L'automatisation comme mesure active de protection
L’automatisation a été utilisée pour augmenter les capacités des ingénieurs sécurité, soit pour les préserver des tâches routinières, soit pour développer le champ de ce qui leur était possible de faire. Jusque là, cela a principalement été fait autour d’actions passives (par exemple accélérer la qualification d’alertes au sein d’un SOC). Sur un axe différent, on a vu se développer des mesures actives d’opposition à un adversaire, d’abord de façon prudente avec les NIDS, et maintenant avec plus d’acceptation avec les EDR. Au même moment, on observe des adversaires de plus en plus prolifiques, particulièrement ceux utilisant des rançongiciels, avec un mode opératoire basé sur la vitesse et une phase d’actions sur objectifs généralement exécutée en heures non ouvrées. Dans cet article, nous allons chercher à proposer des actions pour utiliser l’automatisation pour contrer la vitesse des adversaires et fournir du temps aux défenseurs pour leur permettre de réagir, en utilisant des actions de freinage ou de blocage à l’échelle système, pour des SI ayant un faible niveau de santé.