Maximiser vos investissements grâce à l'automatisation de la sécurité

Avouons-le, nous parlons d'automatisation de la sécurité depuis des années. Nous nous sommes demandé quoi, quand et comment automatiser. Nous avons débattu du sujet humain contre machine. Et à certains moments, lorsque nous avons été « brûlés » (arrêt automatique des systèmes par erreur), nous nous sommes demandé s'il y avait une place pour l'automatisation. Mais au fond de nous, nous savons depuis des années que l'automatisation est l'avenir. Maintenant, le futur est là.

Alors que la plupart des organisations disposaient au moins d'une automatisation minimale des processus clés de sécurité et de réponse aux incidents (IR), les événements de 2020 ont servi de point de basculement, déclare Noor Boulos de ThreatQuotient . Le nouveau SANS Le rapport explique comment la pandémie mondiale a forcé de nombreuses organisations à accélérer leurs plans d'automatisation, où elles hiérarchisent leurs investissements et les plans qu'elles ont pour l'avenir. L'enquête a porté sur des entreprises de toutes tailles, représentant un mélange diversifié d'industries et avec des opérations en Amérique du Nord, en Europe, en Asie-Pacifique et en Afrique.

Certaines des principales conclusions :

• Près d'un tiers des organisations ont indiqué que leurs plans d'automatisation s'étaient accélérés en raison de la pandémie de COVID-19.

• Plus de 80 % des organisations ont automatisé au moins partiellement les processus clés de sécurité et de RI, contre 47 % en 2020.

• En explorant plus en profondeur, les processus IR ont connu la croissance la plus importante de l'automatisation, avec une automatisation poussée de près de 18 %, passant de 10,5 % en 2020 à 28,3 % en 2021.

• Les opérations de sécurité et le traitement des événements ou des alertes restent le principal domaine d'automatisation avec 35,5 % signalant une automatisation poussée.

• L'avenir s'annonce prometteur pour l'automatisation de la sécurité, avec 85 % d'entre eux prévoyant d'automatiser les processus clés de sécurité et de RI au cours des 12 prochains mois seulement.

Lorsque vous regardez vers l'avenir et utilisez ces résultats d'enquête pour mieux comprendre comment étendre votre utilisation de l'automatisation dans vos opérations de sécurité, il est important de déterminer quand appliquer l'automatisation dans le cycle de vie de la sécurité pour maximiser la valeur commerciale.

Chez ThreatQuotient, nous pensons depuis longtemps que les données sont l'élément vital de la détection et de l'automatisation des réponses. La clé d'une automatisation efficace commence donc par les données. Prenons les deux principaux cas d'utilisation du rapport, le triage des alertes et la réponse aux incidents, comme exemples.

Triage des alertes :

Les analystes sont submergés par le nombre d'alertes qui nécessitent une attention humaine, générées par des règles SIEM bruyantes et une infrastructure de défense par défaut. Pour tenter de réduire le volume et la vitesse des alertes de sécurité auxquelles ils doivent faire face quotidiennement, les analystes appliquent des données externes sur les menaces et des flux de renseignements sur les menaces directement au SIEM, mais les défis persistent pour deux raisons principales.

Premièrement, la quantité de données sur les menaces externes est stupéfiante. L'envoi de toutes ces données directement au SIEM pour corrélation entraîne des tonnes d'alertes non contextuelles, dont chacune nécessite un travail de recherche important de la part d'un analyste. Deuxièmement, les outils actuels manquent de capacités d'aide à la décision pour fournir un contexte et une compréhension supplémentaires afin de déterminer la pertinence, avant d'appliquer les flux de renseignements sur les menaces directement au SIEM. La hiérarchisation est impérative pour se concentrer et déterminer les prochaines actions appropriées à entreprendre pendant le processus de tri des alertes.

Avec la plate-forme ThreatQ, vous pouvez relever le défi du tri des alertes et arrêter les alertes inutiles avant qu'elles ne se produisent en fournissant UNIQUEMENT des renseignements sur les menaces pertinents pour l'organisation. En appliquant automatiquement le contexte, la pertinence et la hiérarchisation des données sur les menaces avant de les appliquer au SIEM, le SIEM devient plus efficient et efficace.

Des scores personnalisés de renseignements sur les menaces basés sur des paramètres que vous définissez, associés au contexte, permettent une hiérarchisation en fonction de ce qui est pertinent pour votre environnement spécifique. Désormais, en utilisant un sous-ensemble de données sur les menaces qui ont été transformées en renseignements sur les menaces, la superposition supplémentaire permet au SIEM de générer moins de faux positifs et de rencontrer moins de problèmes d'évolutivité.

Réponse aux incidents :

L'approche actuelle de l'orchestration, de l'automatisation et de la réponse de la sécurité (SOAR) s'est concentrée sur l'automatisation des processus. Le défi est que lorsqu'ils sont appliqués à la détection et à la réponse, les playbooks axés sur les processus sont intrinsèquement inefficaces et complexes, car les critères et la logique de prise de décision sont intégrés aux playbooks et des mises à jour doivent être effectuées dans chaque playbook. Cette complexité augmente de façon exponentielle à mesure que vous augmentez le nombre de playbooks. L'automatisation et l'orchestration des données bruyantes ne font qu'amplifier le bruit.

Avec ThreatQ TDR Orchestrator, vous pouvez adopter une approche SOAR simplifiée et basée sur les données, où les données, ou informations, pilotent le lancement du playbook et les données apprises par les actions entreprises sont utilisées pour l'analyse et pour améliorer la réponse future. Mettre les "intelligents dans la plate-forme" et non des playbooks individuels permet une configuration et une maintenance plus simples, et des résultats d'automatisation plus efficaces et plus efficaces. Les utilisateurs peuvent organiser et hiérarchiser les données dès le départ, automatiser ce qui est pertinent et simplifier les actions entreprises.

L'auteur est  Noor Boulos de ThreatQuotient