Photo by Venveo on Unsplash
(English version will follow)
Les incidents de sécurité affectent de plus en plus les industries, car leurs coûts financiers sont énormes. Le nombre croissant d’attaques de sécurité et de violations de données incite les entreprises à mettre en œuvre des mécanismes de protection, de récupération et d’enquête sur les incidents de sécurité.
Il en résulte que les organisations explorent d’autres mesures de sécurité, telles que des programmes de renseignement sur les menaces à la sécurité. L’objectif principal de tels programmes est de produire des connaissances factuelles sur les risques et les menaces, qui peuvent ensuite être utilisées pour prendre des décisions de sécurité éclairées au sein d’une organisation. Pour qu’un tel programme soit efficace, il doit être doté d’ensembles de données d’une qualité suffisante. Cependant, il a été observé que de nombreuses organisations se concentrent davantage sur l’éradication et le rétablissement et moins sur ce qu’elles peuvent apprendre des incidents de sécurité. Par conséquent, il est possible que la qualité des données issues d’enquêtes de sécurité ne soit pas adaptée à un apprentissage approfondi des incidents de sécurité.
Dans cette étude, George Grispos, William Glisson et Tim Storer ont présenté une étude de cas détaillée sur la qualité des données générées par une équipe de réponse aux incidents de sécurité au sein d’une organisation financière faisant partie des 500 plus grandes fortunes. L’étude de cas comprenait une analyse de documents comprenant des enregistrements d’enquêtes de sécurité et des entretiens avec l’équipe d’intervention sur les incidents de sécurité de l’organisation.
L’analyse a montré que l’exactitude des données collectées à partir d’incidents n’était pas exacte. Tout d’abord, le champ « date » n’a pas été rempli correctement car il a été utilisé pour indiquer la date de l’incident, la date de la détection ou la date du signalement, sans autre information pour donner une indication. Deuxièmement, un grand nombre des incidents enregistrés ont été classés dans la catégorie « incidents de sécurité » car il n’existait pas de taxonomie formelle de catégorisation des réponses aux incidents de sécurité. Les entretiens ont permis aux auteurs d’apprendre que le terme « incident de sécurité » était imprécis pour classer les incidents de sécurité. Les personnes interrogées ont souvent qualifié les incidents de sécurité de « violation de la politique de sécurité ». « dégradation ou contournement des contrôles de sécurité »; « perte de données »; « pertes financières » et « menace pour la disponibilité du service ». Troisièmement, le nom utilisé pour enregistrer les informations de contact concernant le gestionnaire d’incident affecté à l’enquête n’appartenait pas aux personnes chargées de gérer l’incident, mais à celles qui signalaient l’incident à l’équipe de réponse aux incidents de sécurité de l’information (Information Security Incident Response (ISIR) en anglais).
Cette recherche met en évidence la nécessité pour les organisations d’examiner la qualité des données générées pendant et après leurs enquêtes sur les incidents de sécurité. Les recherches futures pourraient aider à identifier, étudier et évaluer des méthodes, des outils et des techniques pouvant être utilisés pour améliorer la qualité des données générées pendant et après les enquêtes de sécurité.
Security incidents are increasingly impacting industries as they come at a tremendous financial cost. The increasing number of security attacks and data breaches drives organizations to implement mechanisms to protect, recover from and investigate security incidents.
As a result, organizations are exploring alternative security measures, such as security threat intelligence programs. The primary objective of such a program is to produce evidence-based knowledge about risks and threats, which can then be used to make informed security decisions within an organization. For such a program to be effective, it must be provided with datasets of sufficient quality. However, it has been observed that many organizations are more focused on eradication and recovery and less on security incident learning. As a result, there is the potential that the quality of data derived from security investigations may be unfit for in-depth security incident learning.
In this study, George Grispos, William Glisson and Tim Storer provided a detailed case study examining the quality of data generated by a security incident response team within a Fortune 500 Financial organization. The case study included a document analysis involving security investigation records, and interviews conducted with the organization’s security incident response team.
The analysis showed that the accuracy of the data collected from incidents was not exact. First, the « date » field was not properly filled as it was either used to mark the date of the incident, the date of the detection or the date of the report without further information to give any indication. Second, a large number of the recorded incidents were classified as ‘security incidents’ as there was no formal security incident response categorization taxonomy. From the interviews conducted, the authors learned that the term ‘security incident’ was imprecise to classify security incidents. Interviewees often referred to security incidents as “breach of security policy”; “degradation or circumvention of security controls”; “data loss”; “financial losses” and “threat to service availability”. Third, the name used to record contact information regarding the incident handler assigned to the investigation did not belong to individuals handling the incident, but the individuals who were reporting the incident to the Information Security Incident Response (ISIR) team.
This research highlighted the need for organizations to examine the quality of data generated during and after their security incident investigations. Future research could help identifying, investigating and evaluating methods, tools, and techniques that can be used to enhance the quality of data generated during and after security investigations.
Cite : Grispos, G., Glisson, W.B. and Storer, T. (2019). How Good is Your Data? Investigating the Quality of Data Generated During Security Incident Response Investigations. The 52nd Hawaii International Conference on System Sciences (HICSS-52).
Source : https://arxiv.org/abs/1901.03723.
