SOAR
Qu'est-ce que SOAR ?
L'orchestration, l'automatisation et la réponse en matière de sécurité, ou SOAR, est un ensemble de logiciels compatibles qui permet à une organisation de collecter des données sur les menaces de sécurité et de répondre aux événements de sécurité avec peu ou pas d'assistance humaine. L'objectif de l'utilisation d'une plateforme SOAR est d'améliorer l'efficacité des opérations de sécurité physique et numérique.
Les plateformes SOAR ont trois composantes principales : l'orchestration de la sécurité, l'automatisation de la sécurité et la réponse à la sécurité.
Orchestration de la sécurité
L'orchestration de la sécurité connecte et intègre des outils internes et externes disparates par le biais d'intégrations intégrées ou personnalisées et d'interfaces de programmation d'applications. Les systèmes connectés peuvent inclure des scanners de vulnérabilité, des produits de protection des points d'extrémité, des analyses du comportement des utilisateurs et des entités, des pare-feu, des systèmes de détection et de prévention des intrusions (IDS/IPS), des plateformes de gestion des informations et des événements de sécurité (SIEM), des logiciels de sécurité des points d'extrémité, des flux de renseignements sur les menaces externes et d'autres sources tierces.
Plus les données recueillies par ces sources sont nombreuses, plus les chances de détecter les menaces sont grandes, tout comme celles d'assembler un contexte plus complet et d'améliorer la collaboration. En contrepartie, il y a plus d'alertes et plus de données à ingérer et à analyser. Là où l'orchestration de la sécurité collecte et consolide les données pour lancer des fonctions de réponse, l'automatisation de la sécurité passe à l'action.
Automatisation de la sécurité
L'automatisation de la sécurité, alimentée par les données et les alertes collectées par l'orchestration de la sécurité, ingère et analyse les données et crée des processus répétés et automatisés pour remplacer les processus manuels. Les tâches précédemment effectuées par les analystes, telles que l'analyse des vulnérabilités, l'analyse des journaux, la vérification des tickets et les capacités d'audit, peuvent être standardisées et exécutées automatiquement par les plateformes SOAR. En utilisant l'intelligence artificielle (IA) et l'apprentissage automatique pour déchiffrer et adapter les informations fournies par les analystes, l'automatisation SOAR peut classer les menaces par ordre de priorité, formuler des recommandations et automatiser les réponses futures. Alternativement, l'automatisation peut élever les menaces si une intervention humaine est nécessaire.
Les playbooks sont essentiels à la réussite du programme SOAR. Les playbooks pré-construits ou personnalisés sont des actions automatisées prédéfinies. Il est possible de relier plusieurs carnets de jeu SOAR pour mener à bien des actions complexes. Par exemple, si une URL malveillante est trouvée dans le courrier électronique d'un employé et identifiée au cours d'une analyse, il est possible de mettre en place une procédure qui bloque le courrier électronique, avertit l'employé de la tentative potentielle d'hameçonnage et met l'adresse IP de l'expéditeur sur une liste de blocage. Les outils SOAR peuvent également déclencher des actions d'investigation de suivi par les équipes de sécurité, si nécessaire. En ce qui concerne l'exemple de l'hameçonnage, le suivi pourrait inclure la recherche de courriels similaires dans les boîtes de réception d'autres employés et le blocage de ces courriels et de leurs adresses IP, s'ils sont trouvés.
Réponse en matière de sécurité
La réponse de sécurité offre aux analystes une vue unique de la planification, de la gestion, du contrôle et du rapport des actions menées après la détection d'une menace. Cette vue unique permet la collaboration et le partage de renseignements sur les menaces entre les équipes chargées de la sécurité, du réseau et des systèmes. Elle inclut également les activités de réponse post-incident, telles que la gestion des cas et le reporting.
Avantages de SOAR
Les plateformes SOAR offrent de nombreux avantages aux équipes chargées des opérations de sécurité des entreprises (SecOps), notamment les suivants :
- Détection des incidents et temps de réaction plus rapides. Le volume et la vitesse des menaces et des événements de sécurité augmentent constamment. L'amélioration du contexte des données de SOAR, combinée à l'automatisation, peut réduire le temps moyen de détection, ou MTTD, et accélérer le temps moyen de réponse, ou MTTR. En détectant et en répondant aux menaces plus rapidement - grâce à des playbooks automatisés, lorsqu'ils sont disponibles - leurs effets peuvent être réduits.
- Meilleur contexte de menace. En intégrant davantage de données provenant d'un plus large éventail d'outils et de systèmes, les plateformes SOAR peuvent offrir un meilleur contexte, une meilleure analyse et des informations actualisées sur les menaces.
- Gestion simplifiée. Les plateformes SOAR consolident les tableaux de bord des différents systèmes de sécurité en une seule interface. Cela aide les SecOps et les autres équipes en centralisant l'information et le traitement des données, en simplifiant la gestion et en économisant du temps.
- Évolutivité. La mise à l'échelle de processus manuels fastidieux peut représenter un fardeau pour les employés, voire s'avérer impossible à gérer lorsque le volume d'événements de sécurité s'accroît. L'orchestration, l'automatisation et les flux de travail de SOAR permettent de répondre plus facilement aux demandes d'évolutivité.
- Productivité accrue des analystes. L'automatisation des menaces de bas niveau augmente les responsabilités des équipes SecOps et des centres d'opérations de sécurité, leur permettant de prioriser les tâches plus efficacement et de répondre plus rapidement aux menaces qui nécessitent une intervention humaine.
- Rationalisation des opérations. Les procédures standardisées et les playbooks qui automatisent les tâches de niveau inférieur permettent aux équipes SecOps de répondre à davantage de menaces dans le même laps de temps. Ces flux de travail automatisés garantissent également que les mêmes efforts de remédiation standardisés sont appliqués à l'échelle de l'organisation, dans tous les systèmes.
- Rapports et collaboration. Les rapports et analyses des plates-formes SOAR consolident rapidement les informations, ce qui permet d'améliorer les processus de gestion des données et les efforts de réponse pour mettre à jour les politiques et programmes de sécurité existants afin d'assurer une sécurité plus efficace. Le tableau de bord centralisé d'une plateforme SOAR peut également améliorer le partage de l'information entre les différentes équipes de l'entreprise, améliorant ainsi la communication et la collaboration.
- Réduction des coûts. Dans de nombreux cas, l'utilisation d'outils SOAR par les analystes de sécurité permet de réduire les coûts par rapport à la réalisation manuelle de tous les efforts d'analyse, de détection et de réponse aux menaces.
Quels sont les défis de SOAR ?
Le SOAR n'est pas une technologie miracle, ni un système autonome. Les plates-formes SOAR doivent faire partie d'une stratégie de défense en profondeur, d'autant plus qu'elles nécessitent l'apport d'autres systèmes de sécurité pour détecter les menaces avec succès.
SOAR est une technologie complémentaire, qui ne remplace pas les autres outils de sécurité. Les plateformes SOAR ne remplacent pas les analystes humains, mais peuvent au contraire renforcer leurs compétences et leurs flux de travail pour une détection et une réponse plus efficaces aux incidents.
Les autres inconvénients potentiels de SOAR sont les suivants :
- L'absence de remédiation à une stratégie de sécurité plus large.
- Des attentes contradictoires.
- Complexité de l'intégration.
- Complexité du déploiement et de la gestion.
- Absence ou limitation des mesures.
Capacités SOAR et cas d'utilisation
Le terme SOAR, inventé par Gartner en 2015, signifiait initialement security operations, analytics and reporting (opérations, analyses et rapports de sécurité). Il a été mis à jour sous sa forme actuelle en 2017, le Gartner définissant les trois principales capacités de SOAR comme suit :
- Technologies de gestion des menaces et des vulnérabilités qui permettent de remédier aux vulnérabilités, en fournissant des flux de travail formalisés, des rapports et des capacités de collaboration.
- Technologies de réponse aux incidents de sécurité qui soutiennent la manière dont une organisation planifie, gère, suit et coordonne la réponse à un incident de sécurité.
- Technologies d'automatisation des opérations de sécurité qui prennent en charge l'automatisation et l'orchestration des flux de travail, des processus, de l'exécution des politiques et de l'établissement de rapports.
Gartner a élargi la définition, en affinant la convergence technologique de SOAR comme suit :
- Les plateformes de réponse aux incidents de sécurité, qui comprennent des fonctionnalités telles que la gestion des vulnérabilités, la gestion des cas, la gestion des incidents, les flux de travail, la base de connaissances sur les incidents, les capacités d'audit et de journalisation, les rapports, etc.
- L'orchestration et l'automatisation de la sécurité, qui comprennent les intégrations, l'automatisation des flux de travail, les playbooks, la gestion des playbooks, la collecte de données, l'analyse des journaux et la gestion du cycle de vie des comptes.
- Les plateformes de renseignement sur les menaces, qui comprennent l'agrégation, l'analyse et la distribution de renseignements sur les menaces, l'enrichissement du contexte des alertes et la visualisation des renseignements sur les menaces.
Qu'est-ce que le SIEM ?
Distinctes des plates-formes SOAR, les plates-formes SIEM regroupent les données des journaux et des événements provenant de plusieurs outils, technologies et processus afin d'aider les organisations à détecter, analyser et répondre aux incidents de sécurité potentiels.
Le SIEM combine la gestion des informations de sécurité (SIM) et la gestion des événements de sécurité (SEM) en une seule plateforme. Les outils SIEM utilisent des agents de collecte pour recueillir des informations à partir d'appareils, de serveurs, d'infrastructures, de réseaux et de systèmes, ainsi que d'outils de sécurité tels que les pare-feu, les logiciels anti-malware, les serveurs DNS, les outils de prévention des pertes de données, les passerelles web sécurisées et les IDS/IPS. Les informations recueillies sont utilisées par les SIEM pour identifier les anomalies et les menaces potentielles. Les SIEM alertent ensuite les équipes de sécurité en cas d'événements de sécurité.
Les fonctionnalités du SIEM varient, mais la plupart comprennent la gestion des journaux, la corrélation des données, l'analyse, les tableaux de bord et les alertes.
SOAR vs. SIEM
Bien que les plateformes SOAR et SIEM rassemblent toutes deux des données provenant de sources multiples, les termes ne sont pas interchangeables. Les systèmes SIEM collectent des données, identifient les écarts, classent les menaces et génèrent des alertes. Les systèmes SOAR s'acquittent également de ces tâches, mais ils disposent de capacités supplémentaires. Tout d'abord, les plateformes SOAR s'intègrent à un plus grand nombre d'applications internes et externes, qu'elles soient ou non liées à la sécurité. Deuxièmement, alors que les systèmes SIEM ne font qu'alerter les analystes de la sécurité d'un événement potentiel, les plateformes SOAR utilisent l'automatisation, l'IA et l'apprentissage automatique pour fournir un meilleur contexte et des réponses automatisées à ces menaces.
De nombreuses entreprises utilisent le SOAR pour compléter leur logiciel SIEM interne. À l'avenir, les fournisseurs de SIEM devraient ajouter des fonctionnalités SOAR à leurs services, ce qui signifie que le marché de ces deux lignes de produits va fusionner. De nombreux fournisseurs de SIEM proposent des fonctionnalités SOAR - à savoir l'automatisation - dans leurs produits SIEM, qu'ils qualifient souvent de SIEM de nouvelle génération. D'autres produits, tels que les passerelles de sécurité pour le courrier électronique, les systèmes de détection et de réponse pour les points d'extrémité, les systèmes de détection et de réponse pour les réseaux et les systèmes de détection et de réponse étendus, sont également en train d'adopter des fonctionnalités SOAR.
Fournisseurs SOAR
Le guide du marché SOAR 2022 de Gartner fournit une liste de fournisseurs représentatifs et de leurs produits, dont les suivants :
- Anomali ThreatStream
- Centre virtuel de cyberfusion Cyware
- D3 Security NextGen SOAR
- Divo SOAR (anciennement LogicHub)
- Plate-forme EclecticIQ
- Fortinet FortiSOAR
- Google Cloud Chronicle Security Operations (anciennement Siemplify)
- Nid d'abeilles SOCAutomation
- IBM Security QRadar SOAR
- Logsign SOAR
- Plate-forme opérationnelle de sécurité intelligente NSFOCUS
- OpenText ArcSight (anciennement Micro Focus)
- Palo Alto Networks Cortex XSOAR
- QAX SOAR
- Rapid7 InsightConnect
- Revelstoke SOAR
- ServiceNow Security Operations
- SIRP SOAR
- Splunk SOAR
- Sumo Logic Cloud SOAR
- Turbine Swimlane
- ThreatConnect
- ThreatQuotient TDR Orchestrator
- Dents
- Couple