Cybersécurité

Qu’est-ce que SOAR – Security Orchestration Automation, and Response

Qu’est-ce que SOAR (Security Orchestration, Automation, and Response) ?

Les technologies SOAR visent à automatiser une partie de l’effort humain répétitif nécessaire pour maintenir une forte posture de sécurité. Voici comment les outils SOAR s’intègrent dans une stratégie de sécurité d’entreprise.

En ce qui concerne les acronymes informatiques, la technologie SOAR est efficace : Vous pouvez immédiatement présumer de son utilité simplement à partir des termes qu’il représente : Orchestration de la sécurité, automatisation et réponse.

SOAR existe pour répondre à un problème de sécurité de plus en plus important : comment un nombre fini d’êtres humains réagit-il à un nombre apparemment infini de menaces potentielles ?
« SOAR est l’un des rares acronymes clairement nommés dans le domaine de la sécurité et fait ce que son nom implique », déclare Jerry Gamblin, responsable de la sécurité et de la conformité chez Kenna Security. « Il gère l’orchestration, l’automatisation et la réponse de vos outils de sécurité. » Ce n’est pas une mince affaire : La cybersécurité est remplie de ces acronymes, et certains sont assez opaques. Une liste du NIST des acronymes et abréviations de sécurité des systèmes et réseaux s’étend sur 32 pages, de « A » (littéralement : « A » signifie « address resource record type ») à « ZSK » (« zone signing key »).

Plus important encore, SOAR existe pour répondre à un problème de sécurité toujours croissant : comment un nombre fini d’humains réagit-il à un nombre apparemment infini de menaces potentielles ?

La « naissance » de SOAR en tant qu’acronyme technologique est généralement attribuée à la société de recherche Gartner, qui l’a utilisé pour décrire des technologies qui rassemblent des informations de sécurité provenant de divers outils et sources et qui automatisent ensuite certaines tâches initiales dans la réponse aux incidents.

Comme le notera un professionnel de la sécurité ci-dessous, le concept est ici comparable à la façon dont les services d’assistance informatique peuvent automatiser la réponse et la résolution de certains tickets d’assistance de niveau inférieur avec les outils ITSM. L’idée générale de SOAR est d’automatiser, quand et où il est raisonnable ou possible de le faire, une partie des efforts répétitifs nécessaires pour maintenir une forte posture de sécurité

Qu’est-ce que SOAR ? Quatre définitions

Il est utile d’avoir des définitions plus solides de SOAR que vous pouvez utiliser comme explicatifs avec d’autres personnes. En voici quatre bonnes :

« Les solutions SOAR sont des outils qui offrent trois caractéristiques essentielles. Premièrement, des capacités de gestion de cas et de flux de travail : Tout comme les équipes d’assistance informatique et les services d’assistance utilisent des outils de gestion des services informatiques pour suivre et contrôler leur travail, les centres d’opérations de sécurité (SOC) ont également besoin d’outils pour gérer et contrôler le travail de triage des alertes, [ainsi que] la collecte, l’investigation et la résolution des incidents. Deuxièmement, automatiser les tâches découlant de ces activités par l’orchestration de multiples outils, tels que la détection et la réponse aux points d’extrémité (EDR), la security information management (SIEM) et la détection et la réponse aux réseaux (NDR). Et troisièmement, fournir un moyen centralisé d’accéder, d’interroger et de partager les renseignements sur les menaces, une ressource vitale pour les activités de détection et de réponse aux menaces ». -Augusto Barros, vice-président des solutions chez Securonix

« Lorsqu’un incident de sécurité est identifié, les organisations doivent contenir les dommages, préserver les preuves et rétablir les fonctions commerciales. Comme le montrent de nombreux incidents antérieurs, les premières heures de réponse à une attaque en cours sont catastrophiques, qu’il s’agisse d’identifier l’importance d’une menace ou d’envisager les compromis entre confinement et perturbation des activités. L’idée derrière SOAR est de rendre la réponse aux incidents de sécurité plus efficace grâce à l’automatisation. -Tsvi Korren, directeur technique de terrain chez Aqua Security

« Si on me demande de l’expliquer à quelqu’un, j’aime le décrire comme un système automatisé de contrôle du trafic aérien pour les équipes de sécurité qui peut gérer les tâches de base tout en permettant aux employés de se concentrer sur des missions plus difficiles. -Jerry Gamblin, responsable de la sécurité et de la conformité chez Kenna Security

« SOAR » fait référence aux technologies qui permettent aux organisations de collecter des données contrôlées par l’équipe des opérations de sécurité. Par exemple, les alertes du système SIEM et d’autres technologies de sécurité – où l’analyse et le triage des incidents peuvent être effectués en utilisant une combinaison de la puissance humaine et de la puissance des machines – aident à définir, à prioriser et à diriger des activités normalisées de réponse aux incidents. Les outils SOAR permettent à une organisation de définir des procédures d’analyse et de réponse aux incidents dans un format de flux de travail numérique ». -Partenaire

Quand les outils SOAR ont-ils un sens ?

Il est important d’examiner où se situe votre organisation en termes de maturité de la sécurité, lorsque vous vous demandez si les outils SOAR ont un sens. Comme le note Massimo Ferrari, chef de produit chez Red Hat Consulting, « Bien que l’automatisation apporte un ensemble de valeurs bien établies, comme l’atténuation de l’erreur humaine, la réduction du temps de travail et l’augmentation de la capacité à gérer une infrastructure à grande échelle et multi-fournisseurs, un exercice d’auto-analyse est nécessaire lors de l’introduction de cette famille de technologies dans les opérations de sécurité. Chaque organisation doit évaluer son niveau de maturité pour éviter de mettre en œuvre des outils avancés à un stade précoce ».

Vous pouvez commencer, par exemple, par les opérations de sécurité, dans le but de normaliser les tâches de sécurité et de réduire le temps passé à coordonner les étapes entre les produits de plusieurs fournisseurs. À ce stade précoce, « Ansible Automation propose son langage YAML lisible par l’homme comme outil pour décrire facilement ces processus, les comparer et identifier le meilleur workflow automation à utiliser comme base de normalisation », note Ferrari. Ce processus de normalisation donne lieu à des rôles et des manuels de jeu qui deviennent la base d’une bibliothèque de flux de travail de réponse qui s’enrichit au fil du temps.

Plus tard, lorsque l’organisation se concentre davantage sur l’automatisation du processus de sécurité de bout en bout et sur l’intégration des portefeuilles de sécurité et d’entreprise, les outils SOAR entrent généralement en jeu, en combinaison avec Ansible. Pour plus de détails, consultez le blog complet de Ferrari : The journey to security automation.

Comment et pourquoi les entreprises utilisent-elles les outils SOAR ?

Les outils SOAR permettent de s’assurer que les professionnels de la sécurité ne se noient pas dans un grand nombre d’efforts manuels juste pour rassembler des informations de base ou lancer des réponses à chaque événement possible.
Il est important de préciser que les gens font toujours partie intégrante de l’entreprise grâce à SOAR. Il ne s’agit pas de remplacer qui que ce soit ; il s’agit d’aider à garantir que les professionnels de la sécurité ne se noient pas dans des efforts manuels pour rassembler des informations de base ou déclencher des réponses à tous les événements possibles.

De cette façon, SOAR peut avoir un effet mitigé sur la pénurie de talents, en ce sens que vos employés hautement qualifiés ne passent pas leur temps à courir après les tâches les plus banales. Il s’agit en fait de connecter (ou d’orchestrer) ce qui peut être, surtout dans les grandes organisations, un ensemble disparate d’outils de sécurité, ainsi que d’automatiser certaines premières étapes ou des réponses à des incidents de faible niveau.

Gamblin partage un exemple clair de cas d’utilisation :

« Un [outil] AV d’entreprise identifie les malwares sur un système et envoie une alerte au système SOAR », explique M. Gamblin. « Le workflow du système SOAR peut être écrit pour faire ce qui suit :

  • Faire en sorte que le système AV lance une analyse de correction.
  • Récupérer les résultats de la remédiation.
  • Si le malware a été supprimé : Envoyez un message Slack à l’équipe qui gère le système audiovisuel, pour l’informer.
  • Si le malware n’a pas été supprimé : Déplacez le système vers un VLAN isolé ou désactivez l’accès à Internet.
  • Envoyez un message Slack à l’équipe qui gère le système audiovisuel, pour l’en informer.
  • Envoyer une alerte à l’utilisateur du système, lui demandant de ne pas utiliser le système avant d’en avoir reçu l’instruction.
  • Ouvrir un ticket d’assistance avec toutes les informations nécessaires pour que les bonnes équipes puissent poursuivre leur enquête.

Comme les flux de travail SOAR peuvent fonctionner en continu, M. Gamblin note que si le malware hypothétique du scénario ci-dessus est découvert à 22 heures un mardi, tout ce qui précède peut s’exécuter automatiquement et être prêt pour les étapes suivantes lorsque les membres de l’équipe arrivent au bureau le mercredi matin. (Par opposition aux pagers de l’équipe qui s’éteignent parce que ces étapes doivent être lancées manuellement et ne peuvent attendre).

Voilà la promesse : ce type de scénario et d’autres semblables sont courants. SOAR s’attache à réduire l’effort manuel nécessaire pour gérer les étapes initiales de nombreux scénarios de sécurité courants.

Encore une fois : SOAR ne remplace pas les professionnels de la sécurité, mais complète leurs compétences.

« La promesse de l’automatisation conduit de nombreuses organisations à croire qu’elles peuvent remplacer les humains dans leurs SOC par des machines. Cependant, ce n’est pas la réalité », déclare M. Barros. « Les organisations tirent profit de la SOAR en améliorant leurs processus et en augmentant l’efficacité et la productivité de leurs équipes d’opérations de sécurité ».

Comme dans l’exemple d’utilisation de Gamblin, M. Barros affirme qu’un SOAR bien fait peut accélérer la réponse aux incidents et les enquêtes et limiter l’impact d’une faille dans le processus,

« Ces améliorations proviennent souvent de l’automatisation d’activités telles que l’enrichissement des alertes de base, où les analystes doivent interroger manuellement plusieurs outils pour obtenir les informations nécessaires à la prise de décision », explique M. Barros. « Certaines de ces tâches passent de quelques heures à quelques secondes lorsque l’automatisation basée sur SOAR est introduite ».

En conséquence, M. Barros note que des mesures axées sur le temps, comme le temps moyen pour contenir ou le temps moyen pour réagir (MTTC/MTTR), sont souvent utilisées pour mesurer l’efficacité d’une mise en œuvre SOAR.

Ce que le SOAR ne fait pas : Réparer les processus ou les cultures entreprises défaillants

La promesse générale d’automatisation dans le domaine des TI s’est également accompagnée de dures leçons pour certaines équipes. L’un des plus importants : L’automatisation d’un processus manuel qui produit constamment des résultats négatifs n’améliore pas ce processus. Elle permet simplement à un processus défaillant de s’exécuter plus rapidement et plus fréquemment.

Il en va de même avec SOAR : si vos professionnels de la sécurité travaillent avec des informations obsolètes ou incomplètes, des outils de patchwork ou une culture d’entreprise qui traite la sécurité comme un obstacle plutôt que comme une priorité – eh bien, SOAR ne résoudra pas ces problèmes de manière modulaire.

« Si la sécurité est éloignée des applications, verrouillée à la fin, et peut produire des perturbations involontaires, SOAR ne résoudra rien de tout cela », déclare M. Korren d’Aqua Security. « Il ne fait qu’empirer les choses.

Les clivages culturels ne peuvent pas non plus être apaisés par la mise en œuvre de SOAR. Korren cite l’exemple classique des cultures organisationnelles où la sécurité et « l’entreprise » – tous les autres, essentiellement, même les autres rôles informatiques comme les développeurs – travaillent dans un état constant de conflit et de méfiance. SOAR n’apportera pas grand-chose dans ce scénario organisationnel, car vous ne serez jamais en mesure de fixer des règles efficaces pour automatiser la réponse aux événements de sécurité, sauf les plus basiques, si tant est qu’il y en ait.

Selon Korren, l’accent devrait être mis sur les DevOps ou DevSecOps. La mise en œuvre de SOAR en parallèle (plutôt qu’intégrée) à votre pipeline de logiciels peut exacerber les problèmes au lieu de les résoudre. Par exemple, vous pourriez mettre en œuvre un outil SOAR en silo avec un workflow automation qui supprime automatiquement un service en réponse à une condition de sécurité particulière, pour qu’un outil séparé d’orchestration ou d’automatisation du cloud rétablisse ce service en continu.

Ecrire un commentaire