De quoi ont réellement besoin les centres d’opérations de sécurité, aujourd’hui… et demain

Nous sommes à la croisée des chemins où les acteurs de la menace bien financés exploitent des outils innovants, tels que l’apprentissage automatique et l’intelligence artificielle, tandis que les centres d’opérations de sécurité (SOC), construits autour de technologies héritées telles que les solutions de gestion des informations et des événements de sécurité (SIEM), ne parviennent pas à se montrer à la hauteur. Les organisations de toutes tailles ont besoin d’une solution évolutive qui suit le rythme des initiatives cloud, des campagnes d’attaque avancées et de la transformation numérique afin de contrecarrer les attaques avant qu’elles n’aient la possibilité de causer des dommages irréparables.

À l’heure où la surface d’attaque des entreprises s’étend aujourd’hui, générant bien plus de données de sécurité que jamais auparavant, les analystes SOC doivent gérer des données plus complexes et cloisonnées dans des systèmes distincts. En conséquence, ils s’enlisent dans l’analyse manuelle des données, ce qui conduit finalement à une lassitude en matière d’alerte, à un ralentissement des enquêtes, à des menaces manquées et à des pirates informatiques qui se cachent dans les réseaux pendant des mois avant d’être découverts. Alors que nous nous aventurons dans de nouveaux territoires, nous devons garder à l’esprit que les SOC resteront toujours humains dans leur essence. Avec les analystes au centre de l’univers SOC, nous devons utiliser leurs points faibles pour guider une transformation du mode de fonctionnement du SOC.

Souhait 1 : automatisation

Les anciennes équipes d’opérations de sécurité effectuent en grande partie leurs recherches manuellement. En conséquence, un seul incident peut prendre la majeure partie du temps d’un analyste, contribuant ainsi à son épuisement, un phénomène dans lequel un analyste ne fait plus confiance au système conçu pour l’alerter des incidents. Ce manque de confiance peut apparaître lorsqu’un système ne signale pas correctement les incidents pour permettre une réponse et une enquête efficaces, ce qui est largement dû à un manque de mesures correctives automatisées. Étant donné qu’une grande partie du temps d’un analyste est consacrée à la phase d’atténuation, il est essentiel que le SOC soit équipé d’une infrastructure dans laquelle les analystes ont confiance pour répondre aux alertes.

Les progrès en matière d’automatisation de l’orchestration de la sécurité et de technologies de réponse sont utiles en permettant aux analystes de documenter et d’automatiser la recherche initiale, économisant ainsi beaucoup de temps et d’efforts. De plus, les systèmes automatisés jouent un rôle important dans la collecte et la fusion du contexte de différentes technologies. En retour, cela simplifie l’accès à l’information afin que les analystes puissent mener des recherches préliminaires de manière plus productive.

L’automatisation est essentielle pour faire évoluer un SOC, en particulier pour aider à concentrer les efforts sur un ensemble plus restreint d’incidents à haut risque, au lieu d’obliger les analystes à parcourir manuellement des quantités massives de données. De la même manière qu’une voiture autonome ne nécessite plus un contrôle pratique et constant, un SOC automatisé est capable de gérer la grande majorité des alertes, des atténuations et des tâches d’analyse répétées et à faible risque. Cela permet finalement aux analystes de travailler sur des incidents urgents et des incidents plus significatifs et moins fastidieux.

Souhait 2 : Répartition des incidents

Imaginez répéter les mêmes tâches jour après jour. Cette approche rend difficile l’apprentissage et la croissance, voire même le maintien de l’engagement. C’est la réalité pour de nombreux analystes SOC. Les équipes de sécurité ont du mal à maintenir les analystes motivés et satisfaits dans leur poste tout en trouvant les bons talents pour remplir un rôle particulier. Créer un système dans lequel l’attribution des incidents aux analystes est variée est non seulement favorable aux analystes, mais également plus propice au fonctionnement d’un SOC. Les analystes ne veulent pas être affectés au même type d’incidents, et en leur donnant la responsabilité de traiter un large éventail d’alertes, ils sont en mesure d’élargir leurs connaissances et leur expertise tout en favorisant une compréhension plus complète des différents cas d’utilisation. . Lorsque les analystes sont confrontés à des types d’alertes inconnus, ils sont mis au défi d’élargir leurs compétences et de devenir plus complets.

La répartition des incidents entre les analystes garantit également qu’ils se familiarisent avec toutes les ressources disponibles tout en atténuant la tendance à se concentrer uniquement sur les alertes qui leur sont familières. Dans l’ensemble, l’attribution intentionnelle d’alertes diverses contribue à cultiver un environnement dynamique qui favorise l’apprentissage constant et la proactivité et améliore les capacités de résolution de problèmes tout en renforçant l’efficacité de l’ensemble de l’équipe.

Souhait 3 : Une formation complète

Une formation efficace et approfondie est essentielle pour assurer la cohérence au sein d’une organisation tout en réduisant les risques. Les analystes qui débutent dans une équipe recherchent des conseils formels sur l’infrastructure, les outils et les processus de l’organisation. Les programmes d’intégration percutants devraient également prévoir du temps pour que les analystes suivent les analystes existants. De plus, tout le contenu d’intégration doit être fréquemment mis à jour pour garantir son exactitude.

En ce qui concerne les employés existants, une formation complète est tout aussi importante car ils cherchent à développer davantage leurs compétences, à permettre la croissance au sein du secteur et à suivre le rythme d’un paysage en évolution rapide. Offrir ces opportunités contribue à inspirer confiance dans les capacités d’un analyste tout en sensibilisant l’ensemble de l’organisation aux dernières technologies, tactiques et tendances, qui affectent en fin de compte le processus et l’analyse des opérations de sécurité. Une formation stagnante a un impact sur la réponse aux incidents et la protection contre les menaces.

Réaliser ces trois souhaits

Avec les ressources et le dévouement appropriés, les trois souhaits d’un analyste pourraient constituer le commandement d’une équipe de sécurité. Alors que les organisations sont aux prises avec de nouveaux défis en matière de cybersécurité, la nécessité d’un SOC efficace et moderne est impérative. Ce qui est encore plus important, c’est que les analystes qui veillent à garantir l’intégrité du SOC disposent des outils et des ressources dont ils ont besoin pour accomplir leur travail de la meilleure manière possible.

Pour en savoir plus sur la transformation SOC, lisez le livre complet de Palo Alto Networks, « Éléments des opérations de sécurité ».