L'avenir de SOAR

Le passé, le présent et l'avenir de SOAR - Partie 3

Dans les première et deuxième parties de cette série d'articles, nous avons exploré… État des lieux des centres d'opérations de sécurité (SOC), avec un accent particulier sur les systèmes de gestion des informations et des événements de sécurité (SIEM). et le État de l'orchestration, de l'automatisation et de la réponse en matière de sécurité (SOAR). Dans la troisième et dernière partie de cette série, nous allons explorer l'avenir de SOAR.

D'après les analystes, l'adoption de SOAR n'en est qu'à ses débuts. À mesure que les SOC développent leurs solutions SOAR, de nouveaux cas d'usage voient le jour et les applications de SOAR se révèlent illimitées.

S'élever de manière créative

Bien que le SOC compatible SOAR offre un potentiel quasi illimité, il est important de souligner qu'aucune solution, plateforme ou outil de sécurité n'est une solution miracle. En tant qu'industrie, nous devons continuer d'évoluer et de nous adapter à l'évolution et à la croissance du paysage des menaces.

La meilleure façon d'y parvenir est de faire preuve de créativité ! Les organisations qui mettent en œuvre des solutions SOAR devraient aller au-delà de l'orchestration et de l'automatisation des processus et flux de travail standard (même si cela reste important). Si vous vous reconnaissez dans cette description, cherchez de nouvelles façons d'exploiter pleinement le potentiel de votre plateforme SOAR. Une fois les processus standard automatisés, analysez comment atteindre les résultats souhaités tout en explorant des pistes innovantes pour les améliorer et optimiser votre solution SOAR. N'oubliez pas que l'un des atouts majeurs du SOAR réside dans sa capacité à évoluer horizontalement au sein de toute l'organisation. Voici un exemple de cas d'utilisation relatif au départ d'un employé.

S'élever ensemble

À ce jour, la communauté du renseignement sur les menaces a réussi à lever les obstacles entre les différentes organisations et à renforcer la capacité de chacun à partager des données de manière fiable. À titre d'exemple, les centres d'analyse et de partage d'informations (ISAC) ont facilité le partage de données. des organisations de tout le secteur pour partager des indicateurs de compromission (IOC), des techniques, des tactiques et plus encore. L’évolution naturelle de ce partage d’informations consiste à passer à des processus basés sur des normes, tels que Structured Threat Information Expression™ et Trusted Automated eXchange of Indicator Information™ (STIX-TAXII).

Nous savons que collaboration et partage d'informations exhaustif est important pour renforcer l'ensemble du secteur de la cybersécurité, mais cela contribue également à rendre la solution SOAR d'une organisation plus efficace. Les SOC qui participent au partage d'informations et qui disposent d'une solution SOAR sont mieux à même de répondre à ce type de questions :

• Que dois-je faire lorsque je constate une activité particulière dans mon environnement ?
• Comment partageons-nous ces informations entre les organisations ?
• Si je constate ce type d'activité générant ce type d'alerte, quelles actions dois-je entreprendre ?
• Que dois-je rechercher ?
• Comment dois-je rechercher d'autres hôtes ou ressources compromis ?
• Comment puis-je réagir et atténuer ce problème le plus rapidement possible ?

Lorsque les analystes pourront répondre à ces questions grâce à des données complètes, ils pourront optimiser et personnaliser les flux de travail standardisés pour des enquêtes sur les incidents plus efficaces. À l'échelle de notre secteur, cela nous permettra de tirer parti des capacités partagées d'une communauté mondiale plus large, de suivre le rythme des menaces et des acteurs malveillants, voire de les anticiper.

L'autre aspect qui continuera d'évoluer et de s'améliorer à mesure que SOAR progressera est la manière dont les organisations créent du contenu. En tant que fournisseur SOAR, Nous constatons que clients, partenaires et contributeurs individuels apportent des améliorations en créant des intégrations avec des systèmes tiers. Qu'il s'agisse de visualisations de données uniques ou même de flux de travail et de procédures personnalisés, ces éléments permettent à une plateforme SOAR d'améliorer continuellement son efficacité.

À couloir de nage, nous croyons qu'il faut continuer à fabriquer l'outillage qui est nécessaires à la construction de ces intégrations Le plus simplement possible. Aller à la rencontre des utilisateurs là où ils se trouvent, leur permettre de travailler et de créer du contenu de manière autonome, continuera de propulser l'orchestration, l'automatisation et la réactivité vers de nouveaux sommets. Des initiatives comme la science des données citoyenne et des concepts similaires connaissent un essor considérable car la diffusion de cette capacité à créer du contenu au plus grand nombre a un impact immense. De même, ce principe continuera de s'appliquer au sein de SOAR.

S'ÉLANCER vers l'avant

La grande majorité des organisations qui mettent en œuvre SOAR actuellement sont de grandes entreprises, des multinationales et même quelques PME. L'adoption par les petites entreprises est rare, car elles ne disposent pas des ressources nécessaires pour automatiser le processus, exploiter pleinement ses avantages et en tirer profit. Pourtant, la valeur ajoutée réelle de SOAR pour les PME est bien plus importante, précisément parce qu'elles manquent de ressources. Les petites entreprises n'ont pas d'équipe dédiée à la surveillance, à la réponse aux incidents ou à la veille sur les menaces. Or, ces capacités leur sont absolument indispensables.

Les organisations de toutes tailles sont tout autant ciblées que les autres. Les plus petites bénéficieront d'une valeur ajoutée grâce aux capacités d'automatisation et à l'apprentissage collectif des activités et des modes de collaboration de chacun, le tout étant mis à la disposition d'un administrateur système qui n'est pas un spécialiste de la sécurité. À l'avenir, cela aura un impact considérable sur la manière dont les individus et les organisations adopteront et exploiteront le SOAR. L'avenir du SOAR est prometteur. Ensemble, maximisons son potentiel !