Ce que les dirigeants devraient savoir sur SOAR

Inventé en 2015 et plus tard mis à jour en 2017 par GartnerSOAR (Security Orchestration, Automation, and Response) décrit une plate-forme conçue pour orchestrer la réponse aux incidents, en tirant parti des processus automatisés conçus dans la cartographie des arbres de décision, généralement appelés playbooks.

La valeur d’une plateforme SOAR réside dans l’amélioration de la précision, de la rapidité et de la profondeur des données permettant de répondre à la litanie d’incidents auxquels les équipes opérationnelles (en particulier les opérations de sécurité) sont constamment confrontées. Pour concrétiser ces valeurs, la plupart des plateformes SOAR s’appuient sur les playbooks mentionnés ci-dessus.

Ces playbooks contiennent une liste de toutes les tâches, données et implications environnantes nécessaires pour répondre à un type spécifique d’incident, qui peuvent ensuite être automatisées autant que possible pour les tâches de routine. Cela inclut (mais sans s’y limiter) les éléments suivants :

• Créez un ticket.
• Rassemblez les données préliminaires dans un référentiel unique.
• Informer les parties concernées.
• Comparez l’incident aux attaques connues.
• Pause pour la saisie de l’utilisateur.

Comment est né SOAR ?

Gartner® a créé le terme « SOAR » à une époque où l’énorme croissance de la virtualisation, de la conteneurisation, du « as a service » et du cloud atteignait vraiment son plein essor en matière d’automatisation de la croissance. Cela a apporté d’énormes quantités de données, actifs, applications et services dans une entreprise, ce qui engendre le besoin de tout sécuriser. SOAR était le concept qui cherchait à apporter une croissance de l’automatisation à ce besoin de couverture de sécurité en expansion explosive.

Pourquoi est-ce important en cybersécurité ?

Les concepts de SOAR sont conçus pour atténuer un problème croissant auquel les programmes de sécurité sont continuellement confrontés à mesure que les entreprises qu’ils servent se développent : la surcharge d’événements et d’incidents.

Cette douleur vient du besoin d’analyser n’importe quel événement pour vérifier tout niveau d’impact ou de préoccupation pour l’entreprise. Lorsque les humains doivent gérer manuellement les révisions d’événements, le nombre maximum d’événements gérables est relativement faible et coûteux, tout en étant incapable de suivre le rythme de la capacité de la technologie à se développer et à créer davantage d’événements nécessitant une révision.

Quelle est la signification de ce mot à la mode SOAR ?

De loin, l’affirmation la plus flagrante de SOAR est qu’il s’agit du « seul » outil dont une entreprise a besoin pour gérer sa sécurité. Cela vient généralement de l’enthousiasme suscité par ce qu’une plateforme SOAR apporte à la sécurité d’une entreprise et d’un manque de compréhension et d’appréciation de la façon dont une plateforme SOAR est codépendante de tous les autres outils inclus dans une stratégie de sécurité.

Une autre affirmation intéressante est que « n’importe quel processus programmatique peut être réalisé via SOAR », ce qui n’est pas faux en soi, il manque simplement le focus ou le « S »/sécurité et devient OAR. Ce manque de concentration crée des problèmes de mise à l’échelle et des problèmes écrasants à mesure que la quantité d’intégration, de traitement, de personnalisation et de maintenance dépasse la capacité de maintenance d’un seul service.

Notre conseil : ce que les dirigeants doivent prendre en compte lorsqu’ils adoptent SOAR

L’approche de l’adoption de SOAR devrait être une étape franchie dans le cadre d’un parcours d’amélioration de l’organisation de la sécurité. Lorsque votre entreprise cherche à améliorer l’inefficacité du SOC en termes de réduction du temps et des erreurs ou à rationaliser les processus de sécurité pour supprimer et réduire le risque de blocage d’autres initiatives de croissance de l’entreprise, alors SOAR devient hautement compatible avec ce parcours.

SOAR a un potentiel incroyable pour résoudre d’énormes problèmes d’évolutivité lorsqu’il est correctement adopté et entretenu. Les intégrations doivent être simplifiées, robustes et prolifiques en mettant l’accent sur les outils et solutions de sécurité déjà disponibles.

La simplicité reste un objectif clé pour la mise en œuvre des capacités d’orchestration, d’automatisation et de réponse de la plate-forme, afin d’éviter que la complexité ne se contente de s’étendre à cet outil SOAR et ne résout pas la suppression/réduction de cette complexité.

Voici quelques questions à poser à votre équipe pour une adoption réussie de SOAR :

1. Si l’entreprise devait doubler ou plus en taille DAAScomment le SOC pourrait-il maintenir notre posture de sécurité sans la possibilité d’augmenter le nombre de travailleurs ?
2. Quels sont les processus et flux de travail de routine que nous répétons continuellement pour maintenir notre intégrité de sécurité et quels déclencheurs pouvons-nous définir pour lancer ces flux de travail ?
3. Quels systèmes et sécurité sont spécifiques DAAS devront être intégrés dans notre approche de cette nouvelle automatisation de notre stratégie d’orchestration et de réponse et dans quelle mesure sera-t-il difficile d’atteindre un statut pleinement intégré ?
4. Quelles autres opérations informatiques bénéficieraient d’une plate-forme OAR et dans quelle mesure pouvons-nous leur permettre d’atteindre de nouveaux sommets à partir de la plate-forme SOAR ?
5. Avec quelle efficacité et rapidité les équipes opérationnelles seront-elles capables de comprendre, créer et mettre à jour les playbooks et les systèmes de gestion de cas, et quelle quantité de connaissances sur les produits et/ou le codage devra-t-elle connaître ?

Pour en savoir plus, visitez-nous ici.