Trois erreurs majeures dans les opérations de sécurité

Lors d'un webinaire récent, Cody Cornell, fondateur et PDG de Swimlane, a discuté de quatre causes majeures Les opérations de sécurité non viables sont confrontées à un volume d'attaques sans précédent, à une saturation des alertes, à des outils de réponse obsolètes et à une pénurie de personnel qualifié en cybersécurité. Pour relever ces défis, les organisations ont tenté de mettre en œuvre différentes méthodes de sécurité, dont certaines sont efficaces, tandis que d'autres peuvent s'avérer plus néfastes que bénéfiques.

Dans le webinaire intitulé “Automatisation des opérations de sécurité,Cornell a exploré trois erreurs courantes commises par les organisations concernant leurs méthodes pour surmonter ces défis, et elles sont expliquées ci-dessous.

1. Privilégier la priorisation des alertes plutôt que de traiter 100 % des alertes.

De nombreuses entreprises utilisent une méthode de priorisation pour identifier les alarmes à traiter et leur ordre de priorité. Cependant, face au volume considérable d'alarmes reçues, les organisations ne peuvent en gérer manuellement qu'une quantité limitée. De ce fait, un certain nombre d'alarmes restent sans réponse. Outre le fait qu'il s'agit d'une mauvaise pratique courante, ces événements non gérés et laissés sans surveillance dans l'environnement réseau peuvent engendrer des risques d'audit et entraîner de nombreuses conséquences imprévues pour les organisations.

Comme l'a expliqué Cornell, lorsqu'une organisation traite enfin ses alertes de faible priorité, le délai d'attente est déjà extrêmement long. Autrement dit, le temps entre la détection d'une activité réseau suspecte et la réponse à l'alerte est beaucoup trop long. Cela réduit considérablement la capacité de l'organisation à contenir la menace au plus tôt.

“ Afin de gérer le nombre croissant d'alertes et d'accroître la capacité de nos équipes à y répondre, nous étudions des solutions pour amplifier, optimiser et rationaliser la manière dont les organisations réagissent à tous les événements et activités de sécurité ”, a déclaré Cornell. Aujourd'hui, la priorisation des alertes ne suffit plus.

2. Négliger la moitié du cycle de vie des opérations de sécurité : la réponse aux incidents

Les organisations utilisent aujourd'hui un certain nombre de technologies de détection modernes pour identifier les alarmes, les activités et les tâches de sécurité, allant de l'analyse du comportement des utilisateurs à la gestion des informations et des événements de sécurité (SIEM), en passant par la détection et la réponse aux points de terminaison (EDR) et les outils de renseignement sur les menaces.

Ces vingt dernières années, de nombreuses organisations ont investi massivement dans des outils de détection. Cependant, un changement de paradigme semble s'opérer : elles prennent conscience que c'est la gestion des incidents en coulisses qui doit être perfectionnée. Pour celles qui ignorent ou ne perçoivent pas la nécessité d'opérations de sécurité sophistiquées en coulisses, les conséquences risquent d'être lourdes.

3. Recourir à des outils de réponse obsolètes et/ou manuels

Il n'est pas rare de voir des organisations utiliser encore des outils de réponse obsolètes, comme des documents texte, des tableurs ou d'anciens systèmes de gestion des incidents, pour résoudre les menaces. Certaines organisations ont même encore recours à la ligne de commande pour chaque alerte.

Ces outils et mécanismes sont encore en place dans ces organisations simplement parce que c'est ce que leur personnel de première ligne est conditionné à savoir et à faire. Les recherches ont montré que En moyenne, les organisations gèrent plus de 10 000 incidents de sécurité par jour, ce qui pourrait représenter un volume de travail impossible de 333 heures par jour. Il est donc évident que les processus manuels et obsolètes sont irréalistes et feront plus de mal que de bien.

Parallèlement, le nombre de personnes capables de gérer les alertes et les tâches de sécurité comme il se doit est restreint, et le recrutement de tels profils qualifiés peut s'avérer coûteux pour les entreprises. Il est clair que cela représente un défi majeur pour les organisations actuelles.

Vous souhaitez en savoir plus sur les meilleures pratiques en matière d'opérations de sécurité ou sur une alternative efficace à ces méthodes potentiellement dangereuses ? Accédez au webinaire récent de Swimlane : “ … »Automatisation des opérations de sécurité."”