Qu'est-ce que SOAR ?
SOAR est l'abréviation de Security Orchestration, Automation, and Response.
Définition du SOAR
SOAR est un service basé sur le cloud conçu pour aider les entreprises à automatiser certains de leurs processus manuels, tels que la surveillance, les alertes, les enquêtes, les mesures correctives, les rapports et la conformité. Il fournit une visibilité en temps réel sur votre réseau et la détection des terminaux sur tous les appareils et applications.
Les plateformes SOAR sont un ensemble de solutions logicielles de sécurité qui peuvent être utilisées pour naviguer et collecter des données provenant de diverses sources.
Le terme a été créé à l'origine par Gartner, qui a défini les trois fonctionnalités d'une plateforme SOAR : la gestion des menaces et des vulnérabilités, la réponse aux incidents de sécurité et l'automatisation des opérations de sécurité. Le SOAR permet aux entreprises de collecter des données relatives aux menaces à partir de diverses sources et d'automatiser les réponses à ces menaces.
L'automatisation des opérations de sécurité (Automation) concerne les technologies qui permettent l'automatisation et l'orchestration au sein des opérations, tandis que la gestion des menaces et des vulnérabilités (Orchestration) couvre les technologies qui aident à modifier les cybermenaces. Les données sont analysées à l'aide d'une combinaison d'apprentissage humain et automatique afin de comprendre et de hiérarchiser les actions de réponse aux incidents.
« Le SOAR fait référence aux technologies qui permettent aux organisations de collecter des données surveillées par l'équipe des opérations de sécurité. Par exemple, les alertes provenant du système SIEM et d'autres technologies de sécurité permettant d'effectuer l'analyse et le triage des incidents en tirant parti de la puissance humaine et de la machine aident à définir, hiérarchiser et piloter des activités de réponse aux incidents standardisées. Les outils SOAR permettent à une organisation de définir des procédures d'analyse et de réponse aux incidents dans un format de flux de travail numérique. »
Principaux avantages de la technologie SOAR
Les opérations de sécurité peuvent représenter un défi constant pour toute organisation. C'est important pour la rapidité et l'efficacité, mais il peut être difficile de s'assurer que tout fonctionne correctement. Les analystes sont souvent dépassés par le volume d'alertes provenant de systèmes disparates. L'obtention et la corrélation des données nécessaires pour identifier les menaces potentielles peuvent demander du temps et des efforts. La résolution de ces menaces nécessite une coordination entre les différentes équipes au sein d'une organisation.
Le SOAR contribue à relever certains des défis associés aux mégadonnées en aidant les humains et les machines à analyser de grandes quantités de données, à réduire la fatigue liée aux alertes et à automatiser les processus de détection et de réponse.
SOAR, SIEM et XDR : quelle est la différence ?
Gartner définit le marché de la gestion des événements liés à la sécurité et à l'information (SIEM) en fonction de la nécessité pour le client d'analyser les données relatives aux événements en temps réel afin de détecter rapidement les attaques ciblées et les violations de données, et de collecter, stocker, étudier et rapporter les données des journaux à des fins de réponse aux incidents, d'investigation et de conformité réglementaire.
Les produits SIEM sont apparus pour la première fois en 2005, initialement motivés par les rapports de conformité et l'agrégation des données de journal générées par les applications, les terminaux et les périphériques réseau.
Bien que certains SIEM fournissent à la fois une gestion des informations de sécurité (SIM) et une gestion des événements de sécurité (SEM), ils offrent des capacités limitées de réponse aux incidents et de visualisation. Les SIEM analysent les données d'événements issues de technologies préventives, telles que les logiciels antivirus, les IDS et les pare-feux, ce qui rend difficile la détection d'attaques sophistiquées provenant de sources non corrélées. L'analyse des menaces était également souvent difficile et chronophage, en raison de processus et d'analyses manuels.
Les technologies SIEM de nouvelle génération ont ajouté la prise en charge de l'analyse des mégadonnées et de la détection d'événements en temps réel, ainsi que des plug-ins d'apprentissage automatique et d'analyse comportementale pour créer des modèles de référence pour les modèles de comportement normaux des utilisateurs et des appareils. Cela a permis d'identifier plus rapidement les problèmes de sécurité afin de réduire la période pendant laquelle les entreprises étaient vulnérables aux attaques.
Malgré les avancées, le volume considérable d'alertes provenant des plateformes SIEM surcharge encore les équipes de sécurité aujourd'hui, qui adoptent souvent des outils supplémentaires pour réduire les faux positifs et automatiser les réponses.
Entrez dans SOAR
Gartner définit l'orchestration, l'automatisation et la réponse en matière de sécurité (SOAR) comme des technologies qui permettent aux organisations de recueillir des informations provenant de diverses sources (principalement à partir de systèmes de gestion des informations et des événements de sécurité [SIEM]) et appliquez des flux de travail alignés sur les processus et les procédures.
Apparus pour la première fois en 2015, les outils SOAR (Security Operations Analytics Resource) ont été conçus pour aider à relever le défi du SIEWF, à savoir la fatigue liée aux alertes et aux événements et la pénurie mondiale de talents dans les opérations de sécurité, afin que les entreprises puissent déployer efficacement une solution SIEM. Leur objectif principal était d'enrichir les données sur les événements en fournissant un contexte supplémentaire pour chaque incident (par exemple, lieu, heure, type), ce qui leur permettrait de mieux identifier les incidents critiques et d'automatiser les réponses à ces événements. L'objectif était d'améliorer la sécurité en accélérant les mesures correctives et en intensifiant les menaces uniquement lorsqu'une intervention humaine était nécessaire.
Les outils SOAR utilisent différents types de données pour aider à identifier les menaces et à prévenir les attaques contre les organisations, ce qui nécessite une intégration avec d'autres outils de sécurité et le recours à des processus manuels tels que la définition de playbooks, des niveaux d'alerte personnalisés et des mesures de réponse aux incidents.
Le maintien de la visibilité sur l'ensemble d'un réseau continue de représenter un défi pour les équipes de sécurité, car l'infrastructure et les applications informatiques modernes ne cessent de croître. En outre, le recours à des solutions de sécurité cloisonnées proposées par les fournisseurs de plateformes SIEM et SOAR peut entraîner des alertes basées sur des informations incomplètes ou mal corrélées, ce qui peut entraîner des perturbations inutiles pour les systèmes et les utilisateurs.
Entrez XDR
Selon le cabinet d'analyse Gartner, Détection et réponse étendues (XDR) est »un outil SaaS de détection des menaces de sécurité et de réponse aux incidents, spécifique au fournisseur, qui intègre de manière native plusieurs produits de sécurité dans un système d'opérations de sécurité cohérent qui unifie tous les composants sous licence. »
Afin d'améliorer la détection des menaces et le temps de réponse aux incidents, les fournisseurs de solutions de sécurité développent de nouvelles technologies appelées « XDR » (rapports dynamiques étendus). L'objectif de XDR est d'aider les entreprises à détecter les attaques en corrélant leurs données de sécurité et en les alertant lorsqu'une anomalie se produit. XDR combine une gamme d'outils d'investigation et d'analyses comportementales en mettant l'accent sur la détection avancée des menaces et des réponses personnalisées pour une meilleure défense contre la cybercriminalité.
Bien que les outils SIEM de dernière génération puissent offrir des fonctionnalités XDR, ils sont souvent, comme les plateformes SOAR, des modules complémentaires et des plug-ins qui nécessitent une configuration et un réglage. Cependant, XDR ne possède pas les fonctionnalités de journalisation, de conservation et de conformité des SIEM, ce qui signifie qu'il est important d'en trouver un qui s'intègre aux contrôles de sécurité existants ou qui propose une architecture ouverte.
Les entreprises peuvent choisir entre le déploiement de plusieurs ensembles de produits ou une seule suite de produits consolidée pour leurs besoins en matière d'opérations de sécurité. Quelle que soit la voie qu'ils empruntent, ils auront besoin d'une intégration, d'une configuration et d'ajustements pour détecter les incidents de sécurité et y répondre de manière efficace et efficiente.
SOAR + Renseignements sur les menaces
L'objectif des outils de sécurité est de voir, de relier et de traiter les incidents en un seul endroit. Malheureusement, la collecte et la corrélation de données provenant de tous ces outils disparates peuvent être extrêmement bruyantes.
Comprendre ce qui se passe au sein de votre propre réseau interne nécessite une automatisation et une orchestration. Mais qu'en est-il des menaces extérieures à votre réseau ? Un contexte externe est nécessaire pour corréler et enrichir les données du réseau à l'aide de renseignements sur les menaces, afin de contribuer à la défense contre les menaces potentielles.
Les solutions SOAR ont besoin d'une technologie comme plateforme de renseignement sur les menaces (TIP) qui rassemble, normalise et met en corrélation automatiquement les données avec de multiples sources de renseignement sur les menaces afin qu'un seul flux puisse être produit. Cette capacité de renseignement sur les menaces doit faire partie intégrante du processus d'automatisation afin de garantir qu'une plateforme SOAR utilise les données de manière efficace pour exécuter les bonnes actions de réponse.
Les défis du SOAR
Comme le souligne Gartner, le principal obstacle à l'adoption de la sécurité SOAR reste le manque, ou la faible maturité, des processus et des procédures au sein des équipes SOC. C'est pourquoi il est essentiel de bénéficier des conseils d'experts lors de la planification de la mise en œuvre du SOAR.
Gartner, Guide du marché pour les solutions d'orchestration, d'automatisation et de réponse de sécurité, 21 septembre 2020