Anthony Bradshaw, analyste Sophos MDR et chef d’équipe
Sophos MDR (Managed Detection and Response) est un service entièrement managé, fourni par des experts qui détectent et répondent aux cyberattaques ciblant vos ordinateurs, serveurs, réseaux, charges de travail dans le Cloud, comptes de messagerie, et bien plus encore.
Découvrez à quoi ressemble une journée type pour Anthony Bradshaw, analyste et chef d’équipe Sophos MDR. Il partagera les activités quotidiennes d’un analyste en sécurité, présentera un exemple récent de détection et de remédiation de menace pour un client MDR, et bien plus encore.
Sophos : Avant de commencer, comment définiriez-vous le MDR ?
Bradshaw : Le MDR est l’acronyme utilisé dans le secteur pour “Managed Detection and Response“, mais c’est bien plus que cela. Il s’agit d’intelligence sur les menaces, de chasse aux menaces, de recherche sur les menaces, d’ingénierie de détection, de réponse aux incidents, etc. Il s’agit d’un package complet pour la protection des systèmes critiques avec la possibilité d’avoir des analystes hautement qualifiés répondant aux adversaires en un clin d’œil.
À un niveau élevé, les entreprises se rendent compte qu’il est difficile et coûteux de doter en personnel une unité entière de cybersécurité en plus de toutes les autres activités qui accompagnent la gestion des actifs technologiques. Ainsi, travailler avec une équipe comme la nôtre réduit la complexité en matière de gestion de l’infrastructure de cybersécurité, sans parler des coûts au niveau de tous les outils internes nécessaires pour assurer la sécurité dans une entreprise.
Sophos : Quelles sont les responsabilités d’un analyste MDR, et quelles compétences et qualités recherchez-vous généralement lors du recrutement ?
Bradshaw : Nos analystes MDR ont généralement trois responsabilités principales : investiguer les incidents, répondre aux incidents et fournir un service client. Investiguer et répondre sont des choses évidentes, mais le service client mérite d’être présenté de façon plus détaillée.
Nos analystes interagissent en permanence avec nos clients. Qu’il s’agisse d’un appel téléphonique rapide pour confirmer une activité suspecte ou bien d’une session Zoom dédiée pour gérer un incident, il est extrêmement important que nos analystes comprennent la valeur d’un excellent service client.
Concernant les compétences et les qualités, nous apprécions tout particulièrement le côté technique. Si vous avez des certifications de base ou une formation en Sécurité + ou Réseau +, c’est un excellent début car cela montre que vous êtes intéressé par le domaine et que vous êtes aussi un peu analytique. Mais les compétences non techniques sont indispensables : communiquer et exprimer clairement ce qui doit être dit à un moment critique est plus que précieux.
Nous recherchons également des personnes avec de l’expérience, quelle qu’elle soit. Nous avons d’anciens enseignants, des vétérans de l’armée et d’autres profils encore qui composent nos équipes très diversifiées. En fin de compte, nous recherchons des personnes véritablement passionnées par la cybersécurité. Nous pouvons toujours vous former sur les compétences générales et techniques nécessaires pour réussir.
Sophos : Sur quels outils et technologies un analyste MDR s’appuie-t-il pour faire son travail ?
Bradshaw : Les analystes de Sophos s’appuient sur une variété d’outils propriétaires et open source pour mener à bien leurs investigations et gérer la chasse aux menaces.
Nous avons une plateforme propriétaire sur laquelle nos analystes passent la plupart de leur temps, et nous utilisons également Sophos Central, notre console de gestion de produits basée dans le Cloud, pour mener une grande partie de nos analyses en matière d’investigation.
Nous pouvons ingérer des données en provenance de nos propres produits mais aussi de produits tiers, qui sont automatiquement consolidées, corrélées et priorisées pour accélérer la détection, l’investigation et la réponse aux menaces afin que nous puissions fournir de meilleurs résultats en matière de cybersécurité.
L’équipe MDR surveille ces données améliorées et répond lorsque nous recevons des alertes concernant tout élément inhabituel, comme une identité de messagerie étrange, la pénétration d’un pare-feu ou la détection d’un événement Microsoft avec l’API MS Graph. Nous associons ces deux plateformes à des outils open source standards pour investiguer les adresses IP, les domaines, les fichiers, etc.
Sophos : À quoi ressemble une journée type pour un membre de votre équipe ?
Bradshaw : Généralement, les 30 premières minutes de chaque nouvelle rotation de nos analystes sont consacrées à se tenir au courant des évènements ayant eu lieu lors de la rotation précédente et à se connecter à leurs postes de travail afin d’être prêts pour la journée à venir. Après cela, ils commencent à travailler sur les investigations, le paramétrage de la détection, la chasse aux menaces, les incidents live, etc.
Nous avons eu un cas récent impliquant un fournisseur de pare-feu tiers relativement nouveau où un acteur malveillant avait eu accès à l’interface du pare-feu de notre client et a pu apporter des modifications à sa politique et créer de nouveaux comptes administrateur. Ces derniers ont été ensuite utilisés pour pivoter vers l’infrastructure du client, où les acteurs malveillants ont commencé à énumérer le domaine et à se déplacer latéralement.
Nous avons détecté le mouvement latéral et l’énumération des domaines, et avons immédiatement contacté le client, qui a confirmé que l’activité était inattendue. Nous avons alors commencé nos procédures de réponse aux incidents.
En travaillant ensemble, nous avons contenu la menace, permettant au client de déployer très rapidement un correctif au niveau du pare-feu. Nous avons également examiné leurs logs de pare-feu pour confirmer l’accès initial et déterminé les IOC (Indicateurs de Compromission) que le client devait bloquer à la périphérie de son réseau afin d’empêcher des attaques similaires de se produire à l’avenir.
Voilà à quoi pourrait ressembler une journée type. Nous proposons également fréquemment à nos analystes des journées dédiées au développement et au renforcement des compétences, leur permettant ainsi de travailler sur des projets, des recherches voire même sur la prochaine certification qu’ils souhaitent obtenir. Sophos propose une large gamme de programmes de certification, non seulement pour son équipe, mais également pour leurs clients et partenaires.
Billet inspiré de A day in the life of a Sophos MDR analyst, sur le Blog Sophos.