SECURITY

Une équipe française remporte le BOTS EMEA de Splunk

EMEA Boss of the SOCSalut tout le monde,

Chaque fois que vous entendez vos amis/collègues dire « la cybersécurité, c’est pas intéressant », parlez-leur du BOTS EMEA 2020 !  

Est-il encore nécessaire de le rappeler, Splunk est le leader dans le domaine des opérations de sécurité. Il permet aux meilleures équipes de sécurité de poser encore et encore des questions sur les données générées par n'importe quelle application, service de cloud computing ou dispositif IoT dans notre monde numérique. 

Les clients sécurité de Splunk savent qu'il n'existe pas de signature à corrélation ou d'algorithme de machine learning magiques pour assurer la cybersécurité. C'est un processus d'apprentissage constant et de maturation qui, disons-le tout de suite, n’a pas besoin d’être ennuyeux !

C’est important pour moi que Splunk ne soit pas un simple vendeur de logiciel SaaS. Splunk investit non seulement dans la sécurité, mais aussi dans la communauté et les gens, parce que ça c’est la clé du succès.

Les BOTS Splunk : une partie importante de la formation à la détection et à l'intervention

« Splunk Boss Of The SOC est notre exercice d'équipe bleu préféré et le point culminant de l'année. Nous considérons que le BOTS est une partie importante de notre plan de formation à la détection et à l'intervention. C'est aussi très amusant, très compétitif et cela nous permet de comparer nos compétences à celles d'autres équipes similaires.»

- Jarand Nikolai Jansen, Ingénieur sécurité, Administration fiscale norvégienne

273 équipes participantes, 732 joueurs actifs de plus de 40 pays

Récemment, nous avons organisé un Boss of the SOC sur la région EMEA. L’avantage de l’organiser virtuellement, c’est que l’on pouvait voir les choses en grand ! Imaginez, nous avons reçu plus de 273 équipes de plus de 40 pays et 732 joueurs actifs !

EMEA BOTS

Passons au concret. Ceci n'est pas une recherche représentative de la maturité de la cybersécurité au sein des SOC, mais voici quelques chiffres amusants à vous montrer (on aime les données ici n’est-ce pas ?) : 

  • La Finlande, avec 4 équipes participantes, a atteint un score moyen 3 fois plus élevé que les 15 équipes espagnoles participantes ;
  • Le Royaume-Uni, qui compte le plus grand nombre d'équipes de sécurité participantes, semble être celui qui investit le plus dans la cybersécurité dans la région EMEA ;
  • L'Allemagne est toujours dans le top 10 (#9) mais pour un pays leader dans la région EMEA, la Finlande, la République tchèque, l'Autriche, la Suisse, la Norvège, l'Irlande et le Royaume-Uni sont, en termes de cyberdéfense, à un plus haut niveau de maturité. Il y a encore du travail à faire...

Il y avait 4 scénarios étudiés pendant ce BOTS EMEA : Toolchain, Détection de l'activité de l'Équipe Rouge, défense d'un groupe APT et investigation sur une brèche dans les systèmes de contrôle industriel (ICS).

Tout comme dans le monde réel, les équipes ont été plongées dans différents types de situations et ont trouvé des réponses à plus de 90 questions en 4 heures. Des fournisseurs de services en ligne bien connus aux solutions logicielles moins connues, ils ont dû faire des recherches et des investigations. Une enquête sur une violation du ICS, comme cela peut arriver tous les jours dans notre monde numérique, a également été incluse.

Voici un aperçu de la façon dont les différentes équipes selon les pays se sont acquittées de leur tâche :

  • En général, le scénario APT a été le moins bien noté par rapport aux autres scénarios ;
  • La Finlande a obtenu le meilleur score dans le scénario ICS, l'Autriche a obtenu un des scores les plus bas, tout en ayant un nombre similaire d'équipes qui jouaient ;
  • Les équipes polonaises ont obtenu un score plus élevé que les équipes néerlandaises dans le cadre de la toolchain (pour un nombre d'équipes similaire) ;
  • La Suisse a obtenu le score le plus élevé pour la détection de l'activité de la Red Team ;
  • L'Autriche a obtenu le score le plus élevé dans le scénario APT, tandis que la France a obtenu un des scores les plus bas (tout en ayant un nombre similaire d'équipes en lice, c’est pas très Cocorico comme info, à moins que...).

Alors, ça a donné quoi ? Où sont les résultats complets et les listes de points de toutes les équipes ? 

  1. L'équipe gagnante était "spof" de France (Intrinsec). 
  2. La deuxième place est revenue à l'équipe britannique "IndexEqualsStar"
  3. La troisième à l'équipe britannique "Will Splunk For Beer"

Vous pouvez trouver le tableau complet des résultats ici. 

Où pouvons-nous jouer la prochaine fois et quels seront les scénarios ?

Le prochain BOTS auquel vous pouvez jouer est intégré dans .conf20. Vous pouvez vous inscrire ici et vous informer à l'avance. Avec Alice Bluebird et Frothly GO REMOTE, ce sont de nouveaux scénarios et de nouvelles données !

J’ai bien aimé la musique jouée pendant le BOTS, je peux la trouver où ?

Notre as de la sécurité Filip a tout ajouté sur une playlist Spotify. Faites du bruit !!!

Bonus: équipes disqualifiées pour tricherie

Beaucoup d'entre vous ont, pendant et après l'événement, signalé des attitudes de tricherie. Merci encore de les avoir signalées. Bien que nous ne voulions pas documenter ici les techniques et tactiques utilisées pour tricher, nous voulions vous faire savoir que nous les avons étudiées attentivement, que nous avons enquêté sur elles et que nous avons disqualifié ces équipes (certaines le jour-même du BOTS). Dans BOTS v5, nous avons même mis en place des mesures supplémentaires pour rendre la tricherie plus difficile.

Rendez-vous lors du prochain BOTS ! 

Richard et l'équipe BOTS EMEA - Mikael, Kirsty, Johan et tous les coachs !

October 12, 2020
Splunk
Posted by

Splunk