Connect with us

Technologie

L’opérateur aéroportuaire MAG améliore la visibilité des menaces avec un SOC hybride

Published

on


Avec des avions cloués au sol et son activité principale perturbée par la pandémie, Manchester Airports Group (MAG) a continué malgré tout, adoptant une toute nouvelle stratégie de cybersécurité et abandonnant un fournisseur tiers de longue date en faveur de son propre centre d’opérations de sécurité interne (SOC) soutenu par Bridewell Consulting. Il dit qu’il récolte les bénéfices en termes de résilience et de visibilité accrues.

Malgré son nom, MAG exploite deux autres grands aéroports britanniques – East Midlands et London Stansted – et gère collectivement 60 millions de passagers par an. En tant qu’élément important de l’infrastructure nationale critique (CNI) du pays, il nécessite une surveillance continue de tous les différents éléments de son parc informatique.

Nombreux sont ceux qui disent que c’est l’ère du SOC-as-a-service, et c’est certainement dans cette direction que soufflent les vents dominants – MAG a lui-même été attelé à ce train de wagons particulier, externalisant son SOC à un fournisseur de sécurité tiers. Cependant, en mars 2020, il devenait évident pour Tony Johnson, responsable des opérations de cybersécurité du MAG, que les choses devaient changer.

Il explique : « Ils [the incumbent] faisaient du bon travail, il n’y avait pas de problème avec cela, mais à ce moment-là, nous fonctionnions depuis un peu plus de trois ans, donc nous arrivions à la fin du contrat existant, et la pile technologique était en cours de rafraîchissement parce que, de toute évidence, les choses bougent beaucoup en trois ans.

« Mon patron, notre RSSI, a toujours été désireux d’arriver à un poste où nous avons des capacités en interne, la principale raison étant qu’il y a une capacité à être beaucoup plus réactif si vous avez les gens, les compétences et la technologie. »

Johnson et son équipe ont évalué les avantages de rester avec leur fournisseur précédent, mais ont finalement boudé quelque peu face à ce qui serait une migration massive vers une pile technologique de nouvelle génération, avec tout ce que cela implique en termes de dépenses en capital et de perturbations, et finalement, une augmentation des coûts opérationnels.

« Nous en avons profité pour prendre du recul et nous demander : et si nous dépensions cet argent en interne et investissions dans notre propre pile technologique ? », dit-il.

« Nous étions également assis et réfléchissions à nos options à l’approche du nouvel exercice financier, puis la pandémie a atterri et nous avons pensé, profitons de cette occasion pour secouer un peu les choses. »

L’émergence du Covid-19 a plongé la vie quotidienne dans le désarroi et a forcé MAG à fermer une grande partie de ses opérations alors que les compagnies aériennes réduisaient considérablement leurs vols face aux restrictions de voyage mondiales. En réfléchissant à ces semaines étranges, Johnson dit que la perturbation initiale était assez simple à gérer, car MAG a longtemps été une maison Microsoft Office 365, ce qui rend le passage au travail à distance une expérience relativement indolore.

Bien sûr, l’organisation a connu la même augmentation des activités malveillantes que toutes les autres, en particulier en termes de phishing, mais rien de suffisamment grave pour perturber le nouveau plan ou introduire des défis insurmontables.

Salle d’embarquement

Malgré cela, la perspective de prendre le SOC de MAG en interne était quelque peu intimidante, alors au début du processus, Johnson a demandé conseil ailleurs dans le secteur de l’aviation. Il a fini par parler à un autre grand aéroport britannique qui avait récemment subi un processus de transformation numérique similaire, en construisant un nouveau SOC externalisé avec Bridewell Consulting. Les deux organisations avaient travaillé ensemble pour déployer une pile technologique SOC intégrant un mélange de Microsoft Azure Sentinel et Microsoft Defender XDR, et ont impressionné Johnson par leur rapidité.

« De mon point de vue, c’était vraiment intéressant », dit-il. « L’une des choses qui me préoccupait personnellement était la vitesse de déploiement – à quelle vitesse allons-nous être en mesure de mettre en place un SOC interne, à quelle vitesse allons-nous être en mesure de mettre en œuvre cette pile technologique ?

« Le message que nous avons reçu de cet aéroport était que vous serez étonné de ce que vous pouvez accomplir en quelques mois, car il s’agit de ressources internes. C’est juste beaucoup plus rapide et beaucoup plus glissant. C’est à ce moment-là que nous avons rencontré Bridewell, même si la partie intéressante de cela était que nous ne savions pas nécessairement que c’était Bridewell parce qu’ils étaient si bien intégrés à l’équipe de cette entreprise.

Johnson ajoute: « Ils nous ont montré ce qu’ils avaient fait avec la pile Sentinel et Defender et c’est après cela que nous avons commencé à développer une relation de niveau conversationnel avec Bridewell. Lorsque le sou est tombé et que nous avons dit que nous allions apporter cela en interne, il semblait logique d’avoir une autre conversation avec Bridewell en tant que partenaire Microsoft, car ils connaissaient notre secteur et ils avaient déjà opéré dans un grand aéroport britannique.n’ont pas été des surprises pour eux.

Du taxi au décollage

Alors que le confinement national du Royaume-Uni bat son plein et qu’aucun pilote de ligne n’est opérationnel, Johnson et son équipe ont fait la meilleure chose à faire : mettre en place un pilote technique

« Nous avons eu un financement de Microsoft pour remettre en service un projet pilote – ils étaient sur un gros effort pour que Sentinel soit diffusé et utilisé parce qu’il est relativement nouveau sur le marché et n’était pas nécessairement sur les radars de nombreuses organisations », explique Johnson.

Cette phase d’évaluation et de projet pilote a vu Bridewell prendre beaucoup de travail, effectuer des analyses des lacunes et de la conception pour établir quelles ressources cybernétiques étaient déjà disponibles et ce qui pourrait être nécessaire, en tenant compte d’aspects tels que les personnes, les processus et la technologie qui seraient nécessaires. Avec un nombre important d’employés de MAG en congé, c’était un défi particulier, mais les choses se sont bien déroulées et dans les délais et, surtout, le SOC a été déplacé en interne avec Bridewell offrant un modèle hybride afin que le pilote puisse démarrer.

« Nous avons obtenu des critères de réussite vraiment solides et assez simples jusqu’au déploiement de Sentinel et Defender, principalement effectué par Bridewell en utilisant simplement les mains techniques de l’équipe MAG, et nous avons très rapidement vu que le déploiement était très simple, très direct, et a prouvé qu’il y avait certainement une certaine valeur à pousser cela au niveau supérieur. », dit Johnson.

À la fin du projet pilote de huit semaines, l’équipe s’est fixé pour objectif d’avoir un « SOC minimum viable » opérationnel d’ici le jour de Noël 2020, une décision motivée en partie par le fait que le contrat en place a expiré à minuit le 23 décembre. Johnson a ensuite dressé une liste spécifique des services couverts par le contrat précédent et l’a définie comme objectif principal pour s’assurer que tout était reproduit et maintenu avant un basculement.

« Cela a toujours été l’objectif – s’assurer qu’au moment où nous avons dit au revoir à notre titulaire, nous allions y être », dit Johnson. « Quoi que vous fassiez, vous ne pouvez pas vous permettre d’aggraver la situation. C’était donc notre mantra, n’est-ce pas ? Nous étions à l’aise de pouvoir y parvenir, sur la base de ce que nous avions vu en termes de vitesse de déploiement à travers le pilote. »

Johnson décrit le travail qui a suivi de déployer un SOC interne dans trois aéroports géographiquement dispersés en moins de six mois comme le plus grand projet de sa carrière, et un projet qu’il n’aurait pas été en mesure d’accomplir s’il n’avait pas pu s’appuyer sur l’expertise d’un fournisseur qui avait déjà été là et acheté le t-shirt – Bridewell a même intégré un analyste SOC dédié au sein de l’équipe de MAG pour faire avancer les choses. et aussi pour réduire la nécessité pour Johnson de débourser plus de formation.

Vol en palier

L’objectif spécifique d’une couverture de 70 % de la succession de MAG a été atteint à la fin de cette phase, et les choses sont ensuite passées à la deuxième et dernière étape du déploiement, qui s’est achevée en mars 2021. Pour Johnson, l’impact visible le plus immédiat a été la visibilité elle-même.

Les outils hérités du titulaire précédent avaient atteint un maximum d’environ 5 000 événements par seconde sur les 75 % du parc informatique MAG qu’il pouvait voir, mais au moment où le déploiement était terminé, l’équipe SOC voyait environ 80 000 événements par seconde avec 95 % des serveurs et des points de terminaison visibles. Johnson décrit les avantages comme incommensurables.

« Des choses simples comme brancher l’environnement Office 365 dans l’outil SIEM nous ont donné un niveau de visibilité extraordinaire auquel nous ne nous attendions pas », dit-il. « C’était vraiment intéressant de voir combien de personnes frappent à cette porte. Je suppose que c’est l’une des choses à propos d’Office 365 – c’est un service très hébergé dans le cloud public. C’est ce qui le rend si utile pour nous, car cela signifie que je peux m’asseoir avec mon ordinateur portable personnel devant le téléviseur et simplement me connecter rapidement et vérifier quelque chose – mais cela a un prix.

« Pour moi, c’est en fait la mise en valeur du bon travail que notre titulaire réussissait à faire avec beaucoup moins. »

Les nouvelles capacités d’intelligence artificielle (IA) et d’apprentissage automatique ont contribué à faciliter encore plus le chemin. Les anciens outils étaient très basés sur des cas d’utilisation, avec des critères définis et des alertes générées en fonction de ces critères, explique Johnson.

« Grâce à l’IA et à l’apprentissage automatique, il est maintenant un peu plus intelligent et recherche des connexions qui ne sont pas nécessairement spécifiquement définies », dit-il. « Nous avons une pile de cas d’utilisation que nous avons mis en place nous-mêmes pour une activité très spécifique que nous recherchons. Mais une grande partie de ce sur quoi nous recevons des alertes sont des choses qui semblent suspectes, mais il n’y a pas nécessairement quelque chose de concret qui a provoqué le déclenchement de cette alerte.

Un changement particulièrement important à la suite de cela a été la façon dont MAG est capable de faire face aux attaques de phishing. Comme la plupart des otheIl avait connu une énorme augmentation des attaques de phishing depuis le début de la pandémie, les acteurs malveillants se faisant de grands efforts pour amener le personnel de l’aéroport à cliquer sur un lien malveillant.

Auparavant, la solution impliquait un long processus manuel, au cours duquel l’équipe de sécurité devait contacter d’autres équipes techniques internes pour traiter les rapports de phishing. Le nouveau SOC, d’autre part, peut repérer automatiquement de telles tentatives, peut vérifier rapidement que personne n’a cliqué sur quelque chose qu’il n’aurait pas dû faire, puis purger la menace de toute autre boîte de réception où elle peut se cacher.

Surclassement en classe affaires

Le point culminant de tout cela est que l’équipe de sécurité de MAG planifie maintenant des changements de niveau encore plus profonds en fonction de ce qu’elle peut maintenant faire. Par exemple, explique Johnson : « Nous cherchons à ingérer beaucoup plus d’informations sur les menaces et à passer à un modèle de réponse aux menaces plutôt qu’à des alertes, en nous intégrant à certaines plates-formes d’informations sur les menaces pour nous aider à savoir où nous devrions concentrer notre attention. Je pense que ça va être un grand changement pour nous. »

L’autre projet actuellement sur la table est d’étendre la couverture de l’équipe de sécurité dans le monde de la pile de technologie opérationnelle (OT) de MAG.

« Pour le moment, l’intérêt de l’air-gapped est que, vous savez, il est moins susceptible d’être compromis », dit-il. « Mais évidemment, cela signifie aussi que nous avons du mal à obtenir de la visibilité. Nous aimerions en avoir plus.

« Nous examinons maintenant des technologies qui vont nous permettre de commencer à ingérer des données sur l’activité qui se produit dans des choses comme nos systèmes de bagages et nos radiographies et scanners corporels de sacs de cabine – ce qui n’exécute pas un simple système d’exploitation Linux ou Microsoft. »

Ce sont ces systèmes, qui fonctionnent souvent sur mesure et, dans de nombreux cas, de très vieux systèmes d’exploitation, qui sont de plus en plus menacés dans un monde où les acteurs de la menace feront de grands efforts pour accéder aux réseaux de leurs cibles, comme l’ont montré les attaques des deux dernières années.

Une défaillance dans l’un de ces systèmes est déjà suffisante pour causer le chaos pour les opérations aéroportuaires et avoir un impact sur les passagers, mais une cyberattaque pourrait être encore plus perturbatrice, de sorte qu’il faut faire attention et mettre en place des mesures d’atténuation. « C’est quelque chose que nous avons, mais nous pourrions certainement faire mieux avec les technologies de nouvelle génération », déclare Johnson.

Mis à part les plans futurs, Johnson réfléchit à l’expérience de passer d’un service géré à un service interne comme une réalisation fière, et quelque chose qui était vraiment très amusant. « C’était un grand projet, il y avait des défis, mais c’était vraiment agréable », dit-il. « C’était agréable de s’asseoir à la fin et de dire, wow, nous avons construit un SOC. Ce n’est pas mal, vraiment.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance