4 cas d’utilisation pour ServiceNow SecOps – VR, SIR et TI

Dans un monde où les cyber-violations font la une des journaux, la cybersécurité est plus importante que jamais. Selon le Ponemon Institute et IBM, le coût moyen d’une violation de données en 2022 est de 4,35 millions de dollars US, et il faut en moyenne 277 jours pour identifier et contenir une violation. Bien qu’une violation de données puisse se produire de nombreuses façons, les plus courantes sont le phishing, la compromission des e-mails, la vulnérabilité logicielle, les informations d’identification compromises et les menaces internes.

Qu’est-ce que ServiceNow SecOps ?

La protection des données est facile avec ServiceNow Security Operations (SecOps). Ce produit comprend des mesures proactives et réactives et une foule de 3^rd ressources de renseignements sur les menaces des parties. Les mesures proactives incluent la réponse aux vulnérabilités (RV) et la conformité de la configuration. Les mesures réactives comprennent la réponse aux incidents de sécurité (SIR). ServiceNow SecOps s’intègre de manière transparente à d’autres produits et fonctionnalités de sécurité tels que les outils de contrôle de la sécurité.

Pourquoi ServiceNow SecOps ?

• Fournit une source unique de vérité et un système d’action pour résoudre
• L’intégration entre les équipes informatiques et de sécurité pour SIR/VR améliore la communication, augmente la visibilité et réduit le temps de résolution

Pourquoi avons-nous besoin de SecOps ?

• 60% des violations sont dues à des vulnérabilités non corrigées
• Les outils/équipes de sécurité sont dans des silos déconnectés. Par exemple, informatique, sécurité, service d’assistance et GRC
• Les problèmes sont aggravés par divers facteurs tels que les personnes, les processus, les partenaires et la technologie.
• SecOps manuelle basée sur les e-mails, les appels, les SMS et les feuilles de calcul
• Il faut des semaines pour résoudre ou atténuer un incident de sécurité/vulnérabilité

A qui profite la solution ?

• De nombreuses personnes à travers l’entreprise, y compris les cadres de la suite C, les utilisateurs finaux, l’informatique, la sécurité, le service desk, le GRC, les RH et les équipes juridiques.

Quelles valeurs ServiceNow SecOps apporte-t-il à la table ?

• Une plateforme ServiceNow unique pour toutes les applications et intégrations SecOps
• Automatisation et orchestration pour rationaliser les processus et gagner du temps pour une meilleure responsabilisation et des SLA
• Réduction du temps SIR ou VR de semaines à heures
• Les équipes informatiques, de sécurité, de service d’assistance et de GRC travaillent ensemble de manière transparente
• Tableaux de bord et rapports riches pour une meilleure gouvernance et visibilité

Cas d’utilisation de ServiceNow SecOps

ServiceNow SecOps est un outil puissant doté de nombreuses fonctionnalités. Pour voir comment ServiceNow SecOps pourrait protéger votre entreprise, nous avons décrit quelques cas d’utilisation (UC) ci-dessous.

UC #1 : Incident de sécurité signalé par l’utilisateur — Manuel SIR

Les utilisateurs vigilants sont la première ligne de défense d’une organisation ! Ils peuvent signaler des bizarreries à l’aide du catalogue des incidents de sécurité. Un e-mail de phishing peut être signalé via le plugin Outlook « Report Phishing », Wombat. Pour chaque catégorie d’incident de sécurité, le playbook SIR peut être orchestré couvrant l’ensemble du SDLC (c’est-à-dire NIST) – Préparation ; Détection & Analyse ; Confinement, éradication et récupération, et activité post-incident.

UC #2 : Vulnérabilité de l’infrastructureréponse (IVR) et Réponse à la vulnérabilité des applications (AVR)

Le scanner (Qualys, Tenable ou Rapid 7) peut être intégré à ServiceNow VR pour analyser l’environnement et créer des éléments vulnérables (VI). IVR gère les vulnérabilités sur les actifs en réseau, y compris les serveurs et les périphériques réseau.

Le scanner (Veracode ou Fortify) peut analyser l’environnement et créer des éléments vulnérables d’application (AVI). AVR gère les vulnérabilités dans les applications développées sur mesure ou 3^rd logiciel de fête. En tirant parti de la gestion des actifs logiciels, l’évaluation de l’exposition logicielle peut être utilisée pour créer des AVI et des tâches de correction de manière proactive.

Vulnerability Solution Management corrèle votre exposition aux vulnérabilités avec les solutions Microsoft Security Response Center (MSRC) et Red Hat pour les activités de correction et surveille leur achèvement.

UC #3 : Automatisation et Orchestration

Renseignements sur les menaces (TI): les données TI pertinentes peuvent être importées directement dans le SIR et le VR pour permettre aux analystes de sécurité de prendre des décisions, réduisant leur besoin d’effectuer des recherches manuelles et libérant leur attention pour comprendre la profondeur de l’incident de sécurité.

Recherche d’observation: recherche dans divers SIEM ou autres fichiers journaux des instances d’observables afin de déterminer la présence d’IOC malveillants dans votre environnement.

Enrichissement des incidents: Enrichir les éléments de configuration (CI) ou les observables avec des informations supplémentaires provenant de différentes sources lors des enquêtes SIR.

• Obtenir les statistiques du réseau: Récupère les connexions réseau actives à partir d’un point de terminaison/hôte
• Obtenir les processus en cours d’exécution: Récupère les processus en cours d’exécution à partir d’un point de terminaison/hôte

Confinement/Éradication:

• Bloquer/débloquer les observables sur le pare-feu, le proxy Web ou d’autres points de contrôle
• Isoler/points finaux ou hôtes associés à un incident de sécurité
• Recherchez un serveur de messagerie et supprimez les e-mails du serveur.

UC #4 : Rapports et analyses SIR/VR

ServiceNow SecOps fournit des tableaux de bord, des analyses et des rapports riches pour différentes personnes telles que les CIO/CISO, les responsables de la sécurité et les analystes. D’autres rapports et analyses prêts à l’emploi ou personnalisés sont disponibles. La visibilité est définie par les contrôles d’accès.

• Tableaux de bord d’efficacité des opérations de sécurité
  • Efficacité de l’analyse – combien d’incidents ouverts ou fermés par analyste ?
  • Efficacité de la détection et de la réponse – incidents de sécurité faux/vrais positifs, analyse des incidents de sécurité en retard/fermés
  • Analyse de l’étape de l’incident de sécurité – combien sont dans les étapes de brouillon/analyse/…/révision ?
• Explorateur d’incidents de sécurité
  • Clôture des incidents de sécurité par priorité
  • Incident de sécurité par catégorie d’attaque
  • Carte des incidents de sécurité – fournit l’emplacement des incidents dans le monde entier
• Tableaux de bord de gestion des vulnérabilités
  • Éléments vulnérables par statut de cible de correction
  • Articles vulnérables différés expirant cette semaine
  • Objet vulnérable par âge

Si vous souhaitez en savoir plus sur notre pratique ServiceNow et nos capacités ServiceNow SecOps, atteindre!