BillionPhotos.com - stock.adobe.

SOAR : cette automatisation de la cybersécurité que vous pratiquez peut-être déjà sans le savoir

L’orchestration et l’automatisation de la gestion des incidents deviennent incontournables, au moins dans les organisations où les volumes d’alertes à traiter sont trop importants pour de simples humains.

Orchestration, automatisation et réponse dans le domaine de la sécurité, ou SOAR. Sous cet acronyme, Gartner rassemble toutes les technologies qui permettent de collecter les données et alertes de sécurité à partir de multiples sources et, surtout, aident à industrialiser l’analyse et le triage des incidents, en associant humains et informatique : de quoi accompagner « la définition, la hiérarchisation et l’intégration des activités de réponse à incident dans un workflow standardisé ».

Dans une note d’information à ses clients, la première sur ce sujet, Gartner considère ainsi le SOAR comme un terme recouvrant les technologies liées aux opérations de sécurité, à la réponse à incident, et au renseignement sur les menaces.

Améliorer la productivité

Si les entreprises s’intéressent à ces outils, c’est notamment pour essayer d’améliorer la productivité de leurs équipes en charge de la sécurité, que le budget manque pour en gonfler les effectifs, ou que les tentatives de recrutement se heurtent à la pénurie de compétences. Et si le recours à des prestataires de service extérieurs peut être une solution, faire appel à des outils d’orchestration et d’automatisation peut en constituer une autre.

Outre les gains de productivité, les outils de SOAR peuvent également aider à réduire les délais de réponse aux incidents, de confinement et de remédiation, mais aussi à libérer les analystes de certaines tâches routinières, parfois redondantes, et souvent chronophages. Et celles-ci ne manquent pas de peser sur la motivation des équipes des centres opérationnels de sécurité (SOC).

Et cela concerne notamment tout le travail de triage initial des alertes, parmi lesquelles, souvent, de nombreux faux positifs : « les outils de SOAR enrichissent automatiquement les alertes, leur ajoutant des informations de contexte clé, pour permettre un triage automatisé ou, au moins, un triage manuel plus rapide et plus simple ».

L’optimisation du triage peut dès lors permettre d’améliorer les capacités de détection en limitant le risque de voir des alertes significatives passer inaperçues. Et cela vaut aussi pour tout le travail de documentation des processus et d’audit, le suivi des performances du SOC, ou encore pour le temps de formation initiale des analystes.

Des cas d’usage multiples

L’automatisation et l’orchestration en sécurité sont rendus possibles par la multiplication des API nécessaires à l’intégration : fut un temps où « seuls certains outils proposaient des API, mais la plupart du temps, elles n’étaient pas aussi standardisées et simples que les abondantes API Rest dont on dispose aujourd’hui », explique Gartner. Certes, « l’automatisation complète de bout en bout des processus de sécurité […] demandera encore des années, si jamais elle survient ». Mais en attendant, les outils de SOAR peuvent apporter beaucoup, dans de nombreux domaines.

Et cela commence par la gestion des alertes remontées par le système de gestion des informations et des événements de sécurité (SIEM). Là, les outils de SOAR permettent d’automatiser des tâches d'enrichissement, comme la recherche d’informations supplémentaires sur des indicateurs de compromission, ou la soumission d’échantillons suspects à des systèmes d’analyse externes. Les tickets correspondant à des alertes simples, ne relevant pas d’une menace réelle, peuvent être fermés automatiquement.

Pour les autres, des outils d’EDR peuvent être sollicités de manière transparente pour collecter des données supplémentaires sur les hôtes concernés ; une recherche de corrélation avec le trafic réseau peut être lancée.

Dans sa note d’information, Gartner avance des exemples concrets, comme le traitement de courriels suspectés de relever d’une tentative de hameçonnage, ou phishing, et l’enrichissement d’une alerte générée par le SIEM à l’aide d’une plateforme de gestion du renseignement sur les menaces. Le cabinet se penche également sur l’intégration avec les outils de gestion de tickets et plus généralement de services IT (ITSM), mais aussi de travail collaboratif, comme Slack, ou encore d’administration de systèmes, comme SCCM et SSH, pour ne citer qu’eux.

Une position de pivot

Clé de la pertinence d’un déploiement, les outils de SOAR se positionnent comme pivot à intégrer au sein de tout un écosystème. Ils s’alimentent ainsi de sources de contextualisation et d’alertes (SIEM, EDR/EPP, IDS, e-mail, etc.) pour ensuite pousser tickets à l’ITSM, artefacts à des services externes, ou encore requêtes complémentaires à des outils de sécurité comme l’EDR ou l’analyse de trafic réseau (NTA). Pour le renseignement sur les menaces, Gartner s’est tourné vers Anomali, ElecticIQ, Threat Connect ou encore ThreatQuotient. On regrettera qu’il ne mentionne pas le projet libre Yeti.

Pour le volet automatisation et orchestration, le cabinet mentionne, sans surprise, des spécialistes du domaine comme CyberSponse, Demisto, DFLabs, Siemplify, Swinlane, ou encore Syncurity, mais également Cyberbit, ou encore Respond Software. Et l’on pourra ajouter à cela le projet The Hive.

Gartner relève bien sûr que le domaine de l’automatisation et de l’orchestration n’est pas exclusif aux spécialistes et que de nombreux acteurs y prennent pied. On pense bien sûr à IBM, qui s’est offert Resilient Systems début 2016, ou encore FireEye, qui l’avait précédé avec Invotas, et Microsoft, avec le rachat d’Hexadite. Mais il faut aussi compter avec Splunk, qui s’est récemment offert Phantom Cyber. Exabeam et LogRhythm renforcent également les capacités d’automatisation et d’orchestration de leurs SIEM. Et bien sûr, des acteurs de l’ITSM s’intéressent naturellement au sujet, comme Ayehu, Resolve Systems, et ServiceNowretenu notamment par L’Oréal.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)