Analyse approfondie d'ARMOR Niveau 3 : Réponse automatisée

Chez Swimlane, le terme “ armure ” revêt une signification particulière. Il représente le niveau de préparation à l’automatisation et la maturité des ressources orchestrées (ARMOR). À l’ère actuelle de la cyberguerre, Sécurité ARMOR est le seul moyen de faire face à un paysage de menaces en constante évolution en matière de cybersécurité. Bien que le secteur dispose de nombreux outils de détection des menaces et de réponse aux incidents (TDIR) modèles de maturité centrés sur le secteur, l'industrie manquait d'un modèle pour Automatisation de la sécurité. 

Notre recherche constante d'amélioration et notre engagement à contribuer activement à la solution ont inspiré la création de Swimlane. Cadre ARMOR. S’appuyant sur la connaissance client et l’expertise institutionnelle, le cadre ARMOR comprend un matrice de maturité. Cet élément utilise une échelle à cinq niveaux pour examiner la maturité de l'automatisation de la sécurité. 

• Niveau 1 – Visibilité fondamentale 
• Niveau 2 – Visibilité enrichie 
• Niveau 3 – Réponse automatisée 
• Niveau 4 – Prévention automatisée
• Niveau 5 – Opérations automatisées avancées 

Dans des articles précédents, nous avons analysé les deux premières phases des niveaux de maturité d'ARMOR – Niveau 1 : Visibilité fondamentale et Niveau 2 : Visibilité enrichie. À visibilité fondamentale Les organisations en phase de développement peuvent avoir du mal à établir des stratégies de sécurité, à pourvoir leurs effectifs et à obtenir le soutien de la direction. À mesure qu'elles mûrissent, les organisations en phase de développement… visibilité enrichie difficultés rencontrées par l'équipe pour traiter efficacement les menaces de sécurité, pénurie d'expertise en matière d'outils de sécurité avancés et cloisonnement des services Opérations de sécurité visibilité.

Maintenant que vous avez une bonne compréhension des deux premiers niveaux ARMOR, intéressons-nous au niveau 3 : la réponse automatisée. Poursuivez votre lecture pour découvrir en détail ce que signifie pour une organisation le passage au stade de la réponse automatisée dans le cadre ARMOR.

ARMOR Niveau 3 dévoilé : Réponse automatisée 

Lors de la phase de “ réponse automatisée ”, les organisations font preuve d'une grande maturité dans leurs pratiques de sécurité. La plupart des processus de sécurité sont bien définis et tirent parti de l'automatisation lorsque cela est possible. Opérations de sécurité Les équipes opérant à ce niveau possèdent des compétences de codage de niveau intermédiaire et font preuve d'une bonne capacité à consolider les journaux de sécurité, les événements et les alertes. 

Les organisations à ce stade sont bien préparées à réussir leur transition vers l'automatisation, car elles démontrent une compréhension approfondie de leur architecture de sécurité, des objectifs de sécurité clairement définis et une parfaite adéquation avec les attentes de leur direction. Malgré des bases solides en matière de ressources humaines, de processus et de technologies, elles peuvent néanmoins rencontrer des difficultés : 

• Une approche axée sur l'automatisation à l'échelle de l'entreprise
• Manque de compétences avancées en programmation dans l'ensemble Équipe SecOps
• Capacité robuste à consolider intégralement les journaux, les événements et les alertes 

Personnes Réponse automatisée :

Les organisations ayant atteint le niveau de réponse automatisée font preuve d'une maîtrise avancée des outils de sécurité existants. Elles possèdent également une compréhension approfondie des Automatisation des opérations de sécurité La plateforme, l'architecture et les capacités sont adaptées aux cas d'utilisation courants. L'équipe SecOps à ce niveau possède des compétences en scripting qui peuvent être combinées à des technologies d'automatisation low-code pour obtenir des résultats probants. Les organisations de ce niveau veillent à ce que les compétences de leur équipe soient évaluées et développées en fonction de leurs besoins métiers.

Processus Réponse automatisée :

Mettre en place des processus de travail robustes tout en les alignant sur les objectifs de l'entreprise est un défi constant. Nous félicitons les organisations ayant atteint la phase de réponse automatisée pour la documentation rigoureuse de leurs processus de sécurité actuels, garantissant ainsi leur exhaustivité et leur adéquation aux objectifs organisationnels. Des organisations similaires, parvenues à ce stade, ont réussi à franchir des étapes d'automatisation supérieures, toujours en phase avec leurs objectifs. Il est essentiel d'investir du temps et des ressources dans le développement de nouveaux processus. Cela permet d'accélérer la transition vers la phase suivante de préparation à l'automatisation (prévention automatisée), d'améliorer l'efficacité opérationnelle et d'établir des procédures de vérification et de mesure claires et fiables. 

Technologie Réponse automatisée :

À présent, examinons la technologie au niveau des réponses automatisées. À ce stade, on observe le déploiement de cas d'utilisation et de réponses aux alertes partiellement automatisés. Parallèlement, la centralisation des journaux de sécurité, des événements et des alertes offre une visibilité globale sur l'ensemble de l'organisation. L'enrichissement du contexte par la corrélation des événements est manifeste à ce niveau, automatisant les processus chronophages et libérant ainsi des ressources précieuses pour d'autres tâches. SOC Opérations de sécurité Pour des victoires rapides, l'étape suivante consiste à construire une logique d'automatisation permettant de connecter de manière transparente les déclencheurs d'alerte enrichis aux actions correctives appropriées.