Étude mondiale : les priorités des leaders de la sécurité concernant l’intégrité du cloud, la pénurie de talents et les vecteurs d’attaque les plus urgents.
Faire face aux incidents les plus graves
Si vous travaillez dans le domaine de la réponse aux incidents, vous savez que les erreurs de jugement peuvent coûter cher. C’est le cas dans toutes les fonctions de cybersécurité, dans toutes les entreprises. Et c’est d’autant plus vrai pour l’équipe Advanced Threat Response de Splunk, qui s’attaque aux incidents les plus graves et les plus retors ciblant l’entreprise. Cette unité de dix professionnels travaille avec le SOC et d’autres acteurs internes pour préserver la sécurité de Splunk. Quand un problème survient, la mission de l’équipe consiste à minimiser son impact sur les opérations, les finances et la réputation de l’entreprise, et à faire en sorte que tous les employés de Splunk puissent continuer de travailler dans les meilleures conditions.
L’équipe a récemment adopté Splunk Attack Analyzer pour approfondir ses investigations et augmenter sa capacité d’analyse. Depuis, c’est son outil numéro un dès qu’il faut analyser des fichiers ou des domaines suspects. Splunk Attack Analyzer permet aux membres de l’équipe de détecter plus rapidement les incidents et de réduire le risque pour l’entreprise. « Cela nous a aidés à faire face aux incidents les plus inextricables, » affirme Tony Iacobelli, Responsable senior de l’équipe Advanced Threat Response de Splunk.
Avec un puissant outil d’analyse comme Splunk Attack Analyzer dans son arsenal, l’équipe peut élargir le champ de ses détections. Auparavant, lorsqu’une malveillance se manifestait, l’équipe Advanced Threat Response s’appuyait essentiellement sur sa solution EDR pour l’arrêter automatiquement. Avec Attack Analyzer, les analystes peuvent repérer des tendances et obtenir des informations supplémentaires sur la source de l’attaque – notamment les indicateurs de compromission et les artefacts d’hôte. Ces éléments permettent de détecter d’autres cas d’activité suspecte qui peuvent avoir échappé à l’EDR. Grâce aux modes de détonation interactive intégrés, l’équipe peut examiner les malwares sans courir le risque d’infecter ses machines.
Ce nouvel outil est arrivé à point nommé. M. Iacobelli explique : « Nous étions en train d’élargir le nombre de scénarios d’utilisation et de domaines sur lesquels nous avons de la visibilité. Malheureusement, il ne suffit pas d’agrandir l’équipe au fur et à mesure. Il fallait également accroître la productivité de l’équipe en améliorant notre efficacité globale. Et c’est exactement ce que fait Attack Analyzer. » Attack Analyzer a augmenté l’efficacité de toutes les équipes de réponse aux incidents de Splunk, à tel point qu’elles ont atteint leur objectif : faire passer le temps moyen de détection des cas critiques sous le seuil des sept minutes.
