Il existe une quête apparemment sans fin pour trouver les bons outils de sécurité offrant les fonctionnalités adaptées à votre organisation.
Les équipes SOC ont tendance à dépenser environ tiers de leur journée sur des événements qui ne représentent aucune menace pour leur organisation, ce qui a accéléré l’adoption de solutions automatisées pour remplacer (ou augmenter) les SIEM inefficaces et encombrants.
Avec une estimation 80% de ces menaces étant courant dans la plupart des organisations, les SOC actuels peuvent s’appuyer en toute confiance sur l’automatisation pour couvrir ce pourcentage élevé de signaux de menace.
Mais s’il est vrai que l’automatisation peut grandement améliorer l’efficience et l’efficacité des équipes de sécurité, elle ne pourra jamais couvrir de manière infaillible tous les cas d’utilisation de détection et de réponse.
Dans le récemment publié Radar GigaOm pour centre d’opérations de sécurité autonome (SOC)ils déclarent avec précision que « le SOC ne sera pas – et ne devrait pas – être totalement autonome ».
Alors que de plus en plus de fournisseurs tentent de défier les acteurs dominants de la catégorie SIEM, la demande augmente pour des solutions offrant une automatisation pouvant couvrir 80 %, tout en offrant également des capacités de personnalisation pour couvrir des cas d’utilisation sur mesure – les 20 % restants.
 |
| L’automatisation peut libérer un temps précieux pour les équipes de sécurité, afin qu’elles puissent consacrer la majorité de leur temps à des cas d’utilisation propres à leur organisation. |
LES 80% : AUTOMATISATION
Avec l’augmentation continue de la création de données à l’échelle mondiale, les organisations constatent inévitablement une augmentation du nombre d’alertes gérées par les équipes de sécurité.
Cela peut sembler intimidant pour les équipes de sécurité surmenées, mais les offres avancées des fournisseurs mettent en œuvre l’automatisation à différentes étapes du flux de travail SOC, aidant ainsi les équipes à améliorer leur rapidité et leur efficacité.
Les quatre phases clés où nous constatons une automatisation sont :
- Ingestion et normalisation des données : L’automatisation de l’ingestion et de la normalisation des données permet aux équipes de traiter efficacement de grandes quantités de données provenant de diverses sources, établissant ainsi une base solide pour les processus automatisés ultérieurs.
- Détection: Le transfert de la responsabilité de créer une partie importante des règles de détection permet aux analystes de sécurité de se concentrer sur les menaces propres à leur organisation ou à leur segment de marché.
- Enquête: L’automatisation peut alléger le fardeau des tâches manuelles et répétitives, en accélérant les processus d’enquête et de tri.
- Réponse: Les réponses automatiques aux menaces connues et découvertes facilitent une atténuation rapide et précise. Cela peut inclure la connectivité à la gestion de cas, aux solutions SOAR, à l’ITSM, etc.
Les fournisseurs de solutions de remplacement SIEM modernes, tels que Hunters, exploitent des règles de détection prédéfinies, intègrent des flux de renseignements sur les menaces et enrichissent et corrélent automatiquement les pistes. Ces processus automatisés allègent de grandes quantités de charges de travail fastidieuses, permettant aux équipes de sécurité de gérer facilement la grande majorité des alertes.
 |
| L’enrichissement automatique et la corrélation croisée créent des histoires complètes, rendant le suivi des mouvements latéraux beaucoup plus efficace. |
LES 20% : PERSONNALISATION
Bien que l’automatisation des phases ci-dessus du flux de travail ait grandement contribué à améliorer l’efficacité de nombreux SOC, un certain degré de personnalisation restera toujours nécessaire.
Chaque organisation a des besoins et des exigences sur mesure en fonction des cas d’utilisation spécifiques au secteur ou à l’entreprise. Cela signifie que même si les fonctionnalités automatisées et intégrées peuvent répondre à 80 % des cas d’utilisation et des tâches générales, des fonctionnalités supplémentaires sont nécessaires pour couvrir les 20 % restants.
La « personnalisation » peut signifier beaucoup de choses différentes, mais la principale exigence pour les équipes de sécurité est qu’elles disposent à la fois de la flexibilité nécessaire pour couvrir des cas d’utilisation uniques et de la capacité d’adapter leurs capacités. Examinons quelques exemples de cas d’utilisation où cela peut être bénéfique :
- Ingestion de sources de données personnalisées : chaque organisation dispose de plusieurs sources de données qu’elle ingère avec différents formats de journaux. De nombreux fournisseurs ne disposent peut-être pas d’intégrations prédéfinies à ingérer à partir de chaque source de données. Par conséquent, si un fournisseur offre cette fonctionnalité, cela peut représenter un énorme avantage. Cela s’adresse particulièrement aux organisations qui utilisent actuellement (ou vont bientôt migrer vers) des lacs de données pour conserver leurs données à des fins multiples.
- Détection en tant que code : c’est devenu un mot à la mode dans le secteur de la sécurité, mais pour cause. La détection en tant que code offre de nombreux avantages aux ingénieurs de détection, comme un cycle de vie de développement amélioré et efficace, et aux grandes organisations la possibilité de gérer plus efficacement les environnements multi-tenants. Si vous n’êtes pas familier avec le concept, la détection en tant que code utilise des API et des pipelines de déploiement pour fournir les capacités d’audit souhaitées, rendant ainsi le cycle de vie du développement des opérations de sécurité beaucoup plus proche de celui du développement logiciel traditionnel. Cette approche améliore les processus pour aider les équipes à développer des alertes de meilleure qualité ou à réutiliser le code au sein de votre organisation afin que vous n’ayez pas à créer chaque nouveau détecteur à partir de zéro. Cela permet également de pousser l’ingénierie de détection dans le cycle de vie du développement, éliminant ainsi le besoin de tester et de déployer manuellement les détecteurs.
- Contexte métier évolutif : Qu’il s’agisse d’entités présentant des niveaux de sensibilité spécifiques (comme les joyaux de la couronne), de données provenant de différentes unités commerciales ou de différentes zones géographiques, ou de données cloisonnées provenant de différentes sources, il faut beaucoup de temps et d’efforts pour rassembler les informations de manière compréhensible et exploitable. Tirer parti d’une alternative SIEM qui vous donne la possibilité de gérer tout cela via une API apporte une efficacité et une évolutivité accrues que tous les fournisseurs n’offrent pas.
Conclusion
La création d’un SOC efficace a toujours été et continuera d’être un effort nuancé.
Il n’existe pas de solution universelle en matière d’outils de sécurité. Il est important d’offrir aux organisations des moyens non seulement de les personnaliser en fonction de leurs cas d’utilisation, mais il est essentiel qu’elles soient capables de combiner cette « personnalisation » avec les capacités automatisées déjà existantes proposées par les fournisseurs.
Il est devenu nécessaire de rechercher des fournisseurs capables de proposer à la fois une approche pratique de la personnalisation des outils, mais également de le faire de manière à renforcer les parties autonomes de leurs offres.
Les fournisseurs de remplacement SIEM comme Hunters, qui ont été nommés leaders dans le rapport GigaOm mentionné précédemment rapport sur SOC autonome, sont connus pour leurs capacités faciles à utiliser et prédéfinies. Et, pour garantir qu’ils répondent aux besoins des équipes de sécurité, nous continuons d’ajouter des fonctionnalités de personnalisation innovantes qui permettent aux organisations d’adapter leur stratégie de sécurité à leurs besoins uniques.
Couvrir les 80 % est vital, mais s’attaquer aux 20 % restants placera votre équipe de sécurité au-dessus des autres.