Sommaire
Face au changement constant tactiques des attaquants et le nombre sans cesse croissant de données de logs, le SOC doit évoluer pour mieux anticiper les menaces.
En 2000, les premiers outils SIEM, composant principal des Centres Opérationnels de Sécurité traditionnels ont été une véritable délivrance pour les agents de sécurité. Avec le nombre croissant d’outils et l’expansion sans fin des journaux de ces outils, les solutions SIEM leur permettaient de collecter toutes ces données et d’y mener des analyses et des renseignements de sécurité. Aujourd’hui, la réalité est différente et les responsables du SOC ont vu les limites de ces solutions.
Les limites
Le retour sur investissement
Peut-être plus qu’ailleurs, dans la cybersécurité, le temps c’est de l’argent et l’efficacité d’une équipe de réponse aux incidents sera principalement liée à sa capacité à agir rapidement contre les cybermenaces. Dans ce contexte, la latence entre vos différents moteurs peut être un réel désavantage pour les équipes de sécurité. C’est pourquoi, au lieu de mesurer l’efficacité de votre système par le nombre d’événements traités par seconde, le « temps moyen de remédiation » et le « temps moyen d’identification » sont de bien meilleures preuves d’efficacité selon des experts de Microsoft.
Les faux positifs
Écrire des règles pour l’analyse de la sécurité n’est pas une tâche facile. Conçu pour permettre aux analystes d’examiner les données entrantes, la moindre erreur peut entraîner une grande quantité de faux positifs, qui empêchent les analystes d’enquêter. Le résultat est qu’au lieu de trouver des signaux utiles pour prévenir les menaces, de nombreux flux de renseignements sur les menaces se chevauchent souvent et provoquent plus d’inertie qu’ils n’en éliminent. Les responsables du SOC sont conscients que le problème vient d’un manque d’outils adéquats pour aider. Fondamentalement, nous sommes très bons pour identifier les modèles mais très mauvais pour remarquer les détails, surtout lorsque nous sommes submergés par des données similaires.
L’ennui et syndrome d’épuisement professionnel (bore-out) des SOC analystes
Sur le plan humain, le résultat est un bore-out de nombreux analystes du SOC. Submergé par une énorme quantité de données à examiner, il se tient à l’écart des tâches à valeur ajoutée de leur travail telles que la chasse aux menaces et l’investigation. De ce fait, de nombreux analystes se sentent sous-estimés et ont un manque de recul sur l’évolution du métier : ce qui peut entraîner une baisse de productivité et de vigilance. Sans surprise, les experts recommandent de libérer les analystes de la tâche la plus redondante du travail en leur fournissant des outils d’automatisation et d’orchestration, qui peuvent leur permettre de consacrer plus de temps à des tâches plus satisfaisantes. Le bore-out de l’analyste a une conséquence plus insidieuse pour l’organisation : le risque de voir des talents quitter l’organisation. Ce risque ne doit pas être négligé lorsque Forrester annonce une véritable pénurie de compétences avec jusqu’à 1,8 million d’emplois en cybersécurité non pourvus d’ici 2022.
Les défis de la collecte de données
Il n’est pas rare de voir le système SIEM être submergé par le volume de données. Comme expliqué dans la partie ci-dessus, ces événements pourraient même ne pas faire l’objet d’une enquête car les analystes sont également débordés.
Quelles sont les briques de sécurité de demain ?
Face aux changements tactiques incessants des attaquants, le SOC de demain devra anticiper la menace. Les entreprises se rendent compte qu’à un moment donné, elles seront compromises. La protection est essentielle, mais elle ne suffit pas. La clé pour prévenir une brèche importante est l’anticipation et la détection. Il doit être capable de détecter rapidement et avec précision et de pouvoir bloquer et nettoyer la menace.
Il devra mieux évaluer l’épisode à faible risque manqué par les solutions actuelles.
Accroître la contextualisation des incidents
De plus en plus de cybermenaces proviennent de sources inconnues, la collecte de données contextuelles est donc un point crucial pour évaluer le niveau de priorité d’un incident. Les analystes doivent gérer tellement d’alertes différentes qu’ils doivent hiérarchiser leur réponse. Les outils de renseignement sur les menaces permettent aux analystes d’approfondir leurs connaissances des menaces et de mieux comprendre les étapes de l’attaque. Tous les bons analystes SOC le savent : dans le renseignement sur les menaces, le contexte est la clé !
Valoriser vos effectifs à travers l’automatisation des SOC
Collecter toutes les données que vous pouvez n’a aucune valeur sans la capacité de les analyser. Les analystes doivent avoir le temps et la capacité d’enquêter et de se concentrer sur des tâches à plus forte valeur ajoutée.
Cela peut sembler paradoxal mais valoriser les personnes passera par l’automatisation des tâches à moindre valeur ajoutée. Tout l’objectif de l’automatisation est de gagner en vélocité, que ce soit dans la détection des incidents ou dans la contextualisation des menaces.
Là où les systèmes entièrement automatisés peuvent être inefficaces ou même dangereux, choisir les bons périmètres à automatiser dans votre stratégie de cyberdéfense pourrait être la solution !
S’il vous faut une raison de plus pour commencer à utiliser l’automatisation, les méchants le font déjà : très récemment, des chercheurs ont révélé deux outils qui automatisent les attaques de phishing !
Embrassez le “Machine Learning” dans votre SOC
La détection automatique des alertes et la surveillance enrichie deviennent incontournables. L’avenir est donc à l’analyste « augmenté ». Le besoin d’une intervention humaine réduite dans la détection est réel. D’autant plus que Forrester annonce une énorme pénurie de compétences en sécurité d’ici 2020. Par conséquent, l’accent de la courbe d’apprentissage des moteurs d’IA devrait être mis sur les activités de qualification, de contextualisation, de réponse et de remédiation.
Adoptez une sécurité basée sur le cloud
Au sein des entreprises, beaucoup d’équipes et de systèmes IT d’entreprises se tournent vers le cloud. La conduite de la sécurité par les analytics se développe également.
Nous parlons ici de plateformes permettant aux organisations de:
- Garder une longueur d’avance sur les cybermenaces en constante évolution.
- Remédier rapidement aux violations lorsqu’elles se produisent, tout en restant capables de se concentrer sur les besoins critiques de l’entreprise.
Vous avez besoin d’outils plus rapides pour donner à vos analystes, toutes les informations dont ils ont besoin en un minimum de temps. La latence est un vrai problème de sécurité.
La loi de « gravité des données », introduite depuis 10 ans, explique que, plus la masse de données est importante, plus y a d’inertie. Ainsi, ce n’est pas aux données d’aller vers le système, mais au système d’aller vers les data pour réduire les temps de réponse minimal.
Les fournisseurs et éditeurs de SOC devraient se concentrer sur la création de ces plateformes respectant la loi de gravité des données. Comme le prédit Gartner : « D’ici 2022, 50 % de tous les SOC se transformeront en SOC modernes avec des capacités intégrées de réponse aux incidents, de renseignements sur les menaces et de chasse aux menaces, contre moins de 10 % en 2015.»
Êtes-vous prêt à avoir un aperçu du SOC de demain ? Essayez Sekoia.io aujourd’hui !
Sur le blog, vous pouvez lire également :
- La Threat Intelligence n’est pas (seulement) sur un spectre
- XDR n’est pas un EDR++
- Le paysage des menaces ransomware observé par Sekoia.io durant le 1ᵉʳ semestre 2022
- Centralisation d’alertes d’EDR, nouvelles détections et trackers… les nouveautés de nov. 2021
- Un aperçu détaillé des opérations de Conti – Première partie
- Une guerre sur plusieurs fronts – le paysage turbulent de la cybercriminalité
- Pénuries de compétences en cybersécurité : 4 conseils pour y faire face
- Focus sur les cyberattaques ayant impacté les collectivités territoriales françaises en 2020
- Migrer votre sécurité dans le cloud ?
- Amélioration de la détection des menaces avec Sigma correlation