Dans le Rapport Gartner Magic Quadrant pour les informations de sécurité et la gestion des événements, les analystes notent que les données d’événement peuvent être combinées avec des informations contextuelles sur les utilisateurs, les actifs, les menaces et les vulnérabilités à des fins de notation, de hiérarchisation et d’accélération des enquêtes. Cela fait de SIEM un pilier de la sécurité informatique des entreprises.
Rasika Somasiri, experte en cybersécurité chez PA Consulting, affirme que les outils SIEM sont l’une des pierres angulaires d’une capacité de surveillance efficace dans les opérations de sécurité. Il dit que les alertes fournies par un Outil SIEM peut indiquer une violation qui se produit ou aider à en prévoir une.
« Si vous êtes responsable de la sécurité dans une entreprise de taille moyenne ou grande et pensez avoir besoin d’un SIEM, c’est probablement le cas. En fait, vous en avez probablement déjà un. En plus de votre SIEM, vous disposez probablement d’une gamme d’outils supplémentaires qui fournissent des alertes de sécurité », explique Somasiri.
Mais le problème avec les alertes est que les professionnels de la sécurité informatique doivent agir en conséquence. « Vous devez valider qu’ils constituent un incident réel », ajoute-t-il.
C’est pourquoi orchestration, automatisation et réponse de la sécurité (SOAR) commence à susciter l’intérêt. Gartner définit SOAR comme une classe de produits qui combinent la réponse aux incidents, l’orchestration et l’automatisation, et des capacités de gestion des renseignements sur les menaces (TI) dans une seule plate-forme.
Pour Bénévole BCS et experte en sécurité Petra Wenham, la question de savoir si SIEM ou SOAR est le meilleur ensemble d’outils de sécurité pour une organisation est un point discutable. “Il y a un chevauchement entre les outils et, selon les outils que vous regardez, le chevauchement peut être assez faible, en particulier lorsque le produit SIEM a adopté l’intelligence artificielle dans la conception”, dit-elle.
Wenham pense que le choix du produit n’est pas déterminé uniquement par la taille d’une organisation, mais plutôt par la taille et la complexité de l’infrastructure informatique d’une organisation et la valeur des données détenues et traitées par l’infrastructure.
Par exemple, plus l’infrastructure informatique est grande et complexe, et plus la valeur des données détenues et traitées est grande, plus il est nécessaire d’utiliser l’automatisation pour entreprendre la corrélation des événements ainsi que l’analyse à court et à long terme des alertes (sécurité et autres) générés au sein de l’infrastructure.
« Dans la mesure du possible », déclare Wenham, « l’automatisation doit être utilisée pour initier des actions correctives au sein de l’infrastructure, car une telle automatisation permettrait de libérer un personnel informatique et de sécurité précieux pour se concentrer sur les problèmes difficiles à résoudre et sur la maintenance de l’infrastructure et ensembles d’outils de gestion et de surveillance associés.
Options pour une petite et une grande exploitation
Pour les organisations disposant d’une infrastructure informatique plus petite et moins complexe, telles que celles sans e-commerce ou portail client, Wenham affirme qu’un déploiement SIEM – éventuellement avec des capacités d’intelligence artificielle (IA) – serait une solution raisonnable.
Cependant, elle prévient que pour permettre d’identifier et d’enquêter rapidement sur les événements prioritaires, il est important que le personnel informatique ou de sécurité soit en mesure de gérer et d’utiliser les outils SIEM de manière à ce que la sortie ne soit pas submergée de données erronées.
Wenham dit que cette approche devrait généralement être complétée par l’emploi de sous-traitants de sécurité externes pour fournir un support de troisième ligne et entreprendre des examens réguliers de la configuration SIEM et, si nécessaire, réajuster et ajuster le SIEM pour mieux différencier les activités anormales et normales.
Elle suggère qu’un petit système SOAR pourrait également être une option où la capacité de surveillance du SOAR est suffisamment complète pour faire face à tous les appareils au sein de l’infrastructure d’une organisation.
Au fur et à mesure que la complexité de l’infrastructure augmente, ainsi que la valeur en jeu, un SIEM avec intelligence artificielle pour les opérations informatiques (AIOps) pourrait également être envisagée. Wenham dit qu’un tel système alimenté par l’IA serait capable de suivre les événements lents au fil du temps et de lancer automatiquement des actions correctives dans l’infrastructure.
Si le service informatique de l’organisation ne dispose pas des compétences et/ou des ressources requises, des sous-traitants de sécurité externes devraient être engagés pour fournir une assistance en cas de besoin et aider au réajustement régulier du SIEM.
Pour une organisation dotée d’une infrastructure informatique importante et complexe, la quantité de données d’événements générées serait considérable. Wenham dit qu’un SIEM haut de gamme couplé à un produit SOAR serait l’ensemble d’outils préféré – le SIEM étant le meilleur produit pour collecter et corréler un large éventail de données d’événements et le SOAR étant le meilleur produit pour entreprendre une analyse détaillée de SIEM- générées et initiant automatiquement une série d’actions correctives.
Le SOAR serait également en mesure d’entreprendre une analyse des données d’événements générées par SIEM agrégées sur une longue période de temps, ce qui permettrait de découvrir des tentatives d’événements de sécurité secrets.
« Même dans les grandes organisations avec une configuration SIEM et SOAR, il y aurait probablement un rôle pour une assistance externe en matière de conseil en sécurité, en particulier là où il y avait des contraintes de ressources pour les services informatiques et/ou de sécurité », dit-elle.
Automatisation de la réponse de sécurité
D’après Jason Yakencheck, partenaire associé de la pratique de cybersécurité et de biométrie d’IBM et ancien président de l’ISACA, la mise en œuvre d’un outil SOAR est une capacité cruciale pour les équipes d’opérations de sécurité de répondre efficacement aux incidents.
« Le volume d’événements de sécurité continue de croître de façon exponentielle et les bons composants technologiques doivent être en place pour préparer une organisation au succès », dit-il.
Comme Wenham, Yakencheck pense que SIEM est un élément central nécessaire pour tirer le meilleur parti d’un outil SOAR.
« La technologie SIEM est essentielle à un programme de sécurité. C’est ce bloc de construction fondamental auquel d’autres outils peuvent s’intégrer et élever véritablement les capacités de réponse aux incidents au niveau supérieur »
Jason Yakencheck, IBM
Ces deux outils de sécurité offrent des fonctionnalités complémentaires essentielles pour suivre le rythme des menaces toujours plus nombreuses et sophistiquées. Mais il dit qu’il est important pour les organisations qui peuvent décider quand ou comment mettre en œuvre l’un ou l’autre de ces outils pour comprendre les différences et les avantages de chacun avant de prendre des décisions stratégiques.
« Un outil SIEM est principalement utilisé pour agréger et corréler les données d’événements de l’organisation dans un emplacement central. Il permet aux ingénieurs de sécurité de configurer des ensembles de règles et des seuils permettant de générer des alertes uniquement sur les événements les plus significatifs et à haut risque, en fonction du profil de risque unique de chaque organisation. Les outils SIEM analysent d’innombrables volumes de données pour réduire le bruit et filtrer jusqu’à un sous-ensemble qui nécessite une enquête et une action plus approfondies », dit-il.
« La technologie SIEM est absolument essentielle à un programme de sécurité. C’est ce bloc de construction fondamental auquel d’autres outils peuvent s’intégrer et élever véritablement les capacités de réponse aux incidents au niveau supérieur. »
Pour Yakencheck, les capacités SOAR permettent aux équipes de sécurité disposant de ressources fixes de s’adapter pour répondre aux demandes de volumes d’événements plus élevés grâce à des capacités d’automatisation accrues. Il dit qu’avec SOAR, les processus manuels traditionnels tels que les mises à jour de configuration, les modifications de règles ou d’autres étapes peuvent être exécutés de manière partiellement automatisée ou entièrement automatisée en réponse à des types d’événements spécifiques.
Pour qu’une organisation tire le meilleur parti d’une implémentation SOAR, Yakencheck recommande de le faire après la mise en place d’un outil SIEM bien réglé. Il dit que cela fournit les moyens par lesquels l’agrégation et la corrélation d’événements existants par l’outil SIEM peuvent être utilisées pour fournir un mécanisme au composant SOAR afin de faciliter les actions avec une plus grande automatisation basée sur l’ensemble des événements de sécurité de l’organisation.
« Lorsque les fonctions SOAR sont implémentées sans SIEM, une certaine automatisation en silo peut être effectuée en conjonction avec l’intégration d’outils, mais le contexte d’événement supplémentaire produit à partir d’un SIEM va manquer », prévient-il. « Sans la fonctionnalité SIEM, tous les avantages de la mise en œuvre d’un outil SOAR ne seront pas réalisés.
Dimensionner la sécurité
Une surveillance approfondie des applications et de l’infrastructure informatique est essentielle pour maintenir une sécurité informatique solide, mais les données fournies par la surveillance nécessitent une analyse approfondie pour déterminer les activités suspectes. La capacité SOAR peut élever les programmes de sécurité au niveau supérieur d’efficacité opérationnelle en s’appuyant sur la technologie SIEM.
Cependant, Yakencheck d’IBM affirme que la technologie à elle seule ne peut pas transformer une organisation. “Cela ne servira que de canal pour une plus grande efficacité et permettra aux équipes de faire plus avec moins”, ajoute-t-il.
Selon Gartner, d’ici fin 2022, 30 % des organisations disposant d’une équipe de sécurité de plus de cinq personnes utiliseront des outils SOAR dans leurs opérations de sécurité, contre moins de 5 % en 2019. Cela montre qu’il y a une croissance incroyable dans le segment. . Cependant, les petites équipes informatiques peuvent ne pas être en mesure de justifier l’investissement requis pour mettre en œuvre et déployer SOAR.
Alors que les outils de sécurité peuvent offrir d’immenses avantages, sans une planification et une structure opérationnelle appropriées au sein d’une organisation, tous les avantages peuvent ne pas être réalisés. La perspective d’une meilleure connaissance de la sécurité ainsi que d’une orchestration et d’une automatisation pour suivre le rythme de l’évolution des menaces et protéger les données sensibles pourrait bien être la direction que prendra finalement la sécurité informatique.
