Considérations lors du choix d’un nouvel outil SIEM ou SOAR
9 min readL’examen des fichiers journaux générés par les logiciels d’infrastructure informatique est l’une des parties les moins passionnantes du travail d’un administrateur informatique, mais ces fichiers journaux déterminent la santé du système et, de manière significative, offrent des informations précieuses sur les activités anormales. De telles informations peuvent aider à déjouer une faille de sécurité et à minimiser l’exposition d’une organisation à des cyberattaques ciblées.
Gestion des informations et des événements de sécurité (SIEM) et orchestration, automatisation et réponse de la sécurité (SOAR) Les outils ont beaucoup en commun, mais il existe des différences clés entre les deux qui peuvent influencer le meilleur ajustement pour votre organisation.
Selon la maturité et la taille du centre d’opérations de sécurité (SOC) d’une organisation, une approche peut être mieux adaptée que l’autre. Les décideurs en matière de sécurité informatique doivent également prendre en compte la complexité impliquée dans la mise en place et la configuration de ces systèmes de sécurité et évaluer de manière réaliste si la menace à laquelle l’organisation est confrontée mérite les coûts de mise en œuvre.
« SIEM est né du besoin de consolider les journaux dans différents formats sur l’ensemble du réseau, y compris les flux d’événements de sécurité provenant d’autres équipements, tels que les systèmes de détection d’intrusion. [IDSs], les pare-feu et les logiciels de point de terminaison utilisateur », explique Paddy Francis, directeur de la technologie (CTO) chez Airbus CyberSecurity.
En plus de collecter des fichiers journaux, explique Francis, un SIEM fournit également un moyen de rechercher et d’analyser manuellement les données, généralement en utilisant l’analyse de données pour générer des alertes, présenter différentes vues des données à un analyste de sécurité et fournir des rapports aux parties prenantes.
En outre, un SIEM fournira généralement une capacité permettant de développer des cas d’utilisation de détection, dit-il. Ceux-ci recherchent des séquences d’événements spécifiques qui peuvent indiquer une attaque en cours et peuvent fournir une certaine intégration dans la billetterie et d’autres systèmes connexes.
Cependant, comme le note Francis, un SIEM peut générer des milliers d’événements par seconde et les attaquants deviennent de plus en plus sophistiqués. « Certaines menaces persistantes avancées [APT] les groupes peuvent désormais prendre le contrôle d’un poste de travail et s’infiltrer dans le réseau en moins de 20 minutes en moyenne lorsqu’un utilisateur clique sur un lien dans un e-mail de phishing, et la moyenne pour tous les groupes est de moins de deux heures », dit-il. .
Cela a conduit à la notion du défi 1/10/60 : la nécessité de détecter une attaque en une minute, de la comprendre en 10 minutes et de la contenir en 60 minutes, explique Francis. Cependant, même les meilleurs analystes SOC auront du mal à relever le défi du 1/10/60 en utilisant uniquement un ensemble d’outils SIEM, souligne-t-il.
C’est là que SOAR aide. Chez Gartner Guide du marché des solutions d’orchestration, d’automatisation et de réponse de la sécurité, le cabinet d’analystes déclare : « Le cas d’utilisation le plus courant mentionné par les clients de Gartner qui envisagent de mettre en œuvre, ou qui ont déjà mis en œuvre, des solutions SOAR, est l’automatisation du tri des e-mails de phishing suspects signalés par les utilisateurs. Il s’agit d’un exemple classique de processus qui suit un processus répétable, des dizaines à des centaines de fois par jour, dans le but de déterminer si l’e-mail (ou son contenu) est malveillant et nécessite une réponse. C’est un processus mûr pour l’application de l’automatisation.
Un système SOAR est conçu pour accélérer la réponse à une attaque en automatisant le processus de détection et de réponse aux incidents. Il peut s’intégrer au SIEM, au système de billetterie, aux technologies de détection, aux pare-feu et aux proxys, ainsi qu’aux plates-formes de renseignement sur les menaces, pour automatiser l’activité globale de détection et de réponse.
Automatisation de la sécurité
Pour Francis, une équipe des opérations de sécurité aura généralement un playbook, qui détaille les décisions et les actions à prendre, de la détection au confinement. Cela peut suggérer des mesures à prendre en cas de détection d’un événement suspect via une escalade et des réponses possibles. SOAR peut automatiser cela, dit-il, en prenant des décisions autonomes qui soutiennent l’enquête, en s’appuyant sur des renseignements sur les menaces et en présentant les résultats à l’analyste avec des recommandations pour des actions ultérieures.
« L’analyste peut alors sélectionner l’action appropriée, qui serait effectuée automatiquement, ou l’ensemble du processus peut être automatisé », explique Francis. “Par exemple, la détection d’une éventuelle transmission de commandement et de contrôle pourrait être suivie conformément au playbook pour recueillir des renseignements pertinents sur les menaces et des informations sur les hôtes impliqués et d’autres transmissions connexes.”
Dans cet exemple, l’analyste serait alors notifié et aurait la possibilité de bloquer les transmissions et d’isoler les hôtes impliqués. Une fois sélectionnées, les actions seraient effectuées automatiquement, précise Francis. Tout au long du processus, des outils de billetterie et de collaboration tiendraient l’équipe et les parties prenantes concernées informées et généreraient des rapports au besoin.
Quand déployer
Alors, SOAR est-il la réponse au défi du 1/10/60 ? En regardant quand utiliser SIEM, Tom Venables, directeur des applications et de la cybersécurité chez Turnkey Consulting, affirment les organisations dont l’application et le réseau sont limités, ou pour lesquelles le reporting est l’objectif principal, trouveront probablement SIEM suffisant à lui seul.
Mais lorsqu’il est nécessaire de mettre en œuvre des actions automatisées basées sur des événements détectés, ou lorsqu’un playbook cohérent de réponses qui doit s’exécuter de la même manière à chaque fois est requis, Venables pense que SOAR devient de plus en plus essentiel pour l’entreprise. Par exemple, si une machine commence soudainement à communiquer avec un serveur dans un emplacement non prévu (en dehors de ses schémas habituels), Venables dit qu’un outil SOAR peut isoler cette machine des systèmes critiques ou désactiver des ports spécifiques de la communication, selon la nature de la menace. .
L’automatisation permet également au SOC, qui peut ne pas être très important, de se concentrer sur la résolution d’incidents réels ou d’effectuer une analyse détaillée. Comme le souligne Venables, l’incapacité à prendre un plan d’action pour atténuer les incidents en temps opportun peut se produire si l’équipe n’a pas suffisamment de temps pour surveiller chaque alerte et prendre des mesures dans le cadre des niveaux de service requis par l’organisation.
« Si les outils SOAR sont mis en œuvre correctement, ils peuvent extraire des informations de plusieurs plates-formes et outils de sécurité exploités par l’organisation et peuvent intégrer des plates-formes de renseignement sur les menaces, des systèmes SIEM et des analyses de comportement des utilisateurs et des entités. [UEBA] pour identifier automatiquement les indicateurs de compromission [IoC] cela pourrait autrement prendre des heures à un analyste du centre des opérations de sécurité pour l’identifier », dit-il.
En extrayant des informations de sécurité, les organisations peuvent réagir et arrêter les comportements suspects ou malveillants avant qu’un humain ne détecte que quelque chose se passe, explique Venables. « Le niveau d’automatisation d’un système entièrement intégré supprime également un grand nombre de faux positifs des analyses et des réponses, ce qui permet aux analystes de gagner un temps précieux. »
Pourtant, malgré tous les avantages de l’automatisation offerts par SOAR, Venables pense que le SIEM a toujours sa place dans une organisation. « En plus de capturer les données d’événement et de journal requises pour l’entrée SOAR, la capacité des outils SIEM à traiter sans effort de grandes quantités de données signifie qu’ils peuvent être déployés dans d’autres domaines d’activité, y compris les métriques et les prévisions de billetterie du centre de services, les performances clés en temps réel indicateur [KPI] des tableaux de bord et des rapports sur la conformité et les risques multiplateformes », dit-il.
Par exemple, il peut être difficile pour les utilisateurs d’identifier les causes profondes ou les indicateurs de problèmes plus importants en triant tous les tickets enregistrés par un centre de services occupé. Mais, dit Venables, “un système SIEM solide peut rapidement détecter des tendances, établir une corrélation avec d’autres sources de données et fournir des preuves claires que quelque chose nécessite une plus grande attention”.
Décisions d’investissement
Venables recommande également que les décisions d’investissement soient fondées sur l’organisation au sens large et les processus de sécurité déjà établis en son sein. Par exemple, le Cadre de cybersécurité du National Institute of Standards and Technology (NIST), qui est rapidement adopté comme norme de l’industrie pour l’analyse comparative, divise la protection de la cybersécurité en cinq éléments constitutifs : identifier, protéger, détecter, répondre et récupérer.
« Sur la base des itérations actuelles, SIEM est mieux adapté pour mesurer l’efficacité et l’efficience des domaines d’identification et de protection, tandis que les capacités de détection et de réponse sont couvertes par SOAR », dit-il.
D’après l’expérience de Venables, les activités et la charge de travail de l’équipe du SOC sont un autre indicateur utile pour évaluer le soutien supplémentaire requis. Si la plupart de leur temps est consacré à enquêter ou à répondre aux alertes capturées par l’outil SIEM, Venables recommande aux décideurs en matière de sécurité informatique d’envisager de déployer un outil SOAR.
Tom Venables, Conseil clé en main
D’autre part, il dit : « Si l’équipe a du mal à capturer des événements significatifs, il y a trop de données à traiter, les outils produisent un nombre écrasant de faux positifs, ou les processus de gestion des incidents doivent encore être définis, alors l’amélioration le SIEM et ses processus de collecte de journaux et de gestion des événements pourraient être un investissement plus judicieux.
Les auteurs de Gartner Guide du marché des solutions d’orchestration, d’automatisation et de réponse de la sécurité avertir que le principal obstacle à l’adoption d’un outil SOAR reste le manque ou la faible maturité des processus et des procédures au sein de l’équipe des opérations de sécurité.
Configuration importante
Comme le note Francis d’Airbus, un outil SOAR nécessite généralement une configuration importante. « Les configurations par défaut peuvent servir de point de départ, mais les playbooks et les flux de travail définis doivent être réglés pour les automatiser dans une solution SOAR, car ils ne les généreront pas pour vous », dit-il.
« Aussi, pour répondre, l’outil SOAR doit savoir reconfigurer les firewalls, les serveurs DNS et les proxys par exemple, ainsi qu’isoler les hôtes dans votre environnement spécifique. À long terme, cependant, SOAR permettra de faire plus plus rapidement avec moins d’interventions d’analystes. »
Pour tout achat de sécurité informatique, le succès sera déterminé par l’analyse par une organisation de son environnement actuel et sa compréhension du paysage des menaces et des risques. Venables exhorte les professionnels de la sécurité informatique à peser les avantages et les inconvénients de l’automatisation par rapport au traitement manuel et à décider de la valeur accordée à chacune des deux étapes.
« L’appréciation des exigences spécifiques évite de dépenser pour des capacités qui ne sont pas nécessaires », dit-il. « Des systèmes distincts « mieux adaptés » peuvent également être sélectionnés, ce qui permet d’obtenir une solution avancée dans chaque domaine, plutôt qu’un modèle à fournisseur unique qui compromet potentiellement la fonctionnalité. »