Connect with us

Technologie

Quand le SIEM est-il le bon choix par rapport à SOAR?

Published

on


Gartner définit les produits de gestion des informations et des événements de sécurité (SIEM) comme une technologie qui agrège les données d’événements produites par les dispositifs de sécurité, l’infrastructure réseau, les systèmes et les applications. Selon le cabinet d’analystes, la principale source de données est les données de journal, mais la technologie SIEM peut également traiter d’autres formes de données, telles que les données de télémétrie réseau.

Dans l’ Rapport Magic Quadrant de Gartner pour la gestion des informations et des événements de sécurité, les analystes notent que les données d’événements peuvent être combinées avec des informations contextuelles sur les utilisateurs, les actifs, les menaces et les vulnérabilités à des fins de notation, de priorisation et d’accélération des enquêtes. Cela fait de SIEM un pilier de la sécurité informatique d’entreprise.

Rasika Somasiri, experte en cybersécurité chez PA Consulting, affirme que les outils SIEM sont l’une des pierres angulaires d’une capacité de surveillance efficace dans les opérations de sécurité. Il dit que les alertes fournies par un outil SIEM peuvent pointer vers une violation qui se produit ou aider à prédire un.

« Si vous êtes responsable de la sécurité dans une moyenne ou grande organisation et que vous pensez avoir besoin d’un SIEM, vous le faites probablement – en fait, vous en avez probablement déjà un. Parallèlement à votre SIEM, vous disposez probablement d’une gamme d’outils supplémentaires qui fournissent des alertes de sécurité », explique Somasiri.

Mais le problème avec les alertes est que les professionnels de la sécurité informatique doivent agir sur eux. « Il faut valider qu’ils constituent un incident réel », ajoute-t-il.

C’est pourquoi l’orchestration, l’automatisation et la réponse de la sécurité (SOAR) commencent à gagner de l’intérêt. Gartner définit SOAR comme une classe de produits qui combinent la réponse aux incidents, l’orchestration et l’automatisation, ainsi que les capacités de gestion de la veille sur les menaces (TI) dans une plate-forme unique.

Pour Petra Wenham, bénévole et experte en sécurité de BCS, la question de savoir si SIEM ou SOAR est le meilleur ensemble d’outils de sécurité pour une organisation est un point discutable. « Il y a un chevauchement entre les outils et, selon les outils que vous examinez, le chevauchement peut être assez faible, en particulier lorsque le produit SIEM a adopté l’intelligence artificielle dans la conception », dit-elle.

Wenham estime que le choix du produit n’est pas déterminé uniquement par la taille d’une organisation, mais plutôt par la taille et la complexité de l’infrastructure informatique d’une organisation et la valeur des données détenues et traitées par l’infrastructure.

Par exemple, plus l’infrastructure informatique est grande et complexe, et plus la valeur des données détenues et traitées est grande, plus il est nécessaire d’utiliser l’automatisation pour entreprendre la corrélation des événements ainsi que l’analyse à court et à long terme des alertes (sécurité et autres) générées au sein de l’infrastructure.

« Dans la mesure du possible, dit Wenham, l’automatisation devrait être utilisée pour initier des actions correctives au sein de l’infrastructure, car une telle automatisation permettrait de libérer du personnel informatique et de sécurité précieux pour se concentrer sur les problèmes difficiles à résoudre et sur la maintenance de l’infrastructure et des ensembles d’outils de gestion et de surveillance associés. »

Options pour une petite et une grande opération

Pour les organisations disposant d’une infrastructure informatique plus petite et moins complexe, telles que celles qui n’ont pas de commerce électronique ou de portail client, Wenham affirme qu’un déploiement SIEM – éventuellement avec des capacités d’intelligence artificielle (IA) – serait une correspondance raisonnable.

Cependant, elle avertit que pour permettre d’identifier et d’enquêter rapidement sur les événements prioritaires, il est important que le personnel informatique ou de sécurité soit en mesure de gérer et d’utiliser les outils SIEM de sorte que la sortie ne soit pas submergée de données erronées.

Wenham dit que cette approche devrait généralement être complétée par l’emploi d’entrepreneurs de sécurité externes pour fournir un soutien de troisième ligne et entreprendre des examens réguliers de la configuration SIEM et, si nécessaire, réajuster et ajuster le SIEM pour mieux différencier l’activité anormale et normale.

Elle suggère qu’un petit système SOAR pourrait également être une option où la capacité de surveillance du SOAR est suffisamment complète pour faire face à tous les dispositifs au sein de l’infrastructure d’une organisation.

Au fur et à mesure que la complexité de l’infrastructure augmente, ainsi que la valeur en jeu, un SIEM avec intelligence artificielle pour les opérations informatiques (AIOps) pourrait également être envisagé. Wenham affirme qu’un tel système alimenté par l’IA serait capable de suivre les événements lents au fil du temps et de lancer automatiquement des actions correctives dans l’infrastructure.

Si le service informatique de l’organisation ne dispose pas des compétences requises et/ou de ressources insuffisantes, des sous-traitants externes en matière de sécurité devront être engagés pour fournir une assistance en cas de besoin et aider à la réaularisation régulière du SIEM.

Pour une organisation disposant d’une infrastructure informatique vaste et complexe, le montant des données d’événements générées seraient vastes. Wenham affirme qu’un SIEM haut de gamme couplé à un produit SOAR serait l’ensemble d’outils préféré – le SIEM étant le meilleur produit pour collecter et corréler un large éventail de données d’événements et le SOAR étant le meilleur produit pour entreprendre une analyse détaillée des données générées par SIEM et lancer automatiquement une gamme de mesures correctives.

Le SOAR serait également en mesure d’entreprendre une analyse des données sur les événements générés par le SIEM et agrégées sur une longue période de temps, ce qui permettrait de découvrir les tentatives d’événements de sécurité clandestins.

« Même dans les grandes organisations avec une configuration SIEM et SOAR, il y aurait probablement un rôle pour l’assistance de conseil en sécurité externe, en particulier lorsqu’il y avait des contraintes de ressources sur les services informatiques et / ou de sécurité », dit-elle.

Automatisation de la réponse de sécurité

Selon Jason Yakencheck, associé à la pratique de cybersécurité et de biométrie d’IBM et ancien président de l’ISACA, la mise en œuvre d’un outil SOAR est une capacité cruciale pour les équipes des opérations de sécurité afin d’effectuer efficacement la réponse aux incidents.

« Le volume d’événements de sécurité continue de croître de manière exponentielle et les composants technologiques nécessaires doivent être en place pour préparer une organisation au succès », dit-il.

Comme Wenham, Yakencheck croit que SIEM est un bloc de construction central nécessaire pour tirer le meilleur parti d’un outil SOAR.

« La technologie SIEM est essentielle à un programme de sécurité. C’est cette pierre angulaire à laquelle d’autres outils peuvent s’intégrer et vraiment élever les capacités de réponse aux incidents au niveau supérieur.

Jason Yakencheck, IBM

Ces deux outils de sécurité offrent des fonctionnalités complémentaires qui sont essentielles pour suivre le rythme des menaces toujours plus nombreuses et plus sophistiquées. Mais il dit qu’il est important pour les organisations qui peuvent décider quand ou comment mettre en œuvre l’un ou l’autre de ces outils de comprendre les différences et les avantages de chacun avant de prendre des décisions stratégiques.

« Un outil SIEM est principalement utilisé pour agréger et corréler les données d’événements d’organisation dans un emplacement central. Il permet aux ingénieurs de sécurité de configurer des ensembles de règles et des seuils pour générer des alertes uniquement sur les événements les plus significatifs et les plus à haut risque, en fonction du profil de risque unique de chaque organisation. Les outils SIEM analysent d’innombrables volumes de données pour réduire le bruit et filtrer jusqu’à un sous-ensemble qui nécessite une enquête et une action plus approfondies », explique-t-il.

« La technologie SIEM est absolument essentielle à un programme de sécurité. C’est cette pierre angulaire à laquelle d’autres outils peuvent s’intégrer et vraiment élever les capacités de réponse aux incidents au niveau supérieur.

Pour Yakencheck, les capacités SOAR permettent aux équipes de sécurité disposant de ressources fixes de s’adapter aux exigences de volumes d’événements plus élevés grâce à des capacités d’automatisation accrues. Il dit qu’avec SOAR, les processus manuels traditionnels tels que les mises à jour de configuration, les changements de règles ou d’autres étapes peuvent être exécutés de manière partiellement automatisée ou entièrement automatisée en réponse à des types d’événements spécifiques.

Pour qu’une organisation tire le plus grand profit d’une implémentation SOAR, Yakencheck recommande que cela soit fait après la mise en place d’un outil SIEM bien réglé. Il dit que cela fournit les moyens par lesquels l’agrégation et la corrélation d’événements existants par l’outil SIEM peuvent être utilisées pour fournir un mécanisme pour le composant SOAR afin de faciliter les actions avec une plus grande automatisation basée sur l’étendue complète des événements de sécurité de l’organisation.

« Lorsque les fonctions SOAR sont implémentées sans SIEM, une certaine automatisation cloisonnée peut être effectuée en conjonction avec l’intégration de l’outil, mais le contexte d’événement supplémentaire produit à partir d’un SIEM va manquer », prévient-il. « Sans la fonctionnalité SIEM, tous les avantages de la mise en œuvre d’un outil SOAR ne seront pas réalisés. »

Dimensionnement de la sécurité

Une surveillance approfondie des applications et de l’infrastructure informatique est essentielle au maintien d’une sécurité informatique solide, mais les données fournies par la surveillance doivent faire l’objet d’une analyse approfondie pour déterminer les activités suspectes. La capacité SOAR peut élever les programmes de sécurité au niveau suivant d’efficacité opérationnelle lors de la mise à niveau de la technologie SIEM.

Cependant, Yakencheck d’IBM affirme que la technologie seule ne peut pas transformer une organisation. « Il ne servira qu’à canal pour une plus grande efficacité et permettra aux équipes de faire plus avec moins », ajoute-t-il.

Selon Gartner, d’ici fin 2022, 30% des organisations disposant d’une équipe de sécurité de plus de cinq personnes utiliseront les outils SOAR dans leurs opérations de sécurité, contre moins de 5% en 2019. Cela montre qu’il y a une croissance incroyable dans le segment. Cependant, les petites équipes informatiques peuvent ne pas être en mesure de justifier l’investissement requis pour mettre en œuvre et déployer SOAR.

Alors que les outils de sécurité peuvent fournir d’immenses bienfaitsEn l’espace, sans une planification et une structure opérationnelle appropriées au sein d’une organisation, les avantages peuvent ne pas être pleinement réalisés. La perspective d’une meilleure analyse de la sécurité ainsi que de l’orchestration et de l’automatisation pour suivre le rythme de l’évolution des menaces et protéger les données sensibles pourrait bien être la direction que prend éventuellement la sécurité informatique de voyage.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance