Qu’est-ce que le SOAR (Security Orchestration, Automation, and Response) ?
Les technologies SOAR sont conçues pour automatiser une partie du travail répétitif nécessaire au maintien d’une solide posture de sécurité. C’est ainsi que les technologies SOAR peuvent s’intégrer dans une stratégie de sécurité pour les entreprises.
Lorsqu’elle est liée aux acronymes informatiques, la technologie SOAR peut être décrite comme un moyen de reconnaître instantanément sa valeur sur la base des mots auxquels elle fait référence : Security Orchestration, Automation, and Response.
SOAR est une façon de s’attaquer au problème croissant de la sécurité : comment des humains en nombre limité peuvent-ils répondre à un nombre presque infini de menaces ? « SOAR est l’un des seuls acronymes de sécurité clairement définis et correspond exactement à ce que son nom suggère », explique Jerry Gamblin, directeur de la conformité et de la sécurité chez Kenna Security. « Il contrôle l’orchestration, l’automatisation et la réponse des outils de sécurité ». Ce n’est pas une mince affaire : La cybersécurité est pleine de ces acronymes, et quelques-uns d’entre eux sont un peu ambigus. La liste des abréviations et acronymes relatifs à la sécurité des réseaux et des systèmes du NIST couvre 32 pages, allant de « A » (littéralement : « A » signifie « address resource record type ») à « ZSK » (« zone signing key »).
Le plus important, c’est que le SOAR existe pour répondre au problème de sécurité qui ne cesse de croître : comment un nombre limité de personnes peut-il répondre à un nombre obscène de menaces ?
La « naissance » de SOAR en tant qu’acronyme pour une technologie est généralement due à la société de recherche Gartner qui l’a utilisé pour décrire des technologies qui collectent des informations de sécurité à partir de nombreux outils et sources, puis automatisent certaines des tâches initiales impliquées dans la réponse aux incidents.
Comme un expert en sécurité l’expliquera ci-dessous, l’idée est similaire à la manière dont les services d’assistance informatique pourraient automatiser la réponse et la résolution de quelques tickets d’assistance de niveau inférieur à l’aide d’outils ITSM. L’idée de base du SOAR est de rationaliser, dans le cas et au moment où il est possible ou faisable d’automatiser une partie du travail répétitif nécessaire au maintien d’une position sécurisée.
Qu’est-ce que le SOAR exactement ? Quatre définitions
Il est utile d’avoir des définitions plus solides de la SOAR à utiliser pour expliquer la SOAR à d’autres personnes. Voici quatre bonnes définitions :
« Les « solutions SOAR » sont des logiciels qui offrent trois caractéristiques essentielles. Premièrement, des capacités de gestion des flux de travail et des cas Les équipes de support informatique et les services d’assistance utilisent des outils informatiques de gestion des services pour gérer et surveiller leur travail. Les centres d’opérations de sécurité (SOC) ont également besoin d’outils pour superviser et contrôler le processus de triage des alertes ainsi que la collecte, l’analyse et la résolution des problèmes. La deuxième étape consiste à automatiser les tâches associées à ces activités en orchestrant l’utilisation de divers outils, notamment la détection et la réponse aux points de terminaison (EDR), la gestion des informations de sécurité (SIEM) et la détection et la réponse aux réseaux (NDR). Et troisièmement, fournir une plateforme centrale pour accéder aux informations, interroger et partager les informations sur les menaces, une source essentielle pour la détection des menaces et la réponse. » Augusto Barros, vice-président des solutions pour Securonix.
« Lorsqu’un incident de sécurité est découvert, les organisations doivent contenir les dégâts, protéger les preuves et rétablir les fonctions commerciales. Comme l’ont démontré de nombreux incidents dans le passé, les premières heures de réponse à une violation de sécurité en cours sont extrêmement stressantes, qu’il s’agisse de déterminer la gravité de la menace ou de peser les compromis entre la contenir et la perturbation des activités. Le concept de SOAR consiste à améliorer l’efficacité de la réponse aux incidents de sécurité en l’automatisant. Tsvi Korren, responsable technique de terrain pour Aqua Security
« Si on me demande d’expliquer le concept à quelqu’un, je préfère le comparer à un système de contrôle du trafic aérien qui peut gérer des tâches simples pendant que les employés peuvent se concentrer sur des tâches plus difficiles. Jerry Gamblin, directeur de la sécurité et de la conformité de Kenna Security. Kenna Security
« Le SOAR fait référence aux technologies qui permettent aux organisations de collecter et de stocker les données gérées par l’équipe chargée des opérations de sécurité. Par exemple, les alertes des systèmes SIEM ainsi que d’autres outils de sécurité – où le triage et l’analyse des incidents peuvent être réalisés avec un mélange de machines et d’humains – peuvent aider à définir, prioriser et guider les procédures standard de réponse aux incidents. Les outils SOAR permettent aux organisations de définir des procédures de réponse aux incidents dans un format de flux de travail électronique. » -Partenaire
Quand les outils SOAR sont-ils utiles ?
Il est important de déterminer l’état de votre entreprise en matière de maturité de sécurité avant de décider si les outils SOAR sont appropriés. Selon Massimo Ferrari, directeur de produit chez Red Hat Consulting, « Bien que l’automatisation apporte un ensemble établi d’avantages qui incluent la réduction des erreurs commises par les humains, la diminution du temps de travail et l’amélioration de la capacité à gérer un grand système multifournisseur, un exercice d’auto-analyse est nécessaire avant d’introduire ce groupe d’outils dans les opérations de sécurité. Chaque entreprise doit déterminer son niveau de maturité afin d’éviter de mettre en place des outils sophistiqués dès les premières étapes. »
Il est possible de commencer, par exemple, par les opérations liées à la sécurité avec l’intention de standardiser les procédures de sécurité et de diminuer le temps passé à la coordination entre les produits des différents fournisseurs. Au début, « Ansible Automation offre son YAML lisible par l’homme pour faciliter la description de ces procédures, les analyser et déterminer l’automatisation du flux de travail la plus efficace qui peut être utilisée comme base initiale pour la normalisation », note Ferrari. Ce processus de normalisation aboutit à des rôles et des playbooks qui constituent la base de la bibliothèque de workflows de réponse qui s’étoffe au fil du temps.
Plus tard, lorsque l’entreprise se concentre davantage sur l’automatisation du processus de sécurité de bout en bout et sur l’intégration des portefeuilles et de la sécurité de l’entreprise, les outils SOAR entrent généralement en jeu, souvent en conjonction avec Ansible. Pour plus d’informations, consultez le blog complet de Ferrari : La route vers l’automatisation de la sécurité.
Quelles sont les raisons pour lesquelles les entreprises utilisent les outils SOAR ?
Les outils SOAR permettent de s’assurer que les experts en sécurité ne sont pas submergés par des efforts manuels pour rassembler les données de base ou initier des réponses à tout incident éventuel.
Il est important de reconnaître que le personnel de sécurité est essentiel au processus avec SOAR. Il ne s’agit pas de remplacer qui que ce soit, mais de s’assurer que le personnel de sécurité n’est pas noyé dans le travail manuel nécessaire à la collecte d’informations de base ou à la mise en place de réponses à tout incident éventuel.
De cette façon, la SOAR peut avoir un impact mitigé sur la pénurie de talents dans la mesure où les personnes hautement compétentes ne passent pas leur temps à travailler sur les tâches les plus routinières. Il s’agit de connecter (ou d’orchestrer) ce qui pourrait être, en particulier pour les grandes organisations, un ensemble incompatible d’outils de sécurité, et aussi d’automatiser les actions ou réponses initiales aux incidents mineurs.
Gamblin donne une étude de cas claire :
« Un outil AV d’entreprise peut détecter la présence d’un logiciel malveillant sur un ordinateur, et envoyer une alerte au système SOAR », explique Gamblin. « Le flux de travail du système SOAR peut être conçu pour accomplir ce qui suit :
- Laisser le système AV lancer un scan de remédiation.
- Trouver les résultats de la remédiation.
- Si le malware a été éliminé Vous pouvez envoyer un message sur Slack à l’équipe qui gère le système AV pour les en informer.
- Si le malware n’a pas été éliminé : Basculez le système vers un VLAN distinct ou désactivez l’accès à Internet.
- Envoyez un message sur Slack à l’équipe responsable du système AV pour les informer des changements.
- Informez l’utilisateur et demandez-lui de ne pas utiliser le système jusqu’à ce qu’on lui demande de le faire.
- Ouvrez un ticket de support et fournissez toutes les informations nécessaires pour permettre aux équipes concernées de mener leur enquête.
Étant donné que les flux de travail SOAR fonctionnent en permanence, M. Gamblin note que si le logiciel malveillant décrit ci-dessus a été découvert vers 22 heures le mardi, il pourrait fonctionner de manière automatique et être prêt à être utilisé lorsque les membres de l’équipe arrivent au travail tôt le mercredi matin (contrairement aux téléavertisseurs pour les membres de l’équipe qui s’arrêtent parce que ces actions doivent être lancées manuellement et ne peuvent pas être retardées).
Ce type de scénario, et d’autres similaires, sont très courants. SOAR vise à faciliter la gestion des premières étapes d’une variété de situations de sécurité typiques.
C’est la même chose : SOAR ne remplace pas les professionnels de la sécurité, mais complète plutôt leur expertise.
« L’idée d’automatisation a conduit de nombreuses entreprises à croire qu’elles pouvaient remplacer la main-d’œuvre humaine de leurs SOC par des robots. Or, ce n’est pas le cas », affirme M. Barros. « Les organisations peuvent bénéficier de SOAR en améliorant leurs processus et en améliorant l’efficacité et l’efficience de leurs équipes d’opérations de sécurité. »
Dans le cas de Gamblin, Barros dit qu’un SOAR bien fait peut accélérer la réponse à un incident et les enquêtes, et réduire l’effet d’une violation le processus.
« Ces améliorations résultent généralement de l’automatisation de tâches telles que l’amélioration des alertes de base, dans lesquelles les analystes doivent accéder manuellement à plusieurs outils pour recueillir les données dont ils ont besoin pour prendre les bonnes décisions », explique Barros. » Certaines de ces tâches passent de plusieurs heures à quelques secondes une fois l’automatisation basée sur SOAR mise en œuvre. »
C’est pourquoi Barros dit que les mesures basées sur le temps, comme le temps moyen pour contenir , ou le temps moyen pour réagir (MTTC/MTTR) sont fréquemment utilisées pour évaluer l’efficacité d’une mise en œuvre SOAR.
Ce que la SOAR ne peut pas résoudre : Résoudre les processus inefficaces ou la culture d’entreprise.
Le potentiel d’automatisation de l’informatique a également apporté quelques leçons désagréables pour certaines équipes. La plus cruciale est la suivante : L’automatisation d’une procédure manuelle qui a l’habitude de produire des résultats négatifs n’améliore pas l’efficacité du processus. Elle permet seulement à un processus défectueux d’être plus efficace et plus rapide.
Il en va de même pour SOAR Dans le cas où votre personnel de sécurité dispose d’informations obsolètes ou inadéquates, comme des outils disparates, ou d’une culture d’entreprise qui considère la sécurité comme un fardeau plutôt que comme une priorité absolue, SOAR ne va pas résoudre ces problèmes de manière modulaire.
« Si la sécurité n’est pas retirée des applications, et verrouillée à la fin de la journée, et qu’elle pourrait provoquer des perturbations involontaires, SOAR ne peut résoudre aucun de ces problèmes », explique Korren d’Aqua Security. « Il ne fait qu’aggraver le problème.
De même, les différences culturelles ne peuvent pas être corrigées par l’utilisation du SOAR. Korren donne un exemple typique de la culture organisationnelle dans laquelle la sécurité et « l’entreprise » – tout le monde essentiellement et même d’autres rôles informatiques comme les développeurs – travaillent en désaccord et en discorde constants. SOAR ne va pas aider dans ce genre de situation puisque vous ne serez jamais en mesure de créer des règles efficaces qui automatisent la réponse aux incidents de sécurité les plus fondamentaux et même aux événements de sécurité les plus basiques.
Selon Korren Korren, l’accent devrait être mis sur DevOps ou DevSecOps. La mise en œuvre de SOAR en parallèle (plutôt qu’intégrée) à votre pipeline logiciel pourrait causer des problèmes plutôt que de les résoudre. Par exemple, vous pouvez créer un outil SOAR cloisonné dont l’automatisation du flux de travail supprime le service en réponse à certaines conditions de sécurité, puis utiliser un outil indépendant d’automatisation ou d’orchestration du cloud pour restaurer le service en continu.
