Think Tank sécurité: SOAR au prochain niveau avec l’automatisation

La mise en œuvre d’un outil d’automatisation et d’intervention en matière d’orchestration de sécurité (SOAR) est une capacité cruciale pour les équipes des opérations de sécurité d’effectuer efficacement l’intervention en cas d’incident. Le volume des événements de sécurité continue d’augmenter de façon exponentielle, et les bons composants technologiques doivent être en place pour mettre en place une organisation pour réussir.

Une information de sécurité et de gestion d’événements (SIEM) est ce bloc de construction central nécessaire pour tirer le meilleur parti d’un outil SOAR. Ces deux outils de sécurité offrent des capacités complémentaires qui sont essentielles pour suivre le rythme des menaces toujours croissantes et plus sophistiquées.

Il est important pour les organisations qui peuvent décider quand ou comment mettre en œuvre l’un ou l’autre de ces outils pour comprendre les différences et les avantages de chacun avant de prendre des décisions stratégiques.

Un outil SIEM est principalement utilisé pour agréger et corréler les données d’événements organisationnels dans un emplacement central. Il permet aux ingénieurs de sécurité de configurer des ensembles de règles et des seuils pour générer des alertes sur les événements les plus significatifs et les plus à haut risque, en fonction du profil de risque unique de chaque organisation. Les outils SIEM analysent d’innombrables volumes de données pour réduire le bruit et filtrer jusqu’à un sous-ensemble qui nécessite une enquête et une action plus approfondies.

Un outil SOAR, d’autre part, est utilisé pour relier des outils disparates à l’infrastructure informatique d’une organisation pour orchestrer ou automatiser des actions de réponse basées sur des workflows prédéfinis ou des « playbooks ».

Les capacités SOAR permettent aux équipes de sécurité avec des ressources fixes de s’intensifier pour répondre aux exigences d’un volume d’événements plus élevé grâce à des capacités d’automatisation accrues. Les processus traditionnellement manuels tels que les mises à jour de configuration, les modifications de règles ou d’autres étapes peuvent désormais être exécutés de manière partiellement automatisée ou entièrement automatisée en réponse à des types d’événements spécifiques.

La technologie SIEM est absolument essentielle à un programme de sécurité. C’est ce bloc de construction de base que d’autres outils peuvent intégrer et vraiment élever les capacités d’intervention en cas d’incident au niveau suivant.

Pour qu’une organisation tire le plus grand avantage d’une mise en œuvre soar, cela devrait être fait après la mise en place d’un outil SIEM bien réglé. L’agrégation et la corrélation d’événements existantes par l’outil SIEM fournissent un mécanisme pour le composant SOAR afin de faciliter les actions avec une plus grande automatisation basée sur l’étendue complète des événements de sécurité de l’organisation.

Lorsque les fonctions SOAR sont implémentées sans SIEM, une automatisation cloisonnée peut être effectuée en conjonction avec l’intégration d’outils, mais le contexte d’événement supplémentaire produit à partir d’un SIEM va manquer. Sans fonctionnalité SIEM, tous les avantages de la mise en œuvre d’un outil SOAR ne seront pas réalisés.

La capacité SOAR peut élever les programmes de sécurité à ce prochain niveau d’efficacité opérationnelle lorsqu’ils s’œuvrent sur la technologie SIEM. Toutefois, la technologie seule ne peut pas transformer une organisation – elle ne servira que de canal pour une plus grande efficacité et permettra aux équipes de faire plus avec moins.

Pour tirer le meilleur parti d’un investissement dans l’outil SOAR, les cadres supérieurs devraient tenir compte des éléments suivants :

• Objectifs généraux et résultats attendus;
• Comprendre les modèles de licence;
• Un outil de gestion de journal centralisé mature et/ou SIEM;
• Bien comprendre les types d’événements les plus courants adaptés à l’automatisation;
• Déterminez les étapes de réponse pour chaque type d’événement qui peuvent ensuite être incorporées dans les livres de jeux dans l’outil SOAR;
• Identifier les outils existants qui seront intégrés aux fonctions SOAR pour l’automatisation;
• Établir une concept d’opérations (Conops) entre les opérations de sécurité et informatiques pour le transfert de tâches entre les outils de billetterie et les workflows SOAR;
• Créer un cadre dans lequel la rétroaction continue et l’analyse des causes profondes affinent davantage les outils existants et favorisent une plus grande automatisation.

Les outils de sécurité peuvent apporter d’immenses avantages, mais sans une planification et une structure opérationnelle adéquates au sein d’une organisation, tous les avantages peuvent ne pas être réalisés. La perspective d’une meilleure connaissance de la sécurité ainsi que de l’orchestration et de l’automatisation pour suivre l’évolution des menaces et protéger les données sensibles pourrait être l’incitation nécessaire pour maximiser les nouveaux outils de sécurité.