Selon le FBI, le nombre de cyber-attaques rapportés à leur Cyber Division est en hausse de 400 % par rapport à niveaux prépandémiques, et les attaques s'aggravent. Des sites financiers aux sites de soins de santé en passant par les sites gouvernementaux et les industries de la chaîne d'approvisionnement, personne n'est à l'abri de ces attaques. La défense traditionnelle contre ces menaces est la Security Operations Center (SOC) – une salle pleine d'analystes surveillant les alertes de sécurité sur les écrans de télévision – mais cette défense ne fonctionne pas très bien – il suffit de demander au les services de cybersécurité équipes de Continental Pipeline, Target, TransUnion ou de l'une des centaines d'autres entreprises qui ont subi des attaques importantes.
Comment un SOC Ça marche et ça ne marche pas
La théorie de fonctionnement derrière un SOC est que si vous collectez suffisamment de données dans l'entreprise via divers Outils informatiques et de sécurité, puis utilisez des plateformes d'analyse pour classer et visualiser les alertes à partir de différents outils, puis enfin déployer une équipe d'analystes à plusieurs niveaux pour gérer et répondre aux alertes, alors sûrement, la plupart ou toutes les cyberattaques seront repérées rapidement et traitées avant qu'elles ne causent de réels dommages. L'expérience du monde réel nous dit le contraire.
Il y a plusieurs raisons pour lesquelles le SOC modèle est cassé. En premier lieu, tous ces outils de sécurité émettent BEAUCOUP d'alertes - des milliers d'entre elles, dont beaucoup sont bénignes. Par exemple, un utilisateur qui se trouve généralement au bureau et se connecte à distance peut déclencher une alerte, ou un utilisateur qui se connecte en dehors des heures de bureau peut déclencher une alerte. Les analystes de la sécurité doivent traiter chaque jour des centaines ou des milliers de ces alertes « faux positifs ».
Une autre raison pour laquelle SOCs L'échec est que chacun des outils de cybersécurité discrets utilisés a son propre format de données et souvent sa propre console, et ne représente finalement qu'un seul aspect de la posture de sécurité de l'organisation. Dans le monde d'aujourd'hui, de nombreuses cyberattaques complexes se produisent à travers deux ou plusieurs vecteurs - ce n'est pas seulement quelqu'un qui se heurte à un pare-feu, il peut s'agir d'une attaque de phishing par e-mail ou d'un virus téléchargé lors d'une mise à jour de programme de routine (comme avec le Attaque SolarWindsLe problème est que dans un SOCPersonne n'a une vision d'ensemble intuitive ; cette vision doit être corrélée manuellement à partir de milliers d'alertes par des équipes d'analystes. Ce processus manuel ne permet ni une automatisation robuste, ni que chaque alerte reçoive l'attention qu'elle mérite.
Il y a donc trop d'alertes, trop d'outils et pas assez de corrélation automatique des données entre les outils. Mais il y a aussi un autre problème : pas assez d'analystes. Une étude mondiale des professionnels de la cybersécurité par Association pour la sécurité des systèmes d'information (ISSA) et cabinet d'analyse de l'industrie Groupe de stratégie d'entreprise (ESG) rapporte que le sous-investissement dans les outils de cybersécurité, combiné au défi des charges de travail supplémentaires pour les analystes, entraîne une pénurie de compétences qui entraîne des emplois non pourvus et un épuisement professionnel élevé parmi le personnel de sécurité de l'information. Et cela fait également grimper les coûts des analystes : un analyste en cybersécurité de haut niveau peut gagner 200,000 XNUMX $ par an.
Bien sûr, tout cela se passe dans un monde où les cyberattaques sont de plus en plus sophistiquées et nombreuses chaque mois.
SOCmoins – Une autre façon
Mais que se passerait-il si les entreprises abandonnaient le SOC idée? Et s'ils répartissaient leurs cyberdéfense géographiquement et à une équipe d'experts en infrastructure ? Et si une plate-forme automatisait le travail banal de réponse aux alertes de faible priorité et le travail complexe de corrélation entre tous les outils informatiques et de sécurité ? Et si les analystes passaient leur temps à rechercher de manière proactive les menaces et à mettre en œuvre des politiques de meilleures pratiques ? Et si la fatigue d'alerte n'existait pas ? Est-ce possible?
Il est. Nous pouvons nous tourner vers les équipes de développement de logiciels pour un exemple de la façon dont cela pourrait fonctionner. Dans DevOps, une approche moderne du développement de logiciels, les meilleures sociétés de logiciels au monde n'alignent pas leurs développeurs en rangées dans une même pièce - elles disposent de systèmes qui permettent des collaborations asynchrones entre des personnes réparties dans le monde entier. Mais il y a bien plus que l'endroit où les gens s'assoient.
Dans DevOps, l'innovation et la correction de bogues sont une opération continue, 24 heures sur 7, XNUMX jours sur XNUMX, reposant sur des systèmes d'intégration continue et de livraison continue (CI/CD). La CI/CD moderne permet aux développeurs de se concentrer sur la création et permet aux plus petites équipes de créer des produits qui définissent le marché. Les tâches banales et complexes sont entièrement automatisées dans CI/CD, et les développeurs sont tenus de mettre en place des tests proactifs pour toutes les fonctionnalités qu'ils déploient. Cela réduit considérablement les erreurs et les bogues dans les systèmes, ce qui permet aux développeurs de se concentrer sur ce qui compte le plus.
Le travail traditionnel d'un SOC oppose une équipe humaine dédiée à des milliers d'alertes. Mais les grandes entreprises technologiques ont adopté un nouveau modèle : des alertes fiables, bien documentées et de haute fidélité attirent l'attention, mais la plupart des alertes peuvent être ignorées en raison de l'automatisation. Les plates-formes de cybersécurité les plus avancées envoient automatiquement des alertes de routine au propriétaire de l'infrastructure ou de l'application responsable de ce domaine particulier - qu'il s'agisse d'un pare-feu, d'un utilisateur final, d'une application ou d'un serveur - ainsi qu'un ensemble de réponses recommandées. Comme Alex Maestretti (Actuellement CISO chez Remy, ancien responsable de l'ingénierie chez Netflix, où se trouve l'équipe SecOps) SOCmoins) le mettre, c'est ce que l'on entend par SOCmoins – décentraliser le tri des alertes vers les experts système. La solution à la fatigue d'alerte n'est pas plus d'humains ou plus de données, ce sont des systèmes autonomes robustes avec des processus décentralisés.
Migration vers SOCMoins
Pour faire ça SecOps travail de modèle, le service de sécurité a besoin de personnes qui contribuent en permanence à des changements de politique significatifs, à des stratégies de détection et à des manuels de jeu, sans regarder les moniteurs à la recherche d'alertes. Il faut du travail et de l'engagement pour arriver à cet état, mais si les analystes surveillent en permanence les alertes, ils ne devanceront jamais le problème. Pour permettre la proactivité, les équipes de sécurité ont besoin de CI / CD équivalent pour les infrastructures de sécurité.
La première exigence est d'avoir des contrôles de gestion des risques de base avec les meilleures pratiques d'hygiène facilement applicables. Un excellent exemple en est la mise en œuvre approfondie de Zero Trust ; cela améliore non seulement votre posture de sécurité, mais réduit également les alertes et le bruit, simplifiant ainsi le problème des données. La deuxième exigence est une cybersécurité plateforme de détection et de réponse où les stratégies et les playbooks peuvent être déployés rapidement. Un déploiement et une configuration rapides sont primordiaux - le temps entre la détection et l'idée de réponse et le déploiement en production doit être aussi proche que possible de zéro. Toute plate-forme de détection et de réponse qui prend en charge cela sera facile à utiliser et aura un contenu important prêt à l'emploi, y compris des détections basées sur l'IA et l'apprentissage automatique, car les règles ne suffisent pas.
J'y vais SOCmoins prend plus que la technologie, cependant. Il faut une équipe engagée et des processus repensés - se familiariser avec une automatisation importante, faire en sorte que les propriétaires d'infrastructure reçoivent directement les alertes pertinentes et consacrer la majorité du temps à un travail de sécurité proactif. Il y aura toujours un besoin de personnel, cependant, et pour de nombreuses entreprises, augmenter le personnel interne avec un fournisseur de services de sécurité gérés est un moyen rentable de rester proactif. Une entreprise a besoin de personnes pour s'assurer que les bonnes stratégies sont déployées en permanence, et un MSSP avec un déploiement cogéré d'une plate-forme de détection et de réponse permet aux entreprises d'augmenter le support selon les besoins. Tout comme les entreprises se sont tournées vers le cloud pour les offres en tant que service, elles peuvent se tourner vers MSSP pour SOC-en tant que service offrandes. Cela aidera beaucoup à compléter le SOCmoins passage.
Ainsi, en examinant attentivement les fonctions DevOps distribuées et en les mappant aux opérations de sécurité distribuées (SecOps), les entreprises peuvent commencer à devancer les pirates en termes de détection et de correction des attaques complexes. Il faut un réel changement de perception pour réussir, mais bon nombre des entreprises les plus grandes et les plus avancées de la planète sont déjà parties SOCmoins. Il est peut-être temps que toutes les autres entreprises le fassent aussi.
