Visibilité améliorée : Comprendre le niveau 2 d’ARMURE

Dans le monde de la cybersécurité, chaque tâche manuelle est un fardeau. Renforcer les opérations de sécurité (Opérations de sécuritéL’acquisition de compétences, le renforcement de la sécurité et la maîtrise des technologies complexes de cybersécurité peuvent sembler impossibles. Chez Swimlane, nous savons que les organisations ne peuvent améliorer ce qu’elles ne mesurent pas. C’est pourquoi nous avons cherché à contribuer à la solution en fournissant les conseils, la structure et les meilleures pratiques nécessaires pour permettre à toute organisation d’améliorer ses performances. automatisation de la sécurité Ce parcours a mené à la création du programme Swimlane Automation Readiness and Maturity of Orchestrated Resources. Cadre (ARMOR).

Le cadre ARMOR repose sur une décennie d'expérience, de connaissances institutionnelles et de pratiques exemplaires de nos clients les plus performants. Il se compose de : matrice de maturité. Les niveaux de maturité sont alignés sur des cas d'utilisation tels que la menace interne, la prévention des pertes de données (DLP), la fraude, la sécurité des applications, la détection et la réponse étendues (XDR), et bien d'autres. 

Dans un article précédent, nous avons exploré la première phase des niveaux de maturité de l'automatisation – Niveau 1 d'ARMURE : Visibilité fondamentale. À ce stade, les organisations peinent généralement à mettre en place des stratégies de sécurité, à recruter et à obtenir le soutien de la direction. Nous allons maintenant nous intéresser au niveau 2 d'ARMOR : la visibilité enrichie. Poursuivez votre lecture pour découvrir en détail ce que signifie pour une organisation atteindre le niveau de visibilité enrichie du cadre ARMOR. 

Comprendre le niveau 2 d'ARMOR : Visibilité améliorée 

Dans la phase de “ visibilité accrue ”, les organisations comprennent bien leur architecture de sécurité et ses capacités. À ce niveau, elles peuvent avoir défini des processus simples leur permettant d'automatiser davantage leurs opérations. Bien que cette phase repose sur des bases humaines, procédurales et technologiques solides, les équipes de sécurité peuvent encore rencontrer des difficultés :

• Capacité à faire face efficacement aux menaces de sécurité malgré l'absence d'outils essentiels
• Étendue et profondeur des compétences requises pour gérer les outils de sécurité
• Manque de visibilité des opérations de sécurité à l'échelle de l'ensemble de l'organisation

Personnes en visibilité enrichie :

Les organisations ayant un niveau de visibilité enrichi maîtrisent parfaitement Outils SecOps Cependant, malgré des cas d'utilisation courants de l'automatisation, les équipes peuvent manquer de compétences pour gérer les outils de sécurité de l'écosystème, ainsi que des compétences en automatisation, notamment en programmation de scripts à un niveau plus avancé. Pour exceller, les équipes SecOps doivent définir une stratégie claire, fondée sur un plan de développement des compétences solide, visant à optimiser l'efficacité de leurs opérations tout en maintenant leur productivité ; c'est là que l'automatisation joue un rôle crucial.

Processus en visibilité enrichie :

La définition des processus de sécurité est un travail continu. À ce stade, les organisations peuvent disposer de politiques et de procédures (gestion des incidents, réponse et remédiation, gouvernance et gestion des risques) détaillées, esquissées, voire complètes. Toutefois, il est difficile de garantir leur alignement avec les objectifs commerciaux. Pour une réussite rapide, les organisations doivent définir une vision et une stratégie claires pour les prochaines étapes, établir des rôles et des responsabilités précis pour chaque personne contribuant aux initiatives d'automatisation, et identifier les domaines où l'automatisation peut améliorer la performance des équipes. Le pragmatisme et le réalisme sont également essentiels à la réussite de l'automatisation.

Technologie en visibilité enrichie : 

Enfin, concentrons-nous sur la technologie au stade de la visibilité enrichie. Les entreprises centralisent généralement leurs journaux de sécurité, événements et alertes afin de réduire la nécessité de passer d'un tableau de bord à l'autre. Cependant, de nombreuses organisations manquent encore d'une visibilité complète sur leur posture de sécurité et de risque, au-delà du simple centre des opérations de sécurité (SOCPour progresser rapidement, les organisations devraient prioriser trois actions clés : adopter un cadre d’architecture de sécurité pour améliorer l’apprentissage des équipes, développer la télémétrie pour suivre les performances du SOC et établir une visibilité centralisée du SOC à l’échelle de toute l’organisation.

Rejoignez-nous dans cette exploration de la préparation à l'automatisation, tandis que nous continuons à analyser les niveaux de maturité qui composent le cadre Swimlane ARMOR.