Comment les services SOAR et SIEM s’en sortent-ils dans un paysage de cybermenaces en évolution rapide ?

Informations de sécurité et gestion des événements Les technologies (SIEM) sont depuis longtemps des outils puissants pour les professionnels de la cybersécurité. Ils permettent aux équipes de sécurité de collecter et d’analyser des données basées sur des événements à partir d’une pléthore de sources, telles que des systèmes de sécurité informatique, des réseaux, des serveurs, des applications, etc., dans le but d’aider à identifier et à atténuer les cyberattaques entrantes.

Cependant, orchestration, automatisation et réponse de la sécurité Les produits (SOAR) sont devenus une alternative viable aux systèmes SIEM plus traditionnels ces dernières années. Bien que les technologies SOAR aident également les organisations à gérer plusieurs sources de données dans leur parc informatique, elles vont plus loin que les SIEM en automatisant divers aspects du processus de détection et d’atténuation des cybermenaces.

Mais avec la transition rapide vers un monde de travail à distance et les cybercriminels qui continuent de profiter de la pandémie de Covid-19, le paysage des menaces a considérablement évolué au cours de l’année écoulée, et les entreprises sont donc confrontées à de nombreux nouveaux défis en matière de cybersécurité. Alors, les services SIEM et SOAR sont-ils encore des outils puissants pour les équipes de sécurité ? Et comment ont-ils évolué en 2021 ?

Les défis auxquels sont confrontées les équipes de sécurité réseau ont considérablement changé en raison de la pandémie de coronavirus et de l’augmentation subséquente du travail à distance, selon Nicola Whiting, directeur de la stratégie chez Titania.

« Le passage au travail à distance, y compris l’introduction de nouveaux appareils et applications, ainsi que l’adoption de la technologie cloud, signifie que les équipes ont une quantité toujours croissante de données réseau à collecter et à analyser », dit-elle.

“Ajoutez à cela la sophistication croissante des acteurs de la menace, qui ont besoin de moins de temps pour s’établir sur un réseau cible, et l’importance de surveiller en permanence l’état de configuration d’un réseau est claire.”

Mais pour les professionnels de la sécurité qui cherchent à naviguer avec succès dans un paysage de cybermenace de plus en plus complexe, les SIEM peuvent être des outils puissants. Whiting dit qu’ils offrent une vue centralisée et en temps réel de l’état réel d’un réseau grâce à la collecte et à l’analyse de données provenant de différents outils de sécurité. Cela permet aux professionnels de la sécurité d’observer lorsque les données s’éloignent de l’état souhaité.

« Grâce à l’agrégation et à l’enrichissement fréquents, voire continus, des données d’évaluation des vulnérabilités, les équipes de sécurité réseau peuvent obtenir une configuration fiable, sachant que leur réseau est correctement configuré pour empêcher une attaque », explique Whiting.

« Donc, en particulier dans le nouvel environnement de réseau informatique complexe et évolutif d’aujourd’hui, les SIEM sont plus critiques que jamais pour minimiser la surface d’attaque et réduire le temps moyen de détection des erreurs de configuration. »

Cependant, Whiting pense que l’identification des anomalies et des menaces dans un SIEM ne constitue qu’une partie de la confiance dans la configuration. Un autre élément essentiel de ce processus est de pouvoir résoudre automatiquement les problèmes une fois qu’ils ont été découverts, et son point de vue est que les capacités d’automatisation du triage des technologies SOAR deviennent de plus en plus essentielles.

« Cela conduit à une évolution vers l’intégration des SIEM avec des capacités d’orchestration, d’automatisation et de réponse de la sécurité, c’est-à-dire détection et réponse gérées [MDR] fonctionnalités, réduisant le temps moyen de tri des vulnérabilités de sécurité », dit-elle. « Cependant, la confiance dans l’automatisation qui sous-tend le MDR repose sur des données haute fidélité.

« Donc, les équipes de sécurité réseau, bien que désireuses d’adopter une technologie basée sur l’automatisation pour réduire les charges de travail et accélérer la correction, se concentrent de plus en plus sur la précision des outils qui alimentent leurs outils MDR. L’automatisation est redondante si elle est basée sur des informations inexactes. Répondre et affronter les menaces et les défis de sécurité d’aujourd’hui commence donc au niveau de l’évaluation de la vulnérabilité.

Les outils SIEM ont évolué

Pendant deux décennies, les technologies SIEM ont agi comme un outil essentiel dans les services informatiques et de cybersécurité du monde entier. Et bien qu’elles soient toujours importantes dans le paysage de la sécurité d’aujourd’hui, Forrester L’analyste de la sécurité et des risques, Allie Mellen, affirme que les systèmes SIEM actuels se concentrent principalement sur la détection et la réponse plutôt que sur les cas d’utilisation de conformité.

« Cela est illustré dans une récente enquête que j’ai menée, qui a révélé que plus de 80 % des praticiens interrogés ont déclaré qu’ils utilisaient leur SIEM principalement pour des cas d’utilisation de détection et de réponse », dit-elle. « Ils ne sont pas souvent discutés de cette façon ; de nombreux fournisseurs suggèrent que les SIEM ne sont bons que pour la conformité, remontant à leurs racines. »

Alors que les SIEM existent depuis un certain temps, Mellen souligne que des innovations émergent dans cette industrie et ouvrent une nouvelle ère SIEM. Elle déclare : « Ce changement porte le nom de plates-formes d’analyse de sécurité, qui non seulement gèrent l’ingestion et le stockage des journaux, mais traitent également plus efficacement les cas d’utilisation de détection et de réponse que les SOC [security operations centres] avoir besoin.”

Ce qui rend les plateformes d’analyse de sécurité si puissantes, c’est le fait qu’elles fournissent des fonctionnalités SIEM, SOAR et UEBA (analyse du comportement des utilisateurs et des entités) dans une seule solution. Mellen dit qu’ils couvrent l’ensemble du cycle de vie de la réponse aux incidents – y compris la détection, l’enquête et la réponse – ainsi que des domaines vitaux tels que la conformité.

« Cette année, les plateformes d’analyse de sécurité poursuivent la transition vers le cloud, les fournisseurs publiant des solutions cloud natives ou faisant évoluer leur modèle de tarification pour prendre en charge cette transition et les coûts élevés qui accompagnent le stockage de masse de données », dit-elle. “Ils tentent d’améliorer leurs capacités d’apprentissage automatique pour des détections plus précises et dynamiques, et recherchent activement des moyens d’aider les praticiens à mieux détecter les menaces dans le cloud.”

Mellen ajoute que les fournisseurs de plateformes d’analyse de sécurité commencent également à changer la façon dont ils envoient leurs offres en raison de la concurrence posée par les technologies de détection et de réponse étendues (XDR). « L’accent est mis beaucoup plus sur la détection et la réponse aux menaces, avec un accent renouvelé sur l’amélioration des capacités d’enquête et la simplification du processus de playbook SOAR avec une automatisation supplémentaire », dit-elle.

De nouvelles approches

L’industrie est en train de passer d’outils de traitement purement événementiels à des solutions de surveillance comportementale telles que Technologie XDR, selon Sean Wright, responsable de la sécurité des applications chez Laboratoires immersifs.

« Cela est logique car les attaquants évoluent constamment, ce qui signifie que la détection traditionnelle basée sur les signatures prend du retard », dit-il. « L’évolution des infrastructures impose également certains changements. Par exemple, de nombreuses organisations migrent vers le cloud et n’ont plus de datacenter unique, ce qui peut avoir un impact sur l’efficacité d’un SIEM.

Pour l’avenir, Wright pense que les technologies SOAR gagneront en popularité à mesure que les renseignements sur les menaces deviennent une partie de plus en plus importante de la posture de cybersécurité d’une organisation. « L’automatisation peut générer des gains d’efficacité dans son utilisation et son analyse, ce qui aide les équipes de sécurité à agir plus rapidement sur les informations pour réduire les risques », dit-il.

Jake Moore, spécialiste de la sécurité chez ESET, affirme que les systèmes SIEM et SOAR offrent une visibilité maximale et sont un outil essentiel pour les organisations qui cherchent à atténuer un tsunami de menaces de cybersécurité. “Leur idée est d’évaluer et d’analyser les données en temps réel pour les anomalies et les modèles et d’identifier les risques, ce qui est inestimable dans la réponse aux incidents”, dit-il. « Cela est vital pour toute entreprise désireuse de parer à l’avenir à la tirade inévitable d’attaques à laquelle sont confrontées tant d’organisations. »

Alors que Moore convient que les technologies SIEM basées sur le logiciel en tant que service (SaaS) peuvent considérablement améliorer l’efficacité du département de cybersécurité, il avertit les organisations de ne pas trop se fier aux systèmes SIEM qui utilisent l’intelligence artificielle car ils peuvent générer des faux positifs.

Dans un monde parfait, dit Moore, les organisations seraient en mesure de détecter les cyberattaques le plus tôt possible. Mais il admet que les technologies autonomes de détection des menaces ne sont actuellement pas suffisamment avancées pour que cela soit la réalité aujourd’hui. “Mais c’est au moins le début d’une meilleure protection et il est très probable qu’elle se développera de manière exponentielle en toute confiance tout en se fixant avec plus de robustesse”, dit-il.

Les SOAR sont des outils puissants

Lorsque les SIEM sont apparus pour la première fois dans les années 2000, ils étaient un excellent moyen pour les équipes de sécurité informatique de contrôler plusieurs sources de données et d’utiliser ces informations variées pour lutter contre les cyberattaques. Mais Michael Morris, directeur des alliances technologiques mondiales chez Endace, estime que les SOAR sont en train de devenir une solution plus efficace pour les professionnels de la cybersécurité.

« Désormais, les SOAR deviennent la prochaine plate-forme incontournable, offrant la promesse d’aider les équipes à faire face à des surfaces d’attaque étendues et fluides et à un volume toujours croissant de menaces en automatisant et en standardisant les processus d’enquête et de réponse », déclare Morris.

Il prévient que les menaces de sécurité informatique deviennent de plus en plus sophistiquées, tandis que les temps d’attente plus longs permettent aux cybercriminels d’accéder plus facilement aux actifs et aux données critiques. Pour cette raison, les plates-formes SIEM et SOAR gagnent en importance alors que les organisations visent de plus en plus à « connecter les indicateurs de compromission à partir des outils de surveillance de la sécurité, des données de journal et du trafic réseau ».

Morris ajoute : « Ensemble, ces plates-formes peuvent aider les équipes à automatiser l’analyse, la corrélation et la préservation des preuves médico-légales des violations de sécurité potentielles, donnant aux équipes SecOps le temps de réagir et une vue claire de ce qui s’est passé exactement.

Si les équipes de sécurité n’utilisent pas les technologies SIEM et SOAR, Morris prévient qu’elles auront du mal à faire face aux volumes croissants de cyberalertes, à distinguer les faux positifs des véritables menaces et à consacrer leur temps à lutter contre les risques les plus graves.

« En retour, cela rend difficile d’être plus proactif », dit-il. « Ils passent trop de temps à lutter contre les incendies et manquent de temps pour s’engager dans une chasse proactive aux menaces et acquérir l’expérience et l’expertise nécessaires pour faire face à des acteurs de menace plus avancés et à des attaques ciblées plus persistantes. »

Mais bien que les technologies SOAR offrent de nombreux avantages, elles ne sont pas toujours faciles à mettre en œuvre si une organisation n’a pas d’expérience préalable. Mark Nicholls, CTO de Redscan, déclare que le plus grand défi de l’adoption de SOAR est la faible maturité des processus et des procédures dans les équipes SOC.

Lors de l’adoption d’un système SOAR, Nicholls recommande aux organisations de demander l’avis d’experts pour s’assurer qu’elles sont parfaitement préparées et qu’elles peuvent tirer le meilleur parti de ces technologies. « De nombreuses organisations souffrent d’attentes irréalistes en matière de SOAR et de mesures peu claires », dit-il. « Ce n’est pas une solution miracle pour relever tous les défis de sécurité. Si les organisations ne parviennent pas à définir des cas d’utilisation clairement définis, des objectifs réalistes et des paramètres de réussite, elles se sentiront inévitablement lésées par les résultats.

En outre, dit-il, les organisations qui cherchent à mettre en œuvre des solutions SOAR doivent comprendre les différents éléments qui doivent être automatisés sans trop dépendre de l’automatisation. « Les organisations ne doivent pas simplement s’appuyer sur les playbooks et les processus initialement mis en place dans SOAR », ajoute-t-il. « Ils doivent s’assurer qu’ils appliquent une expertise de sécurité à jour afin que leur capacité SOAR s’améliore à mesure que la posture de sécurité de l’organisation évolue et qu’elle soit continuellement prête à répondre efficacement aux nouveaux types de menaces. »

Les entreprises sont aujourd’hui confrontées à un large éventail de menaces de cybersécurité, et le paysage des cybermenaces continue de croître rapidement. Mais un excellent moyen pour les entreprises d’identifier et d’atténuer les cyberattaques consiste à utiliser une solution SIEM ou SOAR. Bien que les deux soient d’excellentes technologies pour les équipes de sécurité modernes, il semble que les technologies SOAR deviennent l’option la plus populaire et la plus efficace des deux.