Définition d’un SOC traditionnel : Enjeux et limitations du SIEM
Le Security Operation Center (SOC), est une équipe dont le rôle est de “prévenir, détecter, évaluer et répondre aux menaces et incidents de cybersécurité.”[1]
Afin de mener à bien leur mission, les équipes s’appuient traditionnellement sur des solutions de Security Information and Event Management (SIEM) qui sont utilisées pour collecter et corréler les événements du système d’information afin d’apporter du contexte et d’identifier les menaces.
Cependant, alors que l’approche SOC a été conçue pour être “l’ange gardien” de l’activité d’une entreprise et réduire au maximum les risques cybers, elle est plus souvent considérée comme un centre de coût. En effet, on distingue principalement 3 limites dans une approche de SOC traditionnel :
- L'hétérogénéité de solutions de sécurité à piloter : les équipes de sécurité s’appuient parfois sur plusieurs 10ène d’outils indépendants, rendant le pilotage des réponses à incident très complexe,
- Le nombre d’alertes de sécurité : Les analystes doivent gérer un nombre très important d’alertes : en moyenne 174 000 alertes par semaine dont seulement 7% sont examinées[2] et dont beaucoup sont de faux positifs.
- Les tâches répétitives : enfin, les équipes font face à un problème d’optimisation de leur temps en devant manuellement effectuer des tâches à faible valeur.
Ces limites structurelles constatées et reconnues par la communauté engendrent alors des impacts et risques importants pour les entreprises :
- L’épuisement des ressources très souvent déjà insuffisantes : On parle aujourd’hui de “fatigue d’alertes chez les analystes”[3], qui n’ont pas les moyens humains et/ou technologiques pour traiter ce volume exponentiel.
- Un manque d'efficacité dans l’investigation et la remédiation : L'investigation des réelles menaces n’étant pas toujours possible, les risques cybers restent omniprésents et très importants.
C’est pourquoi il semble nécessaire pour les entreprises de repenser leur approche du SOC et de rendre plus efficient et efficace les investigations et les réponses à incidents de cybersécurité.
L’approche SOC nouvelle génération : Les bénéfices du SOAR
L'acronyme SOAR est un terme utilisé pour la première fois par le Gartner, en 2018. Celui-ci signifie “Security Orchestration, Automation and Response” et permet de définir les technologies permettant d'orchestrer les solutions de sécurité existantes au sein d’un système d’information et d’automatiser les réponses à incident.
Incontournable des SOC nouvelle génération, les solutions de type SOAR ont comme principaux objectifs de :
- Piloter les équipements de sécurité : afin de répondre à la problématique de pilotage des nombreux outils de sécurité, le SOAR va permettre d'automatiser à l’aide de playbook (scripts définissant un scénario) chaque solution (SIEM, EDR, NDR, XDR…) et ainsi faciliter la tâche aux équipes d’analystes dans le cadre des réponses à incidents.
- Enrichir les alertes et faciliter le tri : le SOAR permet également de répondre à la problématique du nombre d’alertes. La solution apporte du contexte complémentaire à l’aide de sources internes et externes à l’entreprise (Threat Intel Management) et permet de faciliter le tri et le traitement de celles-ci.
- Automatiser les tâches à faible valeur : enfin afin d’optimiser le temps des analystes, elles permettent également d’automatiser les tâches récurrentes pour permettre aux équipes de se concentrer sur ce qui est important.
Les solutions de SOAR permettent donc d’outrepasser les limites du SOC traditionnel : il optimise les ressources en orchestrant les solutions de sécurité et en automatisant les réponses à incident. Enfin, il facilite l’investigation et la prévention des menaces inconnues pour les analystes.
Le SOAR apporte aussi une facilité de migration des outils de sécurité. Lorsque vous changez de SIEM ou que vous migrez vers un XDR (Extended Detection and Response) le XSOAR permet de conserver les processus en place.
A noter que le XDR est particulièrement important dans cette architecture. Il apporte une couche d’abstraction entre l’orchestrateur et les outils de sécurité. Sa capacité de discussion en API avec l’ensemble des outils de sécurité fait de lui l’interface universelle pour le SOAR.
L'offre SOC co-managée Nomios
La philosophie de Nomios a toujours été de rendre ses clients autonomes, qu’ils conservent une pleine gouvernance sur leur sécurité informatique. En appliquant cette philosophie d’intégration au SOC, la proposition de Nomios est de mettre en place avec le client un SOC co-managé. Le client participe ainsi, de manière éclairée, aux réponses à apporter aux compromissions détectées ; une réponse prise en charge soit par Nomios, soit par le client. Ce modèle est différent d’un SOC managé (externalisé) où à l’extrême le client confie entièrement la détection et la réponse à apporter, sans contrôle sur les outils installés.
Pourquoi Nomios a fait le choix de la solution Cortex XSOAR (ex Demisto) pour vous accompagner ?
La solution Palo Alto Networks Cortex XSOAR est la solution qui répond le plus à nos besoins d'intégration hétérogène. Cette solution, qui ingère des alertes agrégées et des indicateurs de compromission (IOC) à partir de plus de 350 produits différents, comprend :
- Une large offre de Playbook intégrés. Prédéfinis, ces scénarios de réponses par outil ou par groupes d’outils de sécurité développés par les éditeurs sont disponibles nativement. Ils sont complétés par les playbook personnels écrits par les experts de sécurité administrant le SOC,
- API native : Les principaux constructeurs du marché sont intégrés nativement dans le SOAR de Palo Alto Networks,
- Multi-tenant : Cette solution permet une utilisation mutualisée de la plate-forme tout en proposant des espaces personnels et indépendants pour chaque client.
- Intégration avec CTI : L’offre de Palo Alto Networks dispose de sa propre Cyber Threat Intelligence (CTI). Mais l’outil intègre aussi facilement les autres offres de Cyber Threat Intelligence du marché.
[2]https://start.paloaltonetworks.com/the-state-of-soar-report-2018
[3]https://www.paloaltonetworks.com/blog/2019/07/help-soc-analysts-fight-alert-fatigue/