Dans un bureau faiblement éclairé, des développeurs, l'air absent, penchés sur des écrans lumineux, laissaient apparaître des lignes de code qui scintillaient dans l'obscurité, telles une menace numérique invisible prenant forme.

Équipez votre centre d'opérations de sécurité avec SOAR

avatar de l'utilisateur
Katie Bykowski
3 Lecture en une minute

 

La COVID-19 n'a fait qu'exacerber un contexte de menaces déjà complexe pour les centres d'opérations de sécurité (SOC) actuels, et les cybercriminels profitent de la situation. Parmi les vulnérabilités associées, on note la recrudescence des attaques de phishing, l'utilisation de noms de domaine douteux et la nécessité d'une surveillance accrue des VPN.

Une solution SOAR (Security Orchestration, Automation and Response) optimise les capacités d'un SOC en automatisant les tâches chronophages de réponse aux incidents, tout en orchestrant les ressources humaines, les processus et les technologies de l'organisation. Trois cas d'utilisation de SOAR ont pris une importance croissante durant cette période sans précédent : la lutte contre le phishing, la surveillance des domaines et la surveillance des VPN. Dans l'article suivant, nous explorerons plus en détail chacun de ces cas d'utilisation et examinerons… infographie à la fin!

Hameçonnage

Selon un rapport récent sur CIO Dive, Entre février et mars 2020, on a constaté une augmentation de 667% des attaques de phishing utilisant des virus. un récent rapport de Forbes Nous avons constaté une forte augmentation du nombre de tentatives d'hameçonnage (350%) sur les sites web associés.

Lors de l'automatisation du triage des tentatives d'hameçonnage, les organisations suivent souvent un processus documenté comme celui-ci :

  1. Une solution SOAR est mise en place pour surveiller la boîte mail d'une organisation où les utilisateurs envoient des courriels suspects de spam et d'hameçonnage.
  2. Lorsqu'un courriel arrive, il est automatiquement analysé.
  3. Des informations telles que l'en-tête, l'objet, le corps du texte et l'adresse électronique sont placées dans des champs de données d'un enregistrement de cas.
  4. D'autres indicateurs potentiels, tels que l'adresse IP, l'URL et les noms de domaine, sont également extraits du courriel et ajoutés aux champs d'enregistrement appropriés.
  5. L'utilisation d'intégrations avec d'autres outils utilisés par la plateforme SOAR enrichit les données et aide à déterminer comment le cas doit être traité.

Dans un cas d'utilisation de l'hameçonnage Lorsqu'un courriel est identifié comme malveillant, une mesure appropriée peut consister à le mettre en quarantaine ou à isoler le système hôte à l'aide d'un outil de détection et de réponse aux incidents (EDR) ou d'un outil de gestion des politiques de sécurité des terminaux (EPM). La solution SOAR peut immédiatement notifier le SOC et l'utilisateur ayant soumis le courriel via des messageries instantanées telles que Slack, SMS ou courriel. Les utilisateurs sont informés de l'état d'avancement du processus automatisé et remerciés pour leur contribution à la détection des menaces potentielles. Les courriels malveillants peuvent également être supprimés des boîtes de réception de tous les utilisateurs afin de prévenir tout risque supplémentaire. Les courriels légitimes peuvent déclencher des notifications aux utilisateurs pour les remercier de leur contribution et leur communiquer le résultat. D'autres actions peuvent également être envisagées.

Surveillance du domaine

Surveillance du domaine Ce système peut servir à détecter et bloquer d'autres domaines liés à une situation d'urgence actuelle. Par exemple, des noms comme “ COVID ” ou “ vaccin ”, ou tout autre nom qu'une organisation souhaiterait évaluer.

A un rapport récent de Computer Business Review Une étude a révélé que sur 6 000 domaines enregistrés en une seule semaine, plus d'un tiers étaient considérés comme suspects, et 93 de ces domaines, déjà jugés suspects, se sont avérés malveillants au moment de la publication du rapport. Il est important de rappeler que les attaquants n'activent pas toujours un domaine ou ne le transforment pas immédiatement en arme. Un domaine peut rester inactif pendant un certain temps avant de devenir malveillant. En fin de compte, il est possible que bien plus de 93 domaines aient été utilisés à des fins malveillantes.

Grâce à SOAR, une équipe SOC peut définir un ensemble de domaines surveillés afin de détecter d'éventuels domaines squattés. À intervalles personnalisables (généralement une fois par jour), la solution SOAR télécharge les nouveaux domaines enregistrés et les compare à la liste des domaines surveillés pour identifier d'éventuelles similitudes.

Les équipes SOC peuvent examiner les enregistrements et déterminer s'il s'agit de véritables tentatives de squatting. Pour tout domaine non résolu, l'enregistrement reste en attente et la plateforme SOAR continue de tenter de s'y connecter régulièrement. Dès que le site devient actif, une capture est effectuée et placée dans la file d'attente des analystes. Lors de l'examen de chaque enregistrement, les analystes peuvent qualifier le domaine de malveillant, bénin ou inconnu.

Surveillance VPN

Entre les divers objets connectés et le manque de sensibilisation à la cybersécurité chez les employés, les équipes SOC doivent gérer de nombreuses vulnérabilités depuis le passage au télétravail. Par ailleurs, les entreprises s'efforcent de garantir un accès distant sécurisé aux ressources de l'entreprise via des VPN.

Surveillance VPN SOAR permet au personnel de vérifier rapidement l'état du VPN, d'identifier les pannes et d'effectuer un dépannage de base, comme le redémarrage des services. Dans de nombreux cas, la plateforme SOAR rétablit automatiquement le service ou permet aux utilisateurs d'identifier les problèmes de VPN, d'effectuer un premier tri et de signaler les problèmes restants.

Les avantages du SOAR dépassent ces trois cas d'utilisation. Le SOAR permet au SOC d'exploiter efficacement les ressources existantes. Le personnel n'est plus accaparé par des tâches manuelles, répétitives et chronophages, l'orchestration, l'automatisation et la réactivité s'effectuant à la vitesse de la machine. De plus, une véritable solution SOAR s'intègre aux outils existants pour former un ensemble cohérent et performant, au service d'un SOC optimisé.

L'infographie de Swimlane intitulée “ Armer votre SOC avec l'orchestration, l'automatisation et la réponse de sécurité (SOAR) ” montre une silhouette humaine ombrée formée de fragments de puzzle, mettant en garde contre les attaquants exploitant la vulnérabilité humaine et une augmentation de 350% des sites Web d'hameçonnage signalée par Google.

Équipez votre SOC d'orchestration, d'automatisation et de réponse en matière de sécurité.

Les attaquants profitent de la situation actuelle et exploitent les vulnérabilités existantes et nouvelles des organisations. Il est essentiel que les équipes de sécurité opérationnelle optimisent leurs ressources. C'est là qu'une solution d'orchestration, d'automatisation et de réponse de sécurité (SOAR) peut s'avérer précieuse. Téléchargez cette infographie pour en savoir plus !

Télécharger maintenant

Étiquettes

MONTER

7 février 2019
Les partenariats soutiennent votre écosystème de centre d'opérations de sécurité
En savoir plus
14 décembre 2022
Qu’est-ce qu’un centre d’opérations de sécurité (SOC) ? Guide du SOC
En savoir plus
19 mars 2024
Comment construire un centre d'opérations de sécurité (SOC) moderne
En savoir plus

Demander une démo en direct