Ces entreprises jouant l’automatisation et l’orchestration pour combler leurs lacunes de sécurité
Des experts se prononcent sur l'importance et les avantages de l'automatisation de la sécurité et soulignent les facteurs à prendre en compte avant de mettre en œuvre les outils SOAR.
Les professionnels de la sécurité ont du mal à suivre les évolutions constantes et rapides du paysage des menaces. Et cela d’autant plus qu'ils continuent de faire face à une surcharge d'alertes de sécurité et à une pénurie de compétences. Mais plusieurs experts estiment que le déploiement d'outils d'orchestration, d'automatisation et de réponse peut aider à simplifier et améliorer les processus quotidiens.
Gartner définit le SOAR comme un ensemble de « technologies qui permettent aux entreprises de collecter des données et des alertes sur les menaces à partir de différentes sources, où l'analyse et le tri des incidents peuvent être effectués en combinant la puissance humaine et celle des machines pour définir, hiérarchiser et piloter des activités standardisées de réponse aux incidents selon un workflow standard ». Pour les entreprises comptant cinq professionnels de la sécurité ou plus, le cabinet prévoit que le taux d'adoption des systèmes d’automatisation et d’orchestration de la sécurité passera de 1 % à 15 % d'ici 2020.
Les recherches de l’Enterprise Strategy Group (ESG) mettent en avant des taux d'adoption encore plus élevés. A l’occasion d’un sondage mené l'an dernier, l’ESG a constaté que 19 % des entreprises avaient déployé une technologie d'automatisation des opérations et d'orchestration « à grande échelle », tandis que 39 % des répondants avaient indiqué un déploiement sur « une base limitée ».
La plupart des entreprises recevant plus de 10 000 alertes par jour - selon les données d'une enquête RSA 2018 - il est impossible pour les équipes de sécurité d'examiner toutes ces alertes. Ce volume élevé et la nécessité d'effectuer la détection en plusieurs étapes suffiraient à alimenter les outils SOAR, mais il y a autre chose, relève Augusto Barros, analyste chez Gartner : « nous avons également besoin de temps de réaction plus rapides ; nous ne pouvons pas nous permettre des enquêtes qui prennent des heures ou des jours, car les incidents peuvent causer beaucoup de dégâts en quelques minutes. Il n'est possible d'améliorer le temps de réponse que si l’on ne fait pas tout manuellement. Le SOAR peut apporter l'échelle d'automatisation nécessaire au triage, à la détection sur plusieurs niveaux et à la réduction des temps de réponse ».
John Grigg, ingénieur services professionnels chez Swimlane, résume la situation, pour un professionnel de la sécurité : « j’ai reçu une alerte. Ce veut dire quoi ? » Alors pour lui, le SOAR « aide parce qu’une fois que les processus sont en place pour répondre à la question ‘et alors ?’, il est possible de définir un playbook pour automatiser une part importante de ce qui incombe à l’analyste, lorsque tombe l’alerte, sinon tout. De quoi aussi établir s’il s’agit d’une alarme ou d’une anomalie significative ».
Automatiser des tâches de sécurité
Bien que l'automatisation présente une énorme valeur ajoutée pour les responsables de la sécurité – elle permet de gagner du temps en automatisant des processus répétitifs et manuels –, elle n’est pas forcément compliquée, estime Scott King, directeur principal des services de conseil stratégique chez Rapid7.
L'automatisation des tâches de sécurité peut être aussi simple que l'élaboration d'un script personnalisé permettant de recueillir régulièrement des informations, afin qu'un analyste puisse avoir plus de temps pour résoudre ou comprendre une alerte particulière, relevait ainsi Scott King lors d’un webinaire de l’Issa.
Augusto BarrosAnalyste chez Gartner
Pour lui, la mise en œuvre des outils SOAR doit être l’occasion, pour les responsables de la sécurité, d’évaluer les compétences et les technologies en place, ainsi que les principaux défis auxquels les équipes de sécurité sont confrontées.
Michael Wylie, directeur des services de cybersécurité chez Richey May Technology Solutions, conseille pour sa part de trouver des moyens d'enrichir ses données afin de prendre de meilleures décisions, de définir leurs processus et de choisir ceux qui peuvent être automatisés. La mise en œuvre d'outils de SOAR pour examiner les courriels d'hameçonnage, par exemple, peut aider à répondre à ces courriels plus rapidement : « la capacité à interpréter ces courriels.... à répondre à certains types d'actions ou de demandes adressées au SOC, etc. », souligne S. King.
Automatiser l’IAM
La gestion des identités et des accès (IAM) est un autre domaine qui est mûr pour l'automatisation, selon Jason Winder, associé directeur chez Aerstone Labs : « lorsque j’interviens dans de très grandes entreprises, même sophistiquées, je vois typiquement un ensemble de scripts très byzantins qui exigent souvent beaucoup de traitement manuel ». Et il y a une bonne raison à cela : « nous observons beaucoup d'applications locales… dont beaucoup souffrent d’importantes lacunes, soit au niveau de la sécurité, soit au niveau du fonctionnel. Et même si un système de COTS [« commercial off-the-shelf »] a été acheté, il n'est souvent pas mis en œuvre aussi largement qu'il pourrait l'être et s’avère mal intégré avec le reste de l'entreprise et ses applications ».
Avant de choisir et de déployer un logiciel pour l'automatisation de l'IAM, pour Jason Winder, il est important de prendre en compte les trois éléments essentiels : les règles de fonctionnement de l'organisation, les communautés d'utilisateurs réelles et leurs cas d'utilisation pour l'authentification et l'autorisation, ainsi que les contraintes spécifiques aux différents systèmes d'entreprise. Ainsi, « la meilleure approche consiste à commencer par les applications qui perturbent le moins l'entreprise. Il faut essayer de planifier un plan de déploiement graduel et ciblé qui, en fin de compte, n'entraîne pas le blocage de l'entreprise, mais qui commence déjà à porter ses fruits à mesure que l’on avance ».
Défis associés à la mise en œuvre du SOAR
Augusto Barros souligne deux difficultés associées à la mise en œuvre d’un outil de SOAR : l'intégration des processus et des outils. Un outil de SOAR est essentiellement un outil d'automatisation des processus et sans processus en place, il n'y a rien à automatiser, relève-t-il. De nombreuses organisations qui ont des opérations de sécurité ad hoc sans processus établis pensent qu'elles peuvent éviter de régler ces problèmes en achetant des outils SOAR, ajoute-t-il.
Mais « la résolution de ces problèmes est une condition préalable. Si l’on ne sait pas comment l’on réagit aux incidents, on ne sait pas quels "playbooks" créer sur l'outil ou à quoi ils ressembleront. Un contenu prêt à l'emploi peut donner des idées, mais ce n'est pas quelque chose que l’on peut utiliser immédiatement ».
Et puis il faut connecter ses outils et services à l’outil de SOAR. La partie orchestration du SOAR implique de faire appel à de nombreuses technologies et services différents. Bien que les API puissent faciliter l'intégration, il n’en existe pas moins de réels défis : « tout d'abord, certaines intégrations pré-établiées peuvent ne pas fournir toutes les capacités souhaitées... et les APIs changent régulièrement, donc les intégrations fournies par l’éditeur de SOAR peuvent cesser de fonctionner après la mise à jour d'un outil ».
Dès lors, pour Augusto Barros, les organisations qui tirent le meilleur parti du déploiement d’un outil SOAR sont celles qui ont conscience de ces défis et conservent les ressources ayant les compétences nécessaires pour développer et maintenir les intégrations.
Investir dans l'automatisation de la sécurité semble être un jeu d'enfant pour la plupart des entreprises ; cependant, du point de vue d'un analyste, les flux de travail dérivés des technologies d'automatisation peuvent être considérés comme restrictifs, laissant peu de place à la réflexion créative. C'est ce qu'affirme Rebekah Wilke, directrice de la stratégie commerciale chez Swimlane : « suivre des workflows et des playbooks prédéfinis, a le potentiel d'écraser les curiosités poussant un analyste sur la voie de la notation d'un comportement anormal ou d’une menace avancée persistante, qui pourrait conduire à de gros gains pour l'équipe de sécurité ».