Qu’est-ce qu’un centre d’opérations de sécurité (SOC) ?
Optimisation d’un modèle d’opérations de sécurité
Alors que le traitement des incidents monopolise une grande partie des ressources du SOC, le responsable de la sécurité des informations (CISO) est chargé d’une vision plus large des risques et de la conformité. Pour combler les silos opérationnels et de données entre ces fonctions, une stratégie efficace nécessite une architecture de sécurité adaptative qui permet aux organisations d’adopter des opérations de sécurité optimisées. Cette approche augmente l’efficacité grâce à l’intégration, l’automatisation et l’orchestration, et réduit le nombre d’heures de travail nécessaires tout en améliorant votre posture de gestion de la sécurité de l’information.
Un modèle d’opérations de sécurité optimisées nécessite l’adoption d’un cadre de sécurité qui facilite l’intégration des solutions de sécurité et des renseignements sur les menaces dans les processus quotidiens. Les outils SOC tels que les tableaux de bord centralisés et exploitables aident à intégrer les données sur les menaces dans les tableaux de bord et les rapports de surveillance de la sécurité afin de tenir les opérations et la direction au courant de l’évolution des événements et des activités. En reliant la gestion des menaces à d’autres systèmes de gestion des risques et de la conformité, les équipes SOC peuvent mieux gérer la posture de risque globale. De telles configurations permettent une visibilité continue sur l’ensemble des systèmes et des domaines et peuvent utiliser des renseignements exploitables pour améliorer la précision et la cohérence des opérations de sécurité. Les fonctions centralisées réduisent la charge du partage manuel des données, de l’audit et du reporting tout au long de la chaîne.
L’opérationnalisation de la gestion des menaces doit commencer par une évaluation réfléchie. En plus des défenses, une organisation devrait évaluer les processus et les politiques. Dans quels domaines l’organisation est-elle forte ? Quelles sont les lacunes ? Quelle est la posture de risque ? Quelles sont les données collectées, et quelle est la quantité de ces données utilisées ?
Bien que chaque organisation soit différente, certaines capacités de base et les meilleures pratiques en matière d’opérations de sécurité représentent aujourd’hui une diligence raisonnable. Un processus raisonnable de gestion des menaces commence par un plan, et comprend la découverte (y compris le calcul de la ligne de base pour favoriser la détection des anomalies, la normalisation et la corrélation), le triage (en fonction du risque et de la valeur des actifs), l’analyse (y compris la contextualisation) et le cadrage (y compris l’investigation itérative). Les processus de gestion des menaces alimentent les programmes de réponse aux incidents avec des cas caractérisés et classés par ordre de priorité. Un plan de réponse bien défini est absolument essentiel pour contenir une menace ou minimiser les dommages d’une violation de données.
Figure 1. Les plans de gestion des menaces intègrent et structurent de nombreux processus à travers les opérations de sécurité et informatiques.
Une visibilité et une gestion des menaces efficaces s’appuieront sur de nombreuses sources de données, mais il peut être difficile de trier les informations utiles et opportunes. Les données les plus précieuses se sont avérées être les données d’événements produites par les contre-mesures et les actifs informatiques, les indicateurs de compromission (IoC) produits en interne (via l’analyse des logiciels malveillants) et en externe (via les flux de renseignements sur les menaces), et les données système disponibles à partir de capteurs (par exemple, hôte, réseau, base de données, etc.).
Des sources de données comme celles-ci ne sont pas seulement une entrée pour la gestion des menaces. Elles ajoutent un contexte et rendent les informations précieuses et exploitables pour une évaluation plus précise, exacte et rapide tout au long de l’effort itératif et interactif de gestion des menaces. L’accès aux bonnes données et leur utilisation efficace pour soutenir les plans et les procédures est une mesure de la maturité organisationnelle. Un scénario « mature » comprendrait un flux de travail qui transmet les bonnes informations ou permet une action directe au sein des consoles opérationnelles et entre les produits. Ce flux intègre les opérations informatiques et les équipes et outils de sécurité dans la réponse aux incidents lorsqu’il y a un événement critique.
Toutes ces évaluations aideront à prioriser où une augmentation de l’investissement ou une réduction de la friction est nécessaire pour que la mise en œuvre de la gestion des menaces corresponde aux objectifs. Les consultants et les tests de pénétration peuvent aider à comparer la stratégie et la maturité organisationnelle et à vérifier la santé de la réponse de sécurité contre les attaques pour obtenir une mesure actuelle de la capacité d’une organisation à détecter et à contenir les événements malveillants. En comparant avec des entreprises homologues, cet examen vérifié peut aider à justifier et à expliquer la nécessité de réorienter ou d’investir dans les ressources des opérations de cybersécurité.