Howler est une plateforme de triage destinée à aider les équipes du Centre des opérations de sécurité (COS) à simplifier leurs flux de travail et à améliorer leur capacité de traitement des alertes.
Cet outil a été conçu dans le cadre du programme de cyberdéfense du Centre pour la cybersécurité et a été publié en avril 2024. Howler peut aider les analystes à améliorer leurs processus de tri et à répondre plus efficacement aux alertes. La plateforme simplifie les résultats en termes de menace, de cible et de résumé de l’activité suspectée.
Comment ça fonctionne?
Howler permet aux analystes du triage de contrôler l’entièreté de leur flux de travail. L’outil permet aux ingénieures et ingénieurs de détection de générer ces alertes indépendamment des flux de travail des analystes. Sa conception est fondée sur quatre principaux volets :
- coordination
- connaissances
- uniformité
- efficacité
Coordination
Le système de gestion des flux de travail de la plateforme offre une visibilité en temps réel de l’état de chaque alerte. Cette fonction permet d’attribuer ou de déléguer efficacement des alertes aux membres de l’équipe appropriée sans dupliquer les efforts.
Connaissances
L’approche de Howler basée sur les données soutient une prise de décision éclairée et une gestion proactive des menaces en proposant divers graphiques et résumés pour aider à définir les tendances et à corréler les données.
Uniformité
La saisie uniforme des alertes par les ingénieurs de détection garantit que les requêtes des analystes sont efficaces et efficientes. Les actions et le système d’étiquetage de la plateforme permettent des flux de travail de tri automatisés pour réduire l’impact des faux positifs récurrents. En créant des filtres et des actions spécifiques, les équipes peuvent automatiquement ignorer les scénarios connus, ce qui réduit la fatigue des alertes et permet aux analystes de se concentrer sur les problèmes les plus critiques.
Efficacité
Howler compte des gabarits que les analystes du triage peuvent personnaliser pour que la présentation des alertes corresponde à leurs besoins. Le système de visualisation de la plateforme permet au COSs de définir et de prioriser des alertes spécifiques en fonction de filtres et de critères de tri.
Howler utilise des termes spéciaux pour distinguer les différents niveaux d’anomalies détectées :
- Raté : on a confirmé que l’anomalie n’est pas une activité malveillante.
- Touché : il y a eu une anomalie sans degré de confiance précis.
- Alerte : il y a une anomalie qui devrait faire l’objet d’un triage par une ou un analyste.
- Preuve : on a confirmé que l’anomalie est une activité malveillante.
Pourquoi utiliser Howler?
Howler vise à fournir une interface claire, personnalisable et souple qui permet aux analystes de triage d’enquêter sur les alertes. La plateforme simplifie au maximum la création de ces alertes pour les ingénieurs de détection, ce qui réduit le temps et le travail à consacrer au tri des potentielles infractions à la sécurité.
Conçu pour offrir une plus grande facilité d’utilisation et de la souplesse, Howler donne aux analystes responsables du triage les moyens d’exercer un contrôle complet sur leur flux de travail :
- en personnalisant la présentation des informations;
- en regroupant les informations afin de fournir un contexte plus clair;
- en définissant des automatisations qui réduiront les tâches répétitives.
En combinant ces capacités, Howler peut prendre en charge simultanément plusieurs équipes de triage, chacune avec ses propres flux de travail spécialisés adaptés à ses besoins.
Holwer – étude de cas
Un employé reçoit un fichier malveillant provenant d’une source externe. Ne réalisant pas que le fichier était malveillant, il télécharge le fichier et active dans son ordinateur le maliciel intégré. Ce maliciel se connecte ensuite à un serveur externe appartenant à l’auteur du maliciel qui commence à effectuer une activité malveillante sur l’ordinateur de l’employé. Les ingénieurs de détection de l’organisme notent ce trafic réseau suspect et créent une alerte dans Howler.
Un analyste de tri remarque une tendance dans ces anomalies et établit la distinction entre les activités administratives de routine du réseau et les activités potentiellement malveillantes. Il crée une étiquette « activité_admin » pour filtrer les anomalies qui sont des activités de routine. L’alerte de maliciel envoyée à Howler ne reçoit pas l’étiquette « activité_admin ». Un analyste de triage qui surveille Howler voit l’alerte et l’attribue pour y rechercher des preuves d’activité malveillante.
Les personnalisations de Howler permettent à l’analyste d’accéder rapidement aux points de données clés qui aident à déterminer que ce trafic réseau est malveillant. Il traite l’alerte comme une compromission et décide de bloquer l’accès au serveur malveillant et de mettre l’ordinateur infecté en quarantaine.
Développement de l’outil
Howler a été conçu à l’aide de logiciels du domaine public et de source ouverte, et la majorité du code a été développé par le Centre pour la cybersécurité. Il ne contient aucune technologie commerciale, mais on peut facilement l’intégrer aux technologies de cyberdéfense existantes. Comme il s’agit d’un logiciel libre, les entreprises peuvent modifier Howler selon leurs exigences. Le Centre pour la cybersécurité continue de développer et de perfectionner Howler.
Où peut-on trouver Howler?
Howler est disponible sur GitHub, un référentiel ouvert accessible à toute personne possédant un compte.