Menaces cyber : comment la SOAR aide à améliorer délais de détection et de réponse

Les équipes du centre des opérations de sécurité (SOC) ne manquent pas d’occupations, avec les ransomwares, le DDoS ou encore l’hameçonnage (entre autres). L’automatisation est l’un des moyens par lesquels les analystes SOC peuvent faire face aux diverses et multiples alertes qu’ils reçoivent. Les outils de SOAR (Security Orchestration, Automation and Response) peuvent aider les analystes à améliorer la gestion des alertes en réponse aux incidents. 

Benjamin Kovacevic, chef de produit senior chez Microsoft, a rédigé Security Orchestration, Automation, and Response for Security Analysts afin d’enseigner aux professionnels de la sécurité comment utiliser les outils de SOAR pour améliorer la posture de sécurité d’une organisation. 

Dans cette interview, Benjamin Kovacevic explique pourquoi les organisations devraient envisager de déployer des outils de SOAR et comment elles peuvent améliorer le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR) – deux indicateurs sur lesquels les SOC sont jugés. 

Étant donné que Benjamin Kovacevic travaille avec Microsoft Sentinel, la majeure partie du livre s’appuie sur Sentinel pour enseigner aux lecteurs comment utiliser les outils SOAR, mais il fournit également une introduction à Splunk et Google Chronicle SOAR. « Les divers outils peuvent désigner différemment certaines tâches ou certains workflows, mais ils fonctionnent tous de la même manière », estime Benjamin Kovacevic. 

(L’entretien qui suit a été édité pour des raisons de clarté et de longueur.)

Les organisations de toute taille peuvent-elles adopter et déployer la SOAR ?

Benjamin Kovacevic : Je pense que chaque organisation, quelle que soit sa taille, peut bénéficier des fonctionnalités d’automatisation de la réponse aux incidents. Par exemple, les entreprises ont un volume énorme d’incidents et d’alertes sur lequel elles doivent enquêter. Elles ont besoin d’automatisation pour les aider à se concentrer sur ce qui vaut la peine d’être étudié. Les petites organisations n’ont pas autant de personnes que les grandes organisations pour enquêter sur chaque alerte, elles bénéficieront donc également de l’automatisation. 

L’automatisation peut aider les petites organisations et les entreprises, car elle aide les équipes de sécurité à effectuer leur travail plus efficacement et plus rapidement. 

Comment les outils de SOAR permettent-ils d’atténuer ou de réduire la fatigue des alertes pour les SOC ? 

Benjamin Kovacevic : Ils permettent de se concentrer sur des incidents spécifiques. Avec l’automatisation apportée par la SOAR, les entreprises n’ont pas besoin d’attendre qu’un analyste SOC détecte un incident avant d’effectuer certaines étapes initiales. L’automatisation peut démarrer le workflow de traitement de l’incident, par exemple en examinant l’adresse IP impliquée, au lieu d’avoir besoin de l’analyste SOC pour le faire, et potentiellement besoin de contacter le service réseau ou de se tourner vers des outils externes eux-mêmes. 

Au moment où l’analyste SOC commence à enquêter sur l’alerte, un certain type d’enrichissement de l’incident a déjà été réalisé. Cela fournit immédiatement à l’analyste plus d’informations, réduit les étapes à suivre et lui permet de réagir plus rapidement. L’automatisation permet de gagner du temps, encore et encore.

Votre livre détaille la manière dont la SOAR améliore les indicateurs de performance, tels que MTTD-MTTA, ou temps moyen de reconnaissance, dans le livre – et MTTR. Pourquoi constituent-ils de bons indicateurs pour évaluer les SOC ? 

Benjamin Kovacevic : Ce sont les deux indicateurs les plus importants pour les SOC. Ils donnent à l’organisation des chiffres réels qu’ils peuvent examiner afin de voir combien de temps il a fallu au SOC pour reconnaître et répondre à une véritable alerte. Par exemple, avec les ransomwares, nous devons réagir rapidement pour éviter qu’ils ne se propagent trop loin dans le système de l’organisation. Nous voulons un MTTD bas sans le but de comprendre quand l’équipe de sécurité peut commencer les efforts de correction. Et le MTTR donne un aperçu du temps qu’il a fallu pour résoudre un incident et passer au suivant. 

À partir du moment où le SOC a établi qu’il s’agissait d’un véritable positif, combien de temps cela a-t-il pris ? Était-ce deux heures, cinq heures ou même deux jours ? Nous pouvons analyser la gravité de l’incident. Peut-être qu’il a fallu plusieurs jours pour s’y attaquer parce que c’était quelque chose de vraiment sérieux ou sophistiqué. Peut-être était-il difficile de trouver toutes les causes de l’incident. Si le traitement de l’incident a pris quelques heures, cela pourrait nous dire que l’incident n’est pas aussi grave et peut-être banal. 

Bien que les indicateurs MTTD et MTTR soient importants, il est également nécessaire que les analystes SOC fournissent un rapport par la suite. Nous voulons savoir s’il y a quelque chose à automatiser à l’avenir pour réduire encore plus ces deux métriques.

Comment la SOAR aide-t-elle le SOC à réduire ces métriques MTTD et MTTR ?

Benjamin Kovacevic : La SOAR améliore le MTTD avec l’enrichissement des incidents et aide avec le MTTR parce que la SOAR fournit un espace où les analystes SOC peuvent obtenir beaucoup d’informations initiales. Cela leur donne l’espace nécessaire pour enquêter plus rapidement sur l’incident. Dans le SOAR de Microsoft Sentinel, les analystes peuvent rapidement voir s’il y a eu des incidents similaires auparavant et comment ces processus d’enquête précédents se sont déroulés. Avec ces informations, l’analyste peut reproduire des étapes de réponse aux incidents similaires et essayer de répondre plus rapidement à ce nouvel événement. Grâce aux playbooks SOAR, l’automatisation peut également gérer certaines des étapes initiales, telles que le blocage de certaines adresses IP, l’isolation des machines infectées, etc. 

La SOAR reste-t-elle encore à la peine sur certains aspects, pour aider à améliorer MTTD et MTTR ?

Benjamin Kovacevic : Il est difficile de répondre à cette question parce qu’il s’agit davantage de la façon dont les organisations ressentent et utilisent l’automatisation. Certains peuvent être prêts à adopter l’hyperautomatisation et à automatiser autant que possible. D’autres organisations peuvent être plus hésitantes, et c’est là que les outils de SOAR sont susceptibles de peiner à véritablement aider. 

Certaines organisations ont peur d’automatiser parce qu’elles ne veulent pas que l’IA effectue certaines tâches ou ne veulent pas compter sur l’IA pour effectuer ces tâches. Face à cela, je demande : pourquoi ne pas utiliser l’IA et les capacités d’apprentissage automatique ? Elles aideront les analystes SOC à effectuer des enquêtes plus rapidement. Je m’attends à ce que l’IA et l’apprentissage automatique jouent un rôle majeur dans la SOAR à l’avenir.

Craignez-vous que les SOC ne deviennent trop dépendants de l’automatisation ? 

Benjamin Kovacevic : Comme avec n’importe quel outil ou fonctionnalité, trop l’utiliser peut devenir problématique, mais cela dépend de l’utilisation. L’objectif d’outils comme la SOAR est d’aider les analystes à résoudre les problèmes plus rapidement. Mais les analystes de sécurité doivent être conscients que les mauvais acteurs prêtent attention à la façon dont les SOC gèrent la réponse aux incidents et s’adaptent. Par exemple, vous pouvez créer une autorisation qui permet à l’automatisation de fermer certains incidents, mais quelqu’un pourrait être tenté de se reposer entièrement sur l’automatisation. J’ai vu des gens publier sur des sites comme Stack Overflow et essayer de trouver des solutions à ces problèmes. 

Il est important pour les analystes qui utilisent l’automatisation de comprendre ce qu’ils automatisent et d’en saisir les conséquences. De plus, il ne s’agit pas d’une procédure de type « set-it-and-forget-it ». Les analystes doivent vérifier périodiquement les fonctionnalités d’automatisation et s’assurer qu’elles effectuent toujours le travail pour lequel elles ont été conçues. L’automatisation aide, mais elle doit être réalisée de manière responsable. 

La combinaison SIEM et SOAR aide-t-elle les SOC, en particulier en ce qui concerne MTTA et MTTR ? 

Benjamin Kovacevic : Absolument, oui. Je pense que les SOC modernes ont beaucoup de mal sans SIEM et sans SOAR. Il y a tellement d’incidents et d’événements qui se produisent régulièrement qu’il est difficile pour les humains de suivre. De plus, chaque machine et outil utilisé crée un signal qui doit être collecté et analysé. La quantité de données ne cesse d’augmenter et il est difficile de tout examiner sans une sorte d’automatisation. 

Avec des outils d’automatisation en place, les analystes SOC peuvent effectuer une meilleure analyse des incidents et savoir où concentrer la majeure partie de leur enquête pour une alerte. Ensemble, SIEM et SOAR améliorent la façon dont les SOC enquêtent sur un événement et la rapidité avec laquelle ils y répondent. Je ne crois pas que l’un puisse fonctionner sans l’autre, et c’est quelque chose que nous voyons l’industrie reconnaître. Les fournisseurs de SIEM cherchent des moyens d’intégrer la SOAR à leurs produits. Microsoft le fait avec Sentinel. Un autre fournisseur SIEM chevronné, Splunk, a acquis Phantom en 2018 et a intégré le fournisseur SOAR à son offre. Google a fait de même pour son offre Chronicle lors de l’acquisition de Siemplify en 2022. Tous les acteurs cherchent à intégrer la SOAR dans leurs outils actuels.