Faire évoluer les opérations de sécurité avec l'automatisation

Dans un paysage numérique de plus en plus complexe et en évolution rapide, les organisations s’efforcent de se protéger contre diverses menaces de sécurité. Cependant, les ressources limitées entravent souvent les équipes de sécurité dans la lutte contre ces menaces, ce qui rend difficile la gestion du nombre croissant d’incidents et d’alertes de sécurité. La mise en œuvre de l’automatisation dans l’ensemble des opérations de sécurité aide les équipes de sécurité à atténuer ces défis en rationalisant les tâches répétitives, en réduisant le risque d’erreur humaine et en leur permettant de se concentrer sur des initiatives à plus forte valeur ajoutée.

Même si l’automatisation offre des avantages significatifs, il n’existe pas de méthode ou de processus infaillible pour garantir le succès. Des définitions claires, une mise en œuvre cohérente et des processus standardisés sont essentiels pour des résultats optimaux. Sans lignes directrices, les méthodes manuelles et chronophages peuvent nuire à l’efficacité de l’automatisation.

Ce blog explore les défis rencontrés par les équipes d’opérations de sécurité lors de la mise en œuvre de l’automatisation et les étapes pratiques nécessaires pour construire une base solide pour une mise en œuvre réussie.

Le défi de l’automatisation

Les organisations ont souvent du mal à automatiser en raison du manque de processus bien documentés et de ressources limitées. Avec des alertes constantes et des incendies à éteindre, les équipes de sécurité sont souvent dispersées et n’ont que le temps de se concentrer sur la tâche qui les attend. Cela leur laisse peu ou pas de temps pour documenter correctement les processus et procédures. Ceci, ainsi que d’autres facteurs tels que la maturité et la surveillance des processus, contribuent aux défis auxquels les équipes de sécurité sont confrontées lors de la mise en œuvre de l’automatisation. Une automatisation réussie nécessite une approche pragmatique, dans laquelle les équipes identifient et hiérarchisent les processus réalisables et ayant le plus grand impact sur l’efficacité et la réduction des risques.

Lorsqu’on examine la faisabilité de l’automatisation, il devient crucial d’évaluer si les processus et procédures en place peuvent être automatisés de manière transparente du début à la fin. Toutes les tâches ne se prêtent pas à une automatisation complète de bout en bout. La décision d’automatiser certains processus doit être basée sur des facteurs tels que le niveau de maturité de l’organisation, le temps et les ressources disponibles, ainsi que la capacité de surveiller et d’assurer la faisabilité des efforts d’automatisation. Cela nécessite une évaluation minutieuse pour déterminer si l’automatisation est logique et peut rationaliser efficacement les opérations de sécurité.

Identifier la maturité de l’automatisation

Pour parvenir à une automatisation efficace de la sécurité, les organisations doivent évaluer leur niveau de préparation et de maturité. Une évaluation complète implique l’évaluation de trois processus d’enquête critiques.

Collecte de preuves

Ce processus implique l’interrogation d’informations dans l’environnement technologique de l’organisation. Historiquement, le plus gros problème de ce processus est qu’il était manuel. Les organisations disposent généralement d’une multitude de technologies différentes, qui parlent toutes leur propre langage, ce qui entraîne beaucoup de temps passé à passer d’un outil à l’autre pour collecter des données pour une enquête donnée.

L’automatisation peut grandement améliorer cette étape en unifiant et en simplifiant les requêtes, éliminant ainsi les complexités associées aux différents systèmes de journalisation et nomenclatures de requêtes. Une solution d’orchestration, d’automatisation et de réponse de sécurité (SOAR) peut s’avérer extrêmement utile ici. Cependant, le principal obstacle à la mise en œuvre des SOAR réside dans l’intégration, la maintenance et l’entretien. Si les organisations sont déjà confrontées à des contraintes de ressources, tenter de mettre en place un SOAR devient encore plus difficile car elles ne disposent peut-être pas de suffisamment de personnes disponibles pour gérer efficacement les incidents tout en maintenant un SOAR.

Analyse

Une fois les preuves rassemblées, l’étape d’analyse prend le résultat de la collecte de preuves et l’analyse par rapport aux éléments internes et externes. L’automatisation peut aider à extraire des informations, à identifier des modèles et à accélérer la détection des menaces potentielles, mais il est important de noter que le processus d’analyse nécessite souvent une intervention humaine pour garantir l’exactitude et l’efficacité.

Selon ce qui est analysé, une implication humaine peut être nécessaire. Par exemple, lorsqu’il s’agit d’actifs critiques, d’analyse de vulnérabilités ou d’identification de tous les comptes racine et administrateur d’un système, il est essentiel de faire appel à une intelligence humaine interne pour examiner et vérifier les informations.

Assainissement

Ce processus implique de répondre efficacement aux alertes véritablement positives dans un environnement. La réhabilitation dépend grandement de l’efficacité de tout ce qui a été construit auparavant. Il sera extrêmement difficile d’avoir confiance dans votre processus de remédiation si vous ne disposez pas de toutes les données dont vous avez besoin ou s’il existe des lacunes dans vos renseignements internes ou externes.

Développement d’automatisation pratique

Il est essentiel de comprendre quels processus et procédures sont en place pour répondre aux menaces. Selon le stade de maturité d’une organisation, il peut être difficile de savoir par où commencer pour mettre en œuvre l’automatisation. Construire une base solide pour l’automatisation implique de suivre une approche systématique et itérative. Vous trouverez ci-dessous cinq étapes que les organisations peuvent suivre pour mieux mettre en œuvre l’automatisation :

Équipes de sécurité des entretiens : Collaborez avec les équipes de sécurité sur leurs processus existants et identifiez les cas d’utilisation adaptés à l’automatisation.
Identifier les cas d’utilisation: Identifier les opportunités de cas d’utilisation de l’automatisation sur la base de ces entretiens. Donnez la priorité aux tâches à volume élevé, répétitives ou à celles nécessitant un effort humain important. Concentrez-vous sur un processus à la fois pour éviter les complications causées par la précipitation de plusieurs processus sans une compréhension et un développement appropriés.
Résultats des documents : Pendant la phase de documentation, analysez les actions dans les consoles et comparez-les avec les points de terminaison de l’API correspondants. Les technologies changeantes et les variables inattendues peuvent perturber les processus. Pour atténuer toute perturbation, il est essentiel d’avoir une solide compréhension des API utilisées et de documenter minutieusement les résultats. En intégrant cette documentation dans le flux de travail global, tout écart par rapport aux hypothèses initiales peut être identifié et traité rapidement.
Développer une boucle de rétroaction : Intégrez les idées, les suggestions et l’expertise de l’équipe des opérations de sécurité tout au long du processus de développement pour garantir que la solution d’automatisation s’aligne sur les besoins de l’organisation et améliore la productivité.
Mesurer et évaluer : Après avoir mis en œuvre l’automatisation, mesurez son efficacité et son efficience. Évaluez en permanence l’impact et recueillez les commentaires de l’équipe de sécurité. Utilisez ces informations pour affiner les techniques d’automatisation et résoudre tous les cas extrêmes émergents.

Pour disposer d’une base d’automatisation réussie, il ne suffit pas de simplement créer et déployer des solutions d’automatisation. Il est également important d’intégrer l’automatisation dans les flux de travail des opérations de sécurité existants. Ce processus d’opérationnalisation garantit que les processus automatisés et la prise de décision humaine peuvent fonctionner ensemble de manière transparente.

Conclusion

La mise en œuvre de l’automatisation est cruciale pour que les organisations puissent lutter contre les menaces de sécurité croissantes dans le paysage numérique actuel. Il rationalise les tâches, réduit les erreurs humaines et permet aux équipes de sécurité de se concentrer sur des initiatives à plus forte valeur ajoutée. Cependant, le succès de l’automatisation nécessite des définitions claires, une mise en œuvre cohérente et des processus standardisés. Les organisations doivent évaluer la faisabilité, l’état de préparation et le niveau de maturité, et suivre une approche systématique pour le développement pratique de l’automatisation. En intégrant l’automatisation dans les flux de travail existants et en identifiant les cas d’utilisation pertinents, les équipes de sécurité peuvent maximiser les avantages et tirer parti de l’expertise des professionnels. Une base solide pour l’automatisation peut réduire les temps de réponse, améliorer la précision, minimiser les erreurs et améliorer la détection des menaces dans divers processus de sécurité des organisations.

Note: Cet article est rédigé de manière experte et contribué par AJ Ledwinchercheur scientifique au bureau CTO de ReliaQuest.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.

ttn-fr-57

Famille Pinoy avec un spectacle conflictuel au Theater aan Zee : « La famille n’est pas que du gâteau »

350 salariés : Amazon ferme son centre de tri à Dormage

NOUVELLES DE TRANSFERT : Trabzonspor a signalé Okay Yokuslu au KAP ! Voici les termes du contrat

Les fans de Taylor Swift organisent une collecte de fonds pour les victimes de l’agression au couteau au Royaume-Uni

Faire évoluer les opérations de sécurité avec l’automatisation