État du SOC et utilisation du SIEM

Le passé, le présent et l'avenir de SOAR - Partie 1

Les centres d'opérations de sécurité (SOC) doivent pouvoir réagir rapidement et efficacement à tout type d'alerte, d'attaque ou d'incident, tout en gérant des équipes réduites et en démontrant un retour sur investissement à leur direction. Pour ce faire, il est indispensable de disposer d'un personnel hautement qualifié et formé, de processus bien documentés et de technologies parfaitement optimisées. Malheureusement, peu de SOC bénéficient de cette combinaison idéale. Ils doivent plutôt gérer un flux quotidien d'alertes provenant d'un paysage de menaces en constante évolution et d'acteurs malveillants sophistiqués, avec un roulement de personnel constant et des outils et processus disparates. Dans ce contexte, il faut beaucoup trop de temps à un analyste pour recevoir une alerte, en lire et en comprendre les informations clés, copier-coller les données dans d'autres outils afin de vérifier qu'il ne s'agit pas d'un faux positif, puis prendre des mesures pour stopper l'attaque et entamer la remédiation. Les organisations ne peuvent se permettre d'être vulnérables pendant une telle durée.

Mais nous avons un SIEM.

A système de gestion des informations et des événements de sécurité (SIEM) C'est ce que la plupart des SOC utilisent désormais pour lutter contre les graves problèmes décrits ci-dessus. Le problème avec un SIEM, c'est qu'il génère généralement un volume massif d'informations, ce qui rend difficile pour les SOC de suivre le rythme. En fait, selon Recherche récente d'Enterprise Management Associates (EMA), 64% des tickets de sécurité générés chaque jour ne sont pas examinés en raison d'un manque de personnel.

Bien qu'une solution SIEM permette de capturer les données d'alerte, elle ne constitue pas un outil Big Data. Les équipes de sécurité ont besoin d'outils Big Data pour exploiter les vastes ensembles de données qui accompagnent les alertes SIEM, afin de prendre des décisions rapides et d'identifier des tendances et des schémas. Les entreprises examinent les outils et les ressources dont elles disposent – qu'il s'agisse de gestion des données, de pipelines de données ou même de cloud computing – et s'interrogent sur l'absence d'outils similaires pour la sécurité. À mesure que les entreprises migrent une part croissante de leurs ressources vers le cloud – notamment l'agrégation et la gestion des journaux, ainsi que l'analyse des données –, elles commencent à s'intéresser aux solutions SIEM et aux outils disponibles nativement au sein de ces infrastructures. Idéalement, les équipes devraient pouvoir utiliser la même pile technologique et les mêmes ressources qu'en interne pour le développement et l'ingénierie, pour leurs opérations de sécurité.

Entrez dans l'automatisation.

Afin de gérer efficacement les alertes SIEM, les SOC mettent en œuvre l'automatisation. Les équipes automatisent des tâches telles que la standardisation, la gestion et l'agrégation des journaux, ainsi que l'analyse des données de journalisation via des alertes corrélées, entre autres. Bien entendu, il est impossible d'examiner chaque alerte. L'objectif est donc d'automatiser l'agrégation et l'analyse de ces informations de journalisation. Et de fait, les organisations ont relativement bien réussi à mettre en œuvre l'automatisation à ce niveau au cours de la dernière décennie.

Cependant, cela n'a fait que freiner la progression des attaques par rapport à la charge de travail humaine, car l'automatisation des tâches liées à la sécurité opérationnelle (SecOps) est restée limitée. En automatisant au maximum, les organisations se sont concentrées sur la priorisation et la déduplication. Pour tirer pleinement parti de l'automatisation, il est essentiel de repenser notre approche et d'identifier les opportunités plus tôt dans le cycle de vie d'une attaque. Par exemple, existe-t-il des indicateurs clés de performance (KPI) précoces permettant de détecter des éléments ne nécessitant ni corrélation ni analyse, et sur lesquels nous pourrions agir sans avoir besoin de corrélation ni d'analyse ? Les organisations commencent à comprendre que les technologies alimentant leur SIEM ou leur lac de données sont fiables et exploitables dès leur sortie, et ne requièrent pas un traitement aussi intensif.

Donc, les SOC d'aujourd'hui ont besoin d'une meilleure automatisation. C'est tout ?

À mesure qu'une organisation développe ses ressources, que se passe-t-il lorsque des anomalies sont détectées et que des actions sont nécessaires ? Compte tenu du nombre croissant de ressources, notamment cloud, où la détection et les actions doivent-elles être gérées ? La surface d'attaque s'étend constamment et rapidement avec la multitude de nouveaux objets connectés (IoT), la virtualisation, les appareils mobiles, la conteneurisation et autres évolutions qui doivent être surveillées. Chacune de ces technologies a ses propres exigences en matière d'infrastructure, de surveillance, de sécurité, de correctifs et d'évaluation des vulnérabilités. Si l'on considère le nombre projeté d'appareils connectés à IP, qui pourrait atteindre 100 milliards au cours des 5 à 10 prochaines années, la quantité de mesures à prendre pour assurer leur sécurité est tout simplement vertigineuse. La flexibilité et la capacité d'adaptation à cette surface d'attaque sont cruciales pour les organisations qui souhaitent mettre en place des opérations de sécurité tournées vers l'avenir. En résumé, la réponse est “ non ”. Améliorer l'automatisation au sein du SOC ne suffit pas.

Dans les deux prochains articles de cette série de trois blogs, nous examinerons comment l'orchestration, l'automatisation et la réponse en matière de sécurité (SOAR) contribuent à atténuer les problèmes décrits ici dans l'état actuel des SOC et ce que les organisations devraient garder à l'esprit pour une nouvelle décennie d'opérations de sécurité (SecOps).