Les pièges liés au choix d'une solution SOAR “ suffisante ”

“ Suffisant ” peut suffire à cocher la case, mais cela ne résoudra probablement pas le problème.

Les RSSI peinent à suivre le rythme d'une surface d'attaque grandissante, de ressources limitées et d'exigences de conformité de plus en plus strictes, ce qui rend l'option “ suffisante ” attrayante et facile à mettre en œuvre. Malheureusement, si l'intention de déployer une solution SOAR (Security Orchestration, Automation and Response) “ suffisante ” peut sembler accroître la productivité de votre équipe tout en réduisant les risques, vous pourriez en réalité faire plus de mal que de bien. Les solutions de sécurité « suffisantes » peuvent vous bercer d'illusions à court terme, mais à long terme, elles pourraient vous contraindre à un projet de refonte complet et coûteux. Vous pouvez éviter ces difficultés en choisissant la solution SOAR adaptée dès le départ.

Choisir la bonne solution

Choisir le bon outil est essentiel. On ne choisit pas un couteau à steak quand on a besoin d'une scie. Face à la multitude de solutions SOAR disponibles, comment savoir laquelle répond le mieux aux besoins spécifiques de votre centre d'opérations de sécurité (SOC) ? Lors de votre processus de sélection, vous pourriez être tenté par la première solution qui semble simple et facile à utiliser, mais sachez que ce type de solution se fait généralement au détriment de l'évolutivité et de la productivité à long terme.

Comment distinguer une solution SOAR “ suffisante ” d’une solution complète ? Plusieurs pistes existent, mais commencez par privilégier les solutions qui améliorent la productivité de votre équipe, tout en veillant à pérenniser votre stratégie opérationnelle à long terme.

Plusieurs signaux d'alarme peuvent entraîner des regrets après l'achat. Examinons-en six :

1. Applicabilité limitée dans le monde réel Les opérations de sécurité sont un travail intense, et il est facile de se concentrer sur la clôture des alertes, des incidents et des tâches pour passer à la suivante. Cependant, les chercheurs constatent que de plus en plus d'attaquants utilisent des infrastructures moins centralisées pour mener leurs attaques, ce qui signifie que le renseignement sur les menaces n'est pas toujours aussi rapide pour identifier les infrastructures de commande et de contrôle (C2) malveillantes. Votre solution SOAR doit intégrer une automatisation continue qui met à jour les données de télémétrie à mesure que le renseignement sur les menaces et d'autres sources d'investigation sont actualisés. Autrement, cet incident que vous avez clôturé à la hâte sans aucune information sur les menaces pourrait bien être un tout nouveau serveur C2, conçu spécialement pour vous.

2. Rigidité L'un des principaux moyens d'identifier rapidement une solution SOAR “ suffisante ” consiste à examiner la flexibilité de ses principaux aspects : le moteur d'automatisation, l'expérience utilisateur et le cadre d'intégration. Les solutions ” suffisantes ” vous obligent à suivre des étapes rigides, imposées par le fournisseur, qui sont inapplicables, redondantes ou non pertinentes pour votre environnement. Il est essentiel de trouver une solution configurable et agile. Une plateforme d'automatisation extensible est flexible, robuste et riche en fonctionnalités, vous permettant de développer vos cas d'usage en tenant compte de votre environnement spécifique, de vos processus internes et de vos exigences de conformité. Sans une telle plateforme complète, votre équipe se sentira rapidement limitée et frustrée par le peu de possibilités d'automatiser ses activités quotidiennes.

3. Absence d'intégrations avec les fournisseurs – Intégrations L'intégration est essentielle au fonctionnement de SOAR. La solution que vous évaluez propose-t-elle des intégrations avec les outils que vous utilisez actuellement ? À quelle fréquence et avec quelle rapidité de nouvelles intégrations sont-elles ajoutées ? Méfiez-vous des fournisseurs qui privilégient les intégrations avec leurs propres gammes de produits plutôt qu'avec celles de tiers. Pensez également aux intégrations dont vous aurez besoin à l'avenir. Seront-elles toutes destinées à une seule entreprise du portefeuille, ou proviendront-elles d'une infrastructure technologique diversifiée couvrant la sécurité, le DevOps, l'informatique et le cloud ?

4. L'accent n'est pas mis sur SOAR. Certains fournisseurs de solutions SOAR proposent des gammes de produits étendues, et SOAR n'en représente qu'une petite partie. Il est essentiel de savoir si le SOAR est le cœur de métier d'une entreprise. Consacreront-ils le temps nécessaire à l'innovation et à l'amélioration continue de votre solution SOAR, ou celle-ci est-elle simplement proposée à un prix symbolique ou utilisée comme argument de vente pour un autre produit ? Développer des technologies est un art comme un autre, et outre le choix de l'outil adéquat, il est tout aussi important de choisir le bon partenaire : un partenaire possédant une expertise pointue et partageant les mêmes objectifs.

5. Ne s'adapte pas – À mesure que votre organisation se développe, votre solution SOAR doit évoluer elle aussi. Que vous soyez une grande entreprise ou un MSSP, un manque de évolutivité Cela peut avoir un impact négatif considérable lorsque l'on tente de dépasser les limites de capacité d'une solution SOAR “ suffisante ”. La quantité de données que les équipes de sécurité doivent gérer augmente, au lieu de diminuer, parallèlement à la surface d'exposition à protéger.

6. Se concentrer sur le rapport coût/capacités – Tout le monde dispose d'un budget limité. Il est tentant de trouver une solution SOAR complète à petit prix ou d'obtenir la plupart des fonctionnalités nécessaires sous forme de modules complémentaires. Cependant, ces options bon marché masquent le fait que, pour réduire les coûts, on sacrifie des fonctionnalités essentielles. Une solution complète peut sembler plus onéreuse au premier abord, mais… retour sur investissement (ROI) compensera largement cet écart de coût.

En définitive, une solution SOAR adaptée permet à votre équipe d'opérations de sécurité d'être plus efficace. Si certaines solutions peuvent sembler attrayantes par leur interface apparemment simple ou leur prix bas, il est essentiel de consacrer du temps et des efforts à leur évaluation afin de garantir que votre solution SOAR puisse évoluer avec votre équipe.