Qu’est-ce que la visibilité fondamentale ARMOR ? Explication du niveau 1 d’ARMOR

Le secteur de la cybersécurité est confronté à de nombreux défis, tels que la prévention des violations de données, la réduction de la lassitude face aux alertes, la connexion des outils cloisonnés et la mesure de l'impact des programmes de sécurité. Automatisation de la sécurité Cette technologie est la seule capable de relever tous ces défis grâce à une solution technique unique. Cependant, automatiser les flux de travail SecOps peut sembler une tâche ardue. 

Depuis près de dix ans, Swimlane aide des organisations du monde entier à mettre en place des fonctions d'automatisation de la sécurité. Forts de notre expérience collective, nous avons développé… Cadre ARMOR (Swimlane Automation Readiness and Maturity of Orchestrated Resources). Ce cadre comprend une matrice de maturité qui aide les professionnels de la sécurité à identifier un point de référence pour évaluer le niveau de maturité de leur organisation de sécurité, à mesurer les capacités SecOps de leur organisation sur une échelle à cinq niveaux et à fournir un point de référence que les professionnels de la sécurité peuvent établir comme prochain objectif en termes de maturation de leurs équipes.

• Niveau 1 – Visibilité fondamentale 
• Niveau 2 – Visibilité enrichie 
• Niveau 3 – Réponse automatisée 
• Niveau 4 – Prévention automatisée
• Niveau 5 – Opérations automatisées avancées 

Poursuivez votre lecture pour découvrir une explication approfondie de ce que signifie se situer au niveau de visibilité fondamental du cadre ARMOR.

Niveau 1 expliqué : Visibilité fondamentale

Dans la phase de ” visibilité fondamentale ”, les organisations connaissent une transformation dynamique. Un travail de fond est nécessaire avant que les équipes puissent tirer pleinement parti d'une plateforme d'automatisation de la sécurité. Les organisations en phase de visibilité fondamentale sont souvent confrontées à des difficultés telles que :

• Stratégies de sécurité absentes ou changeantes 
• Difficultés à pourvoir les postes vacants 
• Soutien limité de la direction aux programmes SecOps efficaces 

Personnes en matière de visibilité fondamentale :

Le déficit de compétences en cybersécurité existe à tous les niveaux de maturité ARMOR, mais il est particulièrement criant au niveau de visibilité de base. À ce niveau, les équipes de sécurité peuvent ne pas disposer d'un centre d'opérations de sécurité (SOC) et manquent probablement des compétences en programmation nécessaires pour utiliser efficacement des outils Python avancés tels que les solutions SOAR (Security Orchestration Automation and Response). Pour obtenir des résultats rapides, les organisations en phase de visibilité de base devraient envisager de collaborer avec un Détection et réponse gérées (MDR) ou fournisseur de services de sécurité gérés (MSSP) Afin de combler leur déficit de compétences internes, les organisations devraient, pour des solutions à long terme, continuer d'investir dans des programmes de formation et de perfectionnement pour leurs équipes, afin d'améliorer leurs compétences techniques.     

Processus en matière de visibilité fondamentale :

Les organisations qui atteignent un niveau de visibilité de base ont peut-être commencé à documenter leurs processus de sécurité actuels, mais il est peu probable que cette documentation soit achevée. À ce stade, il est important d'établir et de planifier les priorités et les étapes clés de l'automatisation de la sécurité. Par exemple, il convient d'identifier les flux de travail qui génèrent le plus grand nombre d'alertes peu fiables et d'interventions manuelles. Les organisations qui adoptent une approche itérative et une mentalité axée sur les résultats sont en mesure d'obtenir rapidement des résultats concrets et un retour sur investissement plus rapide grâce à l'automatisation de la sécurité. 

Technologie en matière de visibilité fondamentale : 

La première étape pour établir les fondements de l'automatisation de la sécurité consiste à centraliser les alertes, les événements et les journaux de sécurité dans un référentiel unique. À ce stade, la consolidation des données de télémétrie de sécurité peut être inégale. Une fois que les organisations disposent des ressources humaines et des processus adéquats, l'automatisation peut être mise à profit pour passer d'une visibilité de base à une visibilité enrichie. Dans l'intervalle, les équipes de sécurité doivent poursuivre la consolidation de la visibilité afin d'optimiser l'efficacité du centre des opérations de sécurité (SOC).