Comment choisir une solution SOAR

SOAR (Security Orchestration, Automation and Response) est considéré comme la solution emblématique de la prochaine génération de SOC et constitue également un mécanisme clé pour améliorer l'efficacité des opérations de sécurité.

Comme nous le savons tous, l'objectif du SOC de nouvelle génération est d'améliorer les capacités de détection et de réponse. Cependant, la réalité montre que l'équipe opérationnelle du SOC est confrontée à une pression énorme, que le taux de fausses alarmes continue d'augmenter et que le temps de réponse moyen (MTTR) est toujours difficile à améliorer. Par conséquent, le secteur de la sécurité et les équipes de sécurité des entreprises placent de grands espoirs dans les solutions SOAR, espérant améliorer considérablement l'efficacité du SOC dans la détection et la réponse aux menaces grâce au déploiement de SOAR.

La Partie A doit comprendre que si elle ne parvient pas à mettre en œuvre correctement les solutions SOAR, elle sera confrontée à de nouveaux défis. Sans une planification appropriée, les entreprises qui adoptent des outils d’automatisation de la sécurité peuvent être victimes de faux pas courants qui peuvent rapidement entraîner une efficacité réduite et une mauvaise posture de sécurité.

En bref, les entreprises doivent prendre en compte de nombreux facteurs lors du choix d'une solution SOAR appropriée. Voici les idées et suggestions données par plusieurs experts en sécurité étrangers sur la sélection SOAR :

Rishi Bhargava, vice-président de la stratégie produit chez Palo Alto Networks

La mise en œuvre des solutions SOAR ne passe pas simplement du "manque" à "l'avoir " processus. Les entreprises doivent évaluer leurs processus existants et leurs piles d'outils de sécurité, puis choisir une approche de déploiement appropriée.

• L'écosystème est essentiel : les solutions SOAR doivent pouvoir s'intégrer aux outils des fournisseurs que vous utilisez actuellement. Des options de développement interne ou d’intégration personnalisée doivent être proposées. Une solution SOAR fiable doit pouvoir suivre le développement de l’entreprise et être continuellement améliorée. Intégrez parfaitement les processus de détection, d’enrichissement et d’exécution et les outils associés.

• Puissantes capacités de gestion des tickets et des cas : la réponse aux incidents commence et se termine rarement par l'automatisation. Les analystes sont toujours impliqués dans les enquêtes sur les incidents. Demandez au fournisseur : votre plateforme SOAR offre-t-elle une gestion native des cas ou est-elle intégrée aux outils associés ? Pouvez-vous reconstruire les chronologies des incidents ? Pouvez-vous facilement personnaliser les scénarios sans beaucoup de codage ?

• Gestion intégrée des renseignements sur les menaces : menace manuelle ? Les workflows de renseignement prennent du temps et ne sont pas évolutifs. L'automatisation intégrée de la gestion des renseignements sur les menaces réduira donc considérablement votre temps de réponse moyen.

• Déploiement flexible : la plate-forme SOAR doit prendre en charge le déploiement local et le déploiement hébergé dans le cloud. Pour les environnements distribués, recherchez-en un qui évolue et prend en charge un environnement entièrement multi-tenant.

Peu importe où vous en êtes dans la sélection ou la mise en œuvre de SOAR, les considérations ci-dessus garantiront que votre organisation est sur la meilleure voie.

Chef de produit Micro Focus SecOps GamzeBingöl

L'objectif fondamental des solutions SOAR est d'aider le personnel de sécurité à améliorer sa capacité à détecter et à répondre aux cybermenaces grâce à la technologie d'automatisation et d'orchestration.

• En éliminant les faux positifs et en automatisant les activités répétitives, les capacités d'automatisation SOAR de Cyber ​​​​Security Automation sont capables de gérer automatiquement la plupart des menaces. Utilisez SOAR pour automatiser les tâches chronophages et répétitives, donnant ainsi aux analystes plus de temps pour se concentrer sur les cas qui nécessitent une intervention humaine.

• Les fonctionnalités prêtes à l’emploi de SOAR doivent être des plans automatiques basés sur des scénarios et prêts à l’emploi. Les plans prêts à l'emploi aident les équipes à réduire les temps de réponse de quelques heures à quelques minutes et à augmenter la productivité des analystes.

• Les ensembles d'outils intégrés sont plus utiles que les outils de sécurité isolés car ils se complètent. Un aspect important de SOAR est qu'il doit s'intégrer aux solutions de sécurité, à l'infrastructure informatique et aux technologies existantes de l'entreprise, et agir comme un environnement de sécurité complet en améliorant la collaboration et en orchestrant tous les éléments comme s'ils faisaient tous partie de la même solution. hub centralisé.

• KPI et mesures : les rapports détaillés de SOAR sur les cas et les analystes peuvent aider les gestionnaires à comprendre les événements historiques et à mieux planifier les orientations futures.

Richard Cassidy, directeur principal de la stratégie de sécurité, EMEA, Exabeam

Les solutions SOAR devraient permettre aux équipes d'automatiser le processus d'identification et de réponse sur des flux de données vastes et diversifiés, permettant ainsi la priorisation des menaces et des vulnérabilités. Presque transparente et bien plus encore. efficace dans les opérations de sécurité.

S'ils sont correctement mis en œuvre, les centres d'opérations de sécurité (SOC) peuvent bénéficier des solutions SOAR, les aidant à répondre aux menaces plus rapidement et plus efficacement.

L'intégration de SOAR à d'autres outils de sécurité, tels que la gestion des informations et des événements de sécurité (SIEM), peut transformer les résultats commerciaux et techniques des équipes SOC grâce à l'automatisation tout en améliorant l'efficacité.

Les entreprises peuvent utiliser SOAR pour améliorer les capacités du SIEM afin de fournir des solutions complètes. SIEM collecte et stocke les données d'une manière utile que SOAR peut utiliser pour automatiser les enquêtes et les réponses aux incidents et réduire le besoin d'opérations manuelles.

Et, pour le plus grand défi des équipes SOC à ce jour : les faux positifs, les solutions SOAR peuvent aider à collecter des informations, à hiérarchiser et à consolider les alertes en double pour réduire le nombre de faux positifs.

Cody Cornell Directeur de la stratégie, Swinlane

Lorsqu'elles envisagent des solutions SOAR, les entreprises doivent réfléchir sous deux angles : quel est le problème que l'automatisation des opérations de sécurité doit résoudre et quelles sont les exigences ? Comment l'automatisation sera-t-elle exploitée à l'avenir

Souvent, les outils que vous utilisez ou ? contre vos adversaires Les stratégies sont dynamiques et non statiques. Par conséquent, vous devez choisir des solutions qui peuvent être rapidement intégrées et mises à l'échelle rapidement, non seulement pour répondre aux besoins d'aujourd'hui, mais également pour répondre aux besoins de demain.

Deuxièmement, lorsque vous examinez l'évolution des techniques des attaquants, pensez-vous que les attaquants adopteront également l'automatisation ? En fait, les attaquants n'utilisent pas seulement l'automatisation pour exécuter des analyses, mais ils utilisent également des méthodes DevOps pour construire une base unique pour chaque attaque ? architecture cible.

Si cela continue, vous aurez besoin d'une plate-forme automatisée capable de tracer et d'enquêter sur les indicateurs de compromission (IOC) et d'autres renseignements dans les cas et les alertes sans intervention humaine.

Matthias Maier, Splunk Security Evangelist

Il y a quelques critères différents que vous devez prendre en compte lors du choix d'une plateforme SOAR, et lesquels utiliser :

(1) Compétences de base

Les utilisateurs peuvent facilement les identifier comme étant essentielles éléments constitutifs d’une plate-forme et de fonctionnalités SOAR. Certains des composants importants, tels que l'orchestrateur, sont chargés de diriger et de superviser toutes les activités liées à une solution de sécurité donnée. Il est essentiel que l'orchestrateur utilise de manière optimale les ressources disponibles. L'autre est le moteur d'automatisation. Étant donné que les tâches automatisées s’exécutent de manière indépendante et ne nécessitent en grande partie aucune intervention humaine, des propriétés telles que l’évolutivité et l’extensibilité de la plateforme sont des critères importants à prendre en compte. La gestion des cas et des programmes doit également être prise en compte.

(2) Attributs de la plateforme

Il s'agit d'une norme qualitative. Ces critères peuvent être évalués plus fréquemment par l’observation et l’interaction avec la plateforme. La plateforme SOAR doit prendre en charge un modèle communautaire solide et faciliter le partage d'intégrations d'applications et de playbooks. Il est également important de comprendre comment la plateforme SOAR évolue verticalement et horizontalement. Au fur et à mesure que des cas d'utilisation seront ajoutés au fil du temps, une charge de traitement supplémentaire sera ajoutée à la plateforme. Une plateforme ouverte, adaptée aux appareils mobiles et facile à utiliser est également un facteur clé.

(3) Considérations commerciales

Les services à valeur ajoutée fournis par l'entreprise comprennent des projets conçus pour améliorer sa technologie de base, tels que la formation et le support. Quelle que soit la qualité de la technologie de base d'une entreprise, des facteurs autres que le produit, traditionnellement considérés comme ayant un impact significatif sur le processus décisionnel d'un acheteur, nécessitent une attention particulière.

Faiz Ahmad Shuja, PDG, SIRP

Une étude a révélé que les experts en sécurité reçoivent en moyenne 840 alertes de sécurité chaque jour. Étant donné que l’investigation manuelle de la plupart des alertes prend environ 15 à 30 minutes, il s’agit d’une tâche presque impossible pour toute équipe de sécurité.

Automatiser autant de charges de travail que possible permettra aux équipes de sécurité de suivre le rythme et de garantir que les menaces importantes ne soient pas négligées, et la plateforme SOAR est l'une des solutions les plus efficaces.

L'étape la plus importante pour réussir l'intégration de SOAR est de fournir une documentation fiable pour tous les processus de sécurité. Pour tous les processus majeurs, un manuel de réponse bien développé est requis. Par exemple, si un e-mail de phishing potentiel est détecté, la réponse peut inclure une enquête sur l'adresse de l'expéditeur et la détection de signes d'usurpation d'identité, les scores de réputation de toutes les URL et la détection de scripts malveillants. Une fois tous ces processus enregistrés, la plateforme SOAR peut commencer à les exécuter automatiquement.

De plus, les organisations doivent s'assurer que la plateforme SOAR qu'elles choisissent possède de solides capacités d'intégration. Cette plate-forme devra s'intégrer de manière transparente à leur solution SIEM existante et se connecter à d'autres solutions de sécurité et à une infrastructure informatique plus large.

Amos Stern, PDG de Siemplify

L'orchestration, l'automatisation et la réponse de la sécurité peuvent résoudre certains des défis les plus frustrants auxquels les équipes de sécurité sont confrontées depuis des lustres.

La bonne plateforme SOAR, associée à une bonne mise en œuvre, peut aider à réduire la surcharge d'alertes, à rassembler les nombreux outils de détection différents utilisés par une organisation et à créer des processus automatisés et reproductibles pour réduire les temps de réponse tout en permettant aux analystes de sécurité de se libérer des tâches fastidieuses et travail manuel souvent fastidieux. Leur permettre de se concentrer sur des tâches à forte valeur ajoutée, comme la chasse aux menaces et la construction d'une infrastructure de sécurité plus résiliente.

Réécrivez cette phrase comme suit : L'objectif principal est d'intégrer divers outils de détection tiers, d'obtenir des alertes et d'automatiser les flux de travail à l'aide d'API natives.

Cependant, les meilleurs SOAR peuvent servir d’établi centralisé. Pensez comme Salesforce, cela s'applique également aux analystes SOC. La solution SOAR que vous devriez rechercher doit avoir les fonctionnalités avancées suivantes :

• Gestion des cas (en particulier la possibilité de regrouper les alertes contextuellement pertinentes)

• Renseignements sur les menaces intégrés ;

• Collaboration (en particulier ; dans le nouvel environnement de travail à distance);

• Tableaux de bord et KPI (pour fournir de la visibilité et des informations)

• Gestion de crise (escalade) pour une réponse inter-organisationnelle en cas d'incident majeur) ;

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!