L’analyse des fichiers journaux générés par les logiciels d’infrastructure informatique est l’une des parties les moins intéressantes du travail d’un administrateur informatique, mais ces fichiers journaux déterminent l’intégrité du système et, de manière significative, offrent des informations précieuses sur les activités anormales. De telles informations peuvent aider à contrecarrer une faille de sécurité et à minimiser l’exposition d’une organisation à des cyberattaques ciblées.
Les outils de gestion des informations et des événements de sécurité (SIEM) et d’orchestration, d’automatisation et de réponse de la sécurité (SOAR) ont beaucoup en commun, mais il existe des différences clés entre les deux qui peuvent influencer la meilleure solution pour votre organisation.
Selon la maturité et la taille du centre d’opérations de sécurité (SOC) d’une organisation, une approche peut être mieux adaptée que l’autre. Les décideurs en matière de sécurité informatique doivent également tenir compte de la complexité de la mise en place et de la configuration de ces systèmes de sécurité et évaluer de manière réaliste si la menace à laquelle l’organisation est confrontée mérite les coûts de mise en œuvre.
« Le SIEM est né de la nécessité de consolider les journaux dans différents formats à travers le réseau, y compris les flux d’événements de sécurité provenant d’autres équipements, tels que les systèmes de détection d’intrusion [IDSs], des pare-feu et des logiciels de point de terminaison utilisateur », explique Paddy Francis, directeur de la technologie (CTO) chez Airbus CyberSecurity.
En plus de collecter des fichiers journaux, dit Francis, un SIEM fournit également un moyen de rechercher et d’analyser manuellement les données, généralement en utilisant l’analyse des données pour générer des alertes, présenter différentes vues des données à un analyste de sécurité et fournir des rapports aux parties prenantes.
En outre, un SIEM fournira généralement une capacité permettant de développer des cas d’utilisation de détection, dit-il. Ceux-ci recherchent des séquences spécifiques d’événements qui peuvent indiquer une attaque en cours et peuvent fournir une certaine intégration dans la billetterie et d’autres systèmes connexes.
Cependant, comme le note Francis, un SIEM peut générer des milliers d’événements par seconde et les attaquants deviennent plus sophistiqués. « Certaines menaces persistantes avancées [APT] les groupes peuvent désormais prendre le contrôle d’un poste de travail et pénétrer dans le réseau en un temps moyen de moins de 20 minutes lorsqu’un utilisateur clique sur un lien dans un e-mail de phishing, et la moyenne pour tous les groupes est inférieure à deux heures », dit-il.
Cela a conduit à la notion du défi 1/10/60: la nécessité de détecter une attaque en une minute, de la comprendre en 10 minutes et de la contenir en 60 minutes, dit Francis. Cependant, même les meilleurs analystes SOC auront du mal à relever le défi 1/10/60 en utilisant simplement un ensemble d’outils SIEM, souligne-t-il.
C’est là que SOAR aide. Dans Gartner’s Guide du marché pour les solutions d’orchestration, d’automatisation et de réponse de sécurité, le cabinet d’analystes déclare: « Le cas d’utilisation le plus courant mentionné par les clients de Gartner qui envisagent de mettre en œuvre, ou qui ont déjà mis en œuvre, des solutions SOAR, est l’automatisation du triage des e-mails de phishing suspects signalés par les utilisateurs. Il s’agit d’un exemple classique d’un processus qui suit un processus reproductible, des dizaines à des centaines de fois par jour, dans le but de déterminer si l’e-mail (ou son contenu) est malveillant et nécessite une réponse. C’est un processus mûr pour l’application de l’automatisation.
Un système SOAR est conçu pour accélérer la réponse à une attaque en automatisant le processus de détection et de réponse aux incidents. Il peut s’intégrer au SIEM, au système de billetterie, aux technologies de détection, aux pare-feu et aux proxys, ainsi qu’aux plates-formes de renseignement sur les menaces, pour automatiser l’activité globale de détection et de réponse.
Automatisation de la sécurité
Pour Francis, une équipe des opérations de sécurité aura généralement un manuel, qui détaille les décisions et les actions à prendre, de la détection à la confinement. Cela peut suggérer des mesures à prendre lors de la détection d’un événement suspect par le biais de l’escalade et des réponses possibles. SOAR peut automatiser cela, dit-il, en prenant des décisions autonomes qui soutiennent l’enquête, en tirant parti des renseignements sur les menaces et en présentant les résultats à l’analyste avec des recommandations pour d’autres mesures.
SOAR est conçu pour accélérer la réponse à une attaque en automatisant le processus de détection et de réponse aux incidents
« L’analyste peut alors sélectionner l’action appropriée, qui serait effectuée automatiquement, ou l’ensemble du processus peut être automatisé », explique Francis. « Par exemple, la détection d’une transmission de commandement et de contrôle possible pourrait être suivie conformément au manuel pour recueillir des renseignements pertinents sur les menaces et des informations sur les hôtes impliqués et d’autres transmissions connexes. »
Dans cet exemple, l’analyste serait alors averti et aurait la possibilité de bloquer les transmissions et d’isoler les hôtes impliqués. Une fois sélectionnées, les actions seraient effectuées automatiquement, explique Francis. Tout au long du processus, des outils de billetterie et de collaboration tiendraient l’équipe et les intervenants pertinents informés et produiraient des rapports au besoin.
Quand déployer
Soar est-il donc la réponse au défi 1/10/60 ? En regardant quand utiliser SIEM, Tom Venables, directeur des applications et de la cybersécurité chez Turnkey Consulting, affirme que les organisations disposant d’un parc d’applications et de réseaux limité, ou dont le reporting est l’objectif principal, trouveront probablement SIEM suffisant à lui seul.
Mais lorsqu’il est nécessaire de mettre en œuvre des actions automatisées basées sur des événements détectés, ou lorsqu’un playbook cohérent de réponses qui doit s’exécuter de la même manière à chaque fois est requis, Venables pense que SOAR devient de plus en plus essentiel pour l’entreprise. Par exemple, si une machine commence soudainement à communiquer avec un serveur dans un emplacement involontaire (en dehors de ses modèles habituels), Venables dit qu’un outil SOAR peut isoler cette machine des systèmes critiques ou désactiver des ports spécifiques de la communication, en fonction de la nature de la menace.
L’automatisation permet également au SOC – qui n’est peut-être pas très volumineux – de se concentrer sur la correction d’incidents réels ou d’effectuer une analyse détaillée. Comme le souligne Venables, l’incapacité de prendre des mesures pour atténuer les incidents en temps opportun peut se produire si l’équipe n’a pas suffisamment de temps pour surveiller chaque alerte et prendre des mesures dans les limites des niveaux de service requis de l’organisation.
« Si les outils SOAR sont correctement mis en œuvre, ils peuvent extraire des informations de plusieurs plates-formes et outils de sécurité exploités par l’organisation et peuvent intégrer des plates-formes de renseignement sur les menaces, des systèmes SIEM et des analyses du comportement des utilisateurs et des entités. [UEBA] identifier automatiquement les indicateurs de compromission [IoC] qui, autrement, prendrait peut-être des heures d’analyste du centre des opérations de sécurité pour s’identifier », dit-il.
En extrayant des informations de sécurité, les organisations peuvent réagir et arrêter les comportements suspects ou malveillants avant qu’un humain ne détecte que quelque chose se passe, explique Venables. « Le niveau d’automatisation dans un système entièrement intégré supprime également un grand nombre de faux positifs des analyses et des réponses, ce qui permet aux analystes de gagner un temps précieux. »
Pourtant, malgré tous les avantages de l’automatisation offerts par SOAR, Venables estime que SIEM a toujours sa place dans une organisation. « En plus de capturer les données d’événements et de journaux nécessaires à la saisie SOAR, la capacité des outils SIEM à traiter sans effort de grandes quantités de données signifie qu’ils peuvent être déployés dans d’autres domaines d’activité, y compris les mesures de billetterie et les prévisions du centre de services, indicateur de performance clé en temps réel [KPI] des tableaux de bord et des rapports de conformité et de risque multiplateformes », explique-t-il.
Par exemple, il peut être difficile pour les gens d’identifier les causes profondes ou les indicateurs de problèmes plus importants en triant tous les tickets enregistrés par un centre de service occupé. Mais, dit Venables, « un système SIEM solide peut rapidement capter les tendances, corréler avec d’autres sources de données et fournir des preuves claires que quelque chose nécessite une attention supplémentaire ».
Décisions d’investissement
Venables recommande également que les décisions d’investissement soient basées sur l’organisation plus large et les processus de sécurité déjà établis en son sein. Par exemple, le cadre de cybersécurité du National Institute of Standards and Technology (NIST), qui est rapidement adopté comme norme de l’industrie pour l’analyse comparative, divise la protection de la cybersécurité en cinq éléments constitutifs : identifier, protéger, détecter, intervenir et récupérer.
« Sur la base des itérations actuelles, SIEM est mieux adapté pour mesurer l’efficacité et l’efficience des domaines d’identification et de protection, tandis que les capacités de détection et de réponse sont couvertes par SOAR », dit-il.
D’après l’expérience de Venables, les activités et la charge de travail de l’équipe du SOC sont un autre indicateur utile pour évaluer le soutien supplémentaire requis. Si la plupart de leur temps est consacré à enquêter ou à répondre aux alertes capturées par l’outil SIEM, Venables recommande que les décideurs en matière de sécurité informatique envisagent de déployer un outil SOAR.
« Sur la base des itérations actuelles, SIEM est mieux adapté pour mesurer l’efficacité et l’efficience des domaines d’identification et de protection, tandis que les capacités de détection et de réponse sont couvertes par SOAR »
Tom Venables, Conseil clé en main
D’un autre côté, il déclare: « Si l’équipe a du mal à capturer des événements significatifs, il y a trop de données à traiter, les outils produisent un nombre écrasant de faux positifs ou les processus de gestion des incidents doivent encore être définis, alors améliorer le SIEM et ses processus de collecte de journaux et de gestion des événements pourrait être un investissement plus judicieux. »
Les auteurs de Gartner’s Guide du marché pour les solutions d’orchestration, d’automatisation et de réponse de sécurité avertir que le principal obstacle à l’adoption d’un outil SOAR continue d’être le manque ou la faible maturité des processus et des procédures au sein de l’équipe des opérations de sécurité.
Configuration importante
Comme le note Francis d’Airbus, un outil SOAR nécessite généralement une configuration importante. « Les configurations par défaut peuvent fournir un début, mais les playbooks et les flux de travail définis doivent être réglés pour les automatiser dans une solution SOAR, car cela ne les générera pas pour vous », dit-il.
« De plus, pour répondre, l’outil SOAR doit savoir comment reconfigurer les pare-feu, les serveurs DNS et les proxys, par exemple, ainsi que pour isoler les hôtes dans votre environnement spécifique. À long terme, cependant, SOAR permettra d’en faire plus rapidement avec moins d’apport des analystes.
Avec tout achat de sécurité informatique, le succès sera déterminé par l’analyse par une organisation de son environnement actuel et sa compréhension du paysage des menaces et des risques. Venables exhorte les professionnels de la sécurité informatique à peser les avantages et les inconvénients de l’automatisation par rapport au traitement manuel et à décider de la valeur accordée à chacune des deux étapes.
« L’appréciation des exigences spécifiques protège contre les dépenses en capacités qui ne sont pas nécessaires », dit-il. « Des systèmes distincts « les mieux adaptés » peuvent également être sélectionnés, ce qui donne une solution avancée dans chaque domaine, plutôt qu’un modèle à fournisseur unique qui compromet potentiellement la fonctionnalité. »
Technologie3 ans ago
Monde3 ans ago
Technologie1 an ago
Monde3 ans ago
Monde3 ans ago
Monde3 ans ago
France3 ans ago
France3 ans ago