Faire plus avec moins : les arguments en faveur de la consolidation du SOC

Par Niall Browne, RSSI
Le centre d'opérations de sécurité (SOC) traditionnel est basé sur un modèle qui perdure depuis des décennies, mais qui n'est plus efficace. Trop de choses ont changé dans les organisations et dans le paysage des menaces pour que les « anciennes méthodes » fonctionnent.
Il est maintenant temps de changer pour permettre à un SOC moderne de prendre en charge la consolidation du SOC pour obtenir de meilleurs résultats, aveccorrection plus rapidedes risques réduits et une posture de sécurité globale plus solide.
Alors, qu'est-ce qui a changé exactement pour les SOC ?
Dans les SOC hérités, le personnel de sécurité informatique est assis côte à côte à proximité, regardant des écrans chargés d'une myriade de détails, fournissant des vues et des données de dizaines d'outils de sécurité délivrant un flux incessant d'alertes. Ce modèle SOC traditionnel a toujours consisté à essayer de suivre une course contre les alertes et les contraintes de ressources qui ne pourraient jamais vraiment être gagnées.
La pandémie a exacerbé de multiples défis avec le modèle SOC traditionnel. Les ressources sont devenues plus tendues que jamais, et il n'est souvent plus possible d'avoir tout le monde physiquement présent au sein du SOC. Dans le même temps, le paysage des menaces explose, les cyberincidents importants augmentant à un rythme record.
Répondre à ces nouvelles réalités signifie que les SOC modernes doivent consolider, faire plus avec moins et optimiser leurs pratiques pour la réalité et les exigences desaujourd'hui et demain.
3 problèmes qui posent des problèmes dans les anciens SOC
Dans les SOC hérités, nous voyons trois problèmes principaux qui conduisent à de mauvais résultats et à une posture de sécurité affaiblie.
- Trop d'alertes
En termes simples, les SOC hérités tentent de gérer un volume ingérable d'alertes, ce qui entraîne une fatigue des alertes et ralentit les organisations. Avec trop d'alertes, il est plus facile de passer à côté de problèmes potentiellement importants qui pourraient être enfouis dans le volume élevé de bruit. La solution au défi d'un trop grand nombre d'alertes consiste àaméliorer la fidélitéafin que les alertes ne soient générées que sur les problèmes importants. - Trop de produits de sécurité
Un défi clé que nous voyons à maintes reprises est que les SOC utilisent beaucoup de produits de sécurité. En fait, une entreprise moyenne peut déployer des dizaines de produits de cybersécurité. La quantité d'efforts nécessaires pour gérer tous les outils ajoute une complexité inutile à une opération déjà surchargée. Les SOC doivent définir les résultats qu'ils souhaitent atteindre, puisidentifier les plateformes et les solutions nécessairespour le résultat souhaité. - Trop de processus manuels
De nombreux SOC hérités s'appuient sur des processus manuels pour les opérations quotidiennes ainsi que pour les incidents, épuisant les analystes SOC, car ils ne peuvent pas suivre le volume d'activité élevé. Ce qu'il faut, c'est intelligentapprentissage automatique et automatisationpour les processus à volume élevé, libérant ainsi les ressources humaines pour se concentrer sur les tâches critiques.
La consolidation du SOC est une opportunité pour la transformation numérique
L'informatique en tant qu'industrie évolue vers des environnements plus homogènes et plus de consolidation. Il est maintenant temps de faire une réinitialisation, car les entreprises sontpasser au cloud et faire le voyage de la transformation numérique. C'est le bon moment pour examiner les produits et outils de sécurité utilisés dans le SOC et déterminer quel est le retour sur investissement (ROI) pour chacun d'eux, en consolidant ces investissements de sécurité dans un ensemble de fonctionnalités de base que vous pouvez définir dans une plate-forme.
La consolidation du SOC aide à la prévention et à la protection
L'étalement est l'ennemi juré de la sécurité dans toute organisation. Prendre lelog4j incident de sécurité qui a surmonté les SOC fin décembre 2021. Il s'agissait d'une faille de sécurité dans une bibliothèque d'applications trouvée dans de nombreux endroits différents. Dans un ancien SOC exécutant 75 à 80 outils différents, identifier, corriger et protéger tous les actifs vulnérables n'est pas une mince affaire.
La consolidation du SOC soutient les équipes de sécurité
Plus important encore, la consolidation du SOC peut être extrêmement positive pour le personnel d'une organisation. Le SOC traditionnel est souvent considéré comme un tremplin pour entrer dans la cybersécurité et non comme une carrière. La raison en est que les individus du SOC sont généralement inondés d'événements, soumis à une énorme pression, et doivent gérer les choses dans un modèle manuel et généralement chaotique.
Lorsque le SOC n'est qu'un moyen transitoire d'accéder à la sécurité en tant que carrière, c'est un modèle terrible. Cela signifie que vous n'avez pas de personnes investies dans la construction d'un SOC incroyablement efficace. Au contraire, vous avez des gens qui « font leur temps » dans le SOC, puis passent à d'autres rôles plus prometteurs.
Au fur et à mesure que vous consolidez votre SOC, vous changez la façon dont le SOC et les personnes qui le composent fonctionnent. Ainsi, au lieu que le personnel du SOC effectue les mêmes tâches répétitives et ennuyeuses, il se concentre désormais sur des projets de grande valeur améliorant en permanence la technologie et étant plus efficace dans la chasse aux menaces. Le résultat de tous ces changements est qu'ils sont beaucoup plus heureux parce qu'ils travaillent sur des projets où ils peuvent avoir un impact significatif et peuvent tenir pleinement leurs promesses. Ce n'est plus la mentalité du « hamster sur une roue ». Etdes gens heureux et épanouisrester plus longtemps et travailler pour rendre les systèmes encore meilleurs.
Aucune organisation n'a le temps ou les ressources à perdre à passer au crible des alertes sans fin avec des processus manuels répartis sur des outils disparates qui ne fonctionnent pas bien ensemble. Le moment de la consolidation du SOC, pour créer un SOC moderne et capable de gérer les menaces complexes d'aujourd'hui, est arrivé ici et maintenant.
Consolider. Simplifier. Orchestrer. Automatiser.
Pour en savoir plus, rendez-nous visiteici.
À propos de Niall Browne:
Niall est vice-président principal et directeur de la sécurité de l'information (CISO) chez Palo Alto Networks. Niall est passionné par l'aide aux entreprises sécurisées dans le cloud. Pratiquement toutes les entreprises traversent un parcours de transformation numérique pour pouvoir être compétitives et prospérer, par exemple le cloud, le mobile, l'IoT, l'apprentissage automatique. Chez Palo Alto Networks, Niall dirige l'équipe de sécurité chargée d'aider à sécuriser nos services. Avant de rejoindre Palo Alto Networks, Niall a été le CSO des plateformes cloud au cours des seize dernières années, notamment en tant que Chief Security Officer (CSO) et Chief Trust Officer chez Workday.
Source link