    • Etat de l'art des outils d'aide à la détection dans le cloud
  • Risques
    • Cartographie des risques cloud / état de la menace (APT, TTPs, contexte)
  • Implémentation
    • Comment s'assurer d'avoir les bonnes sources de données nécessaires à la détection et dans les meilleurs conditions (coûts / performance) ?
  • Détection
    • Comment définir des règles pertinentes de détection ? Phase d'initiation :
      • une réunion toutes les 2 semaines le jeudi matin en vue du lancement des groupes de travail.


Groupes de travail

 StatusDescription
GT Détection en environnement Cloud - Cartographie des risques dans le CloudEn coursEtablir une cartographie des risques fréquemment rencontrés dans un environnement Cloud
GT Détection en environnement Cloud - Formation des analystesEn coursFormation des analystes opérant en environnement Cloud
GT Détection en environnement Cloud - Panorama des solutionsEn coursPanorama des solutions de détection dans le Cloud