SOC autonome : vers des opérations de sécurité plus intelligentes

  • Principaux plats à emporter:
  • Que résout le SOC autonome ?
    Il répond aux défis critiques des opérations de sécurité tels que la fatigue des alertes, la visibilité fragmentée et le personnel qualifié limité.
  • Quelles sont les principales fonctionnalités d’Autonomous SOC ?
    Il intègre la détection, l’enquête et la réponse automatisées à l’aide de l’IA et de l’analyse comportementale.
  • Quel est l'impact du SOC autonome sur le temps de réponse ?
    Il réduit considérablement le temps moyen de détection (MTTD) et de réponse (MTTR), améliorant ainsi l'efficacité opérationnelle.
  • Quels types d’outils sont unifiés dans un SOC autonome ?
    Les systèmes SIEM, SOAR, UEBA, NDR et de renseignement sur les menaces fonctionnent ensemble dans une solution intégrée.
  • Qui bénéficie le plus du SOC autonome ?
    Les entreprises aux ressources limitées et les MSSP ont besoin d’opérations de sécurité à haute efficacité et à faible friction.
  • Comment Stellar Cyber ​​prend-il en charge le SOC autonome ?
    Sa plateforme Open XDR connecte plus de 300 outils, centralisant la visibilité et l'automatisation sur l'ensemble de l'infrastructure.

Le centre d'opérations de sécurité (SOC) autonome est déjà là : alors que différentes organisations s'efforcent d'accroître la maturité de leur SOC et l'efficacité de leurs équipes, la prochaine étape vers une efficacité accrue de l'IA peut être difficile à identifier et à laquelle il peut être difficile de faire confiance. 

Cet article identifie les principales étapes de la maturité de l’automatisation du SOC, les défis rencontrés en cours de route et le partenariat conjoint que les analystes de l’IA et du SOC doivent former pour ouvrir la voie à des opérations de sécurité véritablement autonomes.

Fiche technique Next-Gen-pdf.webp

SIEM nouvelle génération

Stellar Cyber ​​Next-Generation SIEM, en tant que composant essentiel de la plateforme Stellar Cyber ​​Open XDR...

Télécharger la fiche technique
image-de-demo.webp

Découvrez la sécurité basée sur l'IA en action !

Découvrez l'IA de pointe de Stellar Cyber ​​pour une détection et une réponse instantanées aux menaces. Planifiez votre démo dès aujourd'hui !

Voir la Démo du Produit

Comment l'IA et l'automatisation propulsent le parcours du SOC autonome

Un SOC est le cœur battant de la cybersécurité de l'entreprise : à travers ses différents niveaux d'intervenants et de gestionnaires d'incidents, les SOC détectent, analysent et répondent aux événements de cybersécurité en s'appuyant sur une combinaison de personnel qualifié, de processus bien définis et de technologies avancées.

Les équipes de sécurité modernes sont confrontées à un nombre croissant de défis, allant des cyberattaques de plus en plus sophistiquées aux volumes d'alertes écrasants qui couvrent des surfaces d'attaque toujours plus étendues. Si l'on met tout cela ensemble, l'impact réel commence à éroder l'efficacité des professionnels de la cybersécurité et à augmenter considérablement leurs heures de travail.

Il en résulte une pénurie persistante de talents. Ces facteurs rendent plus difficile que jamais pour les équipes SOC de trier, d'enquêter et de répondre efficacement aux menaces. En conséquence, des tâches essentielles telles que la gestion proactive de la posture et la chasse aux menaces sont souvent mises de côté, car elles nécessitent beaucoup de temps, une expertise spécialisée et un soutien financier important. C'est dans cet environnement que le SOC piloté par l'IA devient une étape de plus en plus populaire.

À mesure que les entreprises progressent dans le parcours SOC autonome, leurs capacités de détection des menaces augmentent. Les moteurs d'IA peuvent analyser les journaux et le comportement des appareils liés à des alertes auparavant unidimensionnelles, les flux de travail des analystes peuvent être hiérarchisés avec plus de clarté et les opérations de sécurité peuvent être étendues à des capacités bien plus importantes que jamais auparavant. Au plus fort du modèle de maturité SOC, les entreprises sont en mesure de tirer parti de capacités de visibilité et de réponse dépassant de loin l'effectif de leur équipe.

Principaux avantages à différentes étapes de l'automatisation du SOC

Les organisations effectuent cette transition à des rythmes différents et avec des outils différents. Pour assurer un certain degré de lisibilité de ces différents programmes, le modèle de maturité SOC autonome le divise en cinq types de SOC : entièrement manuel ; basé sur des règles ; unifié par l'IA ; augmenté par l'IA ; et dirigé par l'IA.

#1. Manuel SOC

Le niveau le plus élémentaire d'automatisation est son absence totale. Toutes les opérations de sécurité à ce stade reposent sur des méthodes de détection centralisées, qui sont ensuite évaluées par un analyste humain. Par exemple, lorsqu'un e-mail de phishing suspect est transmis au flux de travail d'un analyste, celui-ci doit parcourir la masse de journaux réseau collectés pour confirmer si des utilisateurs ont visité le faux site Web. La correction peut consister à sélectionner manuellement le site à bloquer ou à enquêter et à isoler un compte compromis.

Aujourd'hui, peu de SOC s'appuient uniquement sur des processus manuels : la prolifération d'outils de sécurité plus avancés a poussé le SOC moyen bien plus loin dans le pipeline d'automatisation. Cependant, cette dépendance à l'intervention manuelle peut encore perdurer dans certains processus de sécurité comme la gestion des correctifs et la recherche des menaces. Cela prend énormément de temps et nécessite un personnel nombreux pour gérer des flux de travail exigeants.

#2. SOC basé sur des règles

Il s'agit du premier degré d'automatisation : implémenté au sein des outils de sécurité individuels, il leur permet de corréler les données selon des règles définies. En cas de correspondance, les connexions incorrectes sont automatiquement bloquées ou signalées. Par exemple, une règle de pare-feu peut prévoir qu'en cas de plusieurs tentatives de connexion infructueuses depuis un même compte, une alerte soit envoyée aux analystes. Les règles peuvent être imbriquées les unes dans les autres pour une plus grande granularité : dans notre exemple, un analyste pourrait imbriquer la détection de plusieurs tentatives de connexion infructueuses avec un pic d'activité réseau sortante provenant de la même adresse IP. Si ces deux conditions sont remplies, le pare-feu peut automatiquement isoler le terminal suspect afin d'empêcher ou de limiter la compromission du compte. Les défenses réseau d'un SOC ne constituent pas la seule plateforme possible pour l'automatisation basée sur des règles : la gestion des journaux est l'une des options offrant le meilleur retour sur investissement, et elle est réalisée via un outil SIEM. Le même principe de collecte, de collationnement et de réaction des journaux est appliqué. Plutôt que l'analyste ait à effectuer lui-même chaque action d'analyse et de remédiation, la règle détermine l'action spécifique que l'outil de sécurité doit entreprendre, accélérant ainsi considérablement la vitesse à laquelle le SOC peut défendre ses terminaux et ses serveurs. Bien que ces avancées améliorent considérablement l'évolutivité des opérations SOC, les équipes SOC doivent toujours mettre à jour et affiner continuellement les règles elles-mêmes. De plus, à chaque règle déclenchée, les analystes identifient souvent manuellement le problème principal qui l'a déclenchée, tout en déterminant s'il s'agit d'une véritable attaque. Les runbooks détaillent souvent la manière dont les analystes doivent croiser les outils entre eux, ce qui signifie que les SOC basés sur des règles dépendent encore fortement du tri manuel.

#3. SOC unifié par l'IA

Les capacités unifiées de l'IA font évoluer les runbooks vers des playbooks ou des workflows automatisés. Les SOC unifiés par l'IA ajoutent une couche d'analyse supplémentaire sur toute la corrélation des journaux qui se produit dans la phase 2. Cela commence à passer de la corrélation des journaux à la corrélation des alertes, éliminant ainsi une partie du temps que le regroupement des alertes prend habituellement.

demandes, et permettant ainsi à l'équipe de répondre plus rapidement aux véritables IoC.

SOAR est un outil couramment utilisé dans les SOC unifiés par l'IA : il fournit au SOC une console qui intègre l'activité en temps réel des logiciels de sécurité segmentés d'une organisation, comme son SIEM, son EDR et ses pare-feu. Cette collaboration n'est pas seulement visible : pour qu'elle soit unifiée par l'IA, SOAR croise automatiquement les alertes et les données partagées entre ces outils disparates. Ils sont capables d'exploiter les interfaces de programmation d'applications (API) pour transférer des données entre des sources pertinentes.

À partir de toutes ces données, une plateforme SOAR est capable d'intégrer une alerte provenant d'un outil (par exemple une solution de détection et de réponse aux points d'extrémité, Endpoint Detection and Response, EDR) et de commencer à relier les résultats d'autres outils. Par exemple, l'EDR peut avoir identifié une application d'arrière-plan inhabituelle exécutée sur un appareil. La plateforme SOAR peut comparer l'application en question aux journaux pertinents d'autres outils, comme les flux de renseignements sur les menaces et les pare-feu. Ces données supplémentaires permettent ensuite au moteur d'analyse de la plateforme SOAR d'évaluer la légitimité de l'alerte de l'EDR.

Notez que le SOAR lui-même n'est pas une IA complète : il s'appuie toujours sur de vastes pans de manuels pour réagir. Le développement de ces manuels SOAR exige une compréhension approfondie de chaque opération de sécurité et de ce à quoi pourraient ressembler les menaces potentielles. Chaque manuel est construit en identifiant les tâches répétitives, puis en établissant des mesures claires pour évaluer les performances du manuel, telles que les temps de réponse et le taux de faux positifs. Cela permet de gagner beaucoup de temps dans le processus de réponse aux incidents, une fois que tout est opérationnel.

#4. SOC humain augmenté par l'IA

Cette étape voit les capacités d'automatisation passer de la corrélation des alertes à un tri automatique partiel. Le tri est le processus par lequel les alertes sont traitées. Jusqu'à cette étape, toutes les étapes de tri ont été définies manuellement. Plutôt qu'un déclencheur de manuels définis, le SOC augmenté par l'IA bénéficie de l'examen de chaque alerte en tant que point de données individuel ; et sa réponse aux incidents combine des suggestions automatisées avec les contributions des analystes.

Les exigences spécifiques de chaque processus d’investigation sont définies par les données analysées par l’organisation elle-même : avec une base de référence sur l’accès au réseau, le partage de données et le comportement des terminaux, l’IA est capable de repérer les écarts par rapport à cette norme, tout en surveillant les IoC connus qui correspondent aux bases de données de renseignements sur les menaces connectées. Mais ce qui est le plus important pour cette phase, ce sont les réponses apportées : une fois qu’une alerte est liée à un véritable chemin d’attaque, le moteur d’IA est capable de répondre via les outils de sécurité pour couper l’accès à un attaquant. Tout au long de ce processus, il génère et hiérarchise les alertes et les transmet au niveau approprié de spécialistes SOC. Il relie chaque alerte à des résumés et des conclusions cohérents et bien documentés qui permettent à la composante humaine de se mettre rapidement au courant.

Les outils permettant d’y parvenir et la phase finale de l’automatisation comprennent Plateforme SecOps automatisée de Stellar Cyber: il permet aux experts SOC humains d'automatiser rapidement le tri, tout en conservant les analystes humains comme décideurs finaux en matière de remédiation. Pour soutenir cela, ces capacités et les informations sous-jacentes sont rendues accessibles via une plateforme centrale.

#5. IA augmentée par l'humain SOC

Étape finale de l'intégration IA-SOC, cette phase voit les capacités de l'IA s'étendre de la détection et de la réponse aux incidents pour inclure des domaines plus larges et plus spécialisés.

Par exemple, les enquêtes médico-légales détaillées sont un domaine dans lequel les SOC pilotés par l’IA peuvent devancer leurs homologues pilotés par des humains. À partir d’un incident de sécurité connu, un moteur d’IA central peut extraire les indicateurs de compromis pertinents et les réassembler dans des chaînes d’attaque probables – de l’intrusion initiale, en passant par le mouvement latéral et enfin jusqu’au déploiement de logiciels malveillants ou à l’exfiltration de données. Ces indicateurs de compromis peuvent rester internes ou être utilisés pour enrichir les capacités de détection d’un centre central de partage et d’analyse des informations (ISAC). En plus d’identifier les méthodes et les objectifs ultimes des attaquants, cette focalisation sur les connaissances partagées peut également permettre à un SOC piloté par l’IA d’identifier les auteurs potentiels d’une attaque, en particulier si leurs tactiques et techniques correspondent à celles de groupes connus.

Dans cette phase, les communications sur les incidents peuvent également en bénéficier : la croissance des modèles de langage étendus (LLM) de niche permet aux responsables du SOC de communiquer rapidement sur le problème principal en question, car la plateforme SOC autonome centrale condense l'attaque très complexe dans un langage plus accessible. C'est ainsi que l'IA Copilot de Stellar fournit une assistance tout au long des enquêtes complexes. Les LLM intégrés permettent également aux organisations d'informer rapidement les clients concernés et aux analystes du SOC de se concentrer sur la remédiation guidée par l'IA.

Outre les analyses forensiques, l'automatisation complète du SOC peut identifier de manière proactive et automatique les lacunes des contrôles de sécurité actuels. Il peut s'agir d'une détection de menaces entièrement automatisée, de correctifs, de corrections des vulnérabilités du pare-feu découvertes lors de l'installation de systèmes de sécurité. sandboxing de fichiers; ou en s'intégrant au pipeline CI/CD pour empêcher le déploiement interne de code vulnérable en premier lieu.

Les défis du SOC tout au long du parcours

La transition vers un SOC autonome représente un véritable bouleversement pour les opérations de sécurité d’une entreprise ; elle comporte son lot de défis à prendre en compte.

Intégration des Données

La connexion d'outils et de systèmes disparates à une plateforme unifiée peut constituer l'un des premiers obstacles à l'automatisation du SOC. Et ce n'est même pas aussi simple que de partager des données entre différents outils ; un SOC autonome a besoin d'une architecture de sécurité extensible, capable de s'intégrer de manière transparente à la pile de sécurité complète et d'ingérer, de consolider et de transformer les données dans n'importe quel format.

Dans le même temps, ce ne sont pas seulement toutes les données de sécurité, d'appareils et de réseau qui doivent atteindre le moteur d'IA central : elles doivent également soutenir les tentatives de correction et d'enquête des analystes, ce qui fait d'une plate-forme centralisée et d'une interface utilisateur multi-outils une nécessité.

Résistance culturelle

L'adaptation à l'automatisation peut nécessiter des changements importants dans les flux de travail des équipes. Si un SOC est habitué à gérer manuellement ses propres règles de pare-feu et de SIEM, il peut résister aux changements imposés par l'automatisation. C'est pourquoi un processus incrémental est souvent le meilleur : passer de la phase 1 à la phase 5 en l'espace d'un an représenterait probablement une perturbation trop importante.

Il faut également faire face à une certaine forme de peur : l’automatisation pouvant désormais reproduire les trois niveaux de compétences des analystes SOC, il est légitime de craindre que l’intervention humaine ne soit plus jugée nécessaire. La vérité est loin d’être la même : l’équipe SOC humaine est la meilleure source de compréhension et d’intelligence concrètes de l’architecture et des vulnérabilités d’une organisation. Ses défis actuels doivent mener à l’intégration de la sécurité pilotée par l’IA au sein de tout SOC ; son soutien restera crucial même dans les configurations entièrement évoluées, car elle est à la tête de la prise de décision corrective et éthique de l’IA.

Compétences et contraintes budgétaires

Lors de la mise en œuvre de l'IA, il est essentiel de s'appuyer sur une expertise spécifique dans les domaines de l'IA, de l'automatisation et de la détection avancée des menaces. Cette combinaison spécifique de compétences peut toutefois être difficile à trouver, sans parler du coût élevé de son intégration. Même les analystes SecOps les plus récents peuvent coûter 50 XNUMX dollars par an, et les spécialistes de l'IA correctement formés sont bien plus chers. Cela s'accompagne d'un autre défi : le budget.

Les SOC étaient autrefois réservés aux entreprises à fort chiffre d’affaires ; les plus petites organisations s’appuyaient sur des fournisseurs de services de sécurité gérés (MSSP) pour les aider à équilibrer le coût de la cybersécurité par rapport au risque d’attaque. Cela signifie que le coût reste l’un des principaux obstacles à la mise en œuvre de l’IA, en particulier compte tenu du gaspillage de temps et d’argent que les processus manuels peuvent entraîner.

Comment Stellar Cyber ​​élimine les obstacles à l'autonomie du SOC

Stellar Cyber ​​accélère la transition vers un SOC autonome en fournissant une plateforme intégrée qui combine des opérations de sécurité simplifiées et une IA accessible. Elle se concentre sur l'arrêt de la prolifération des SOC et fournit à chaque niveau d'analystes les outils dont ils ont besoin pour réaliser des gains de sécurité bien plus importants.

Une plateforme ouverte et unifiée

La sécurité basée sur l'IA nécessite un accès important et continu aux données. Certains fournisseurs verrouillent cet accès derrière les barreaux de leurs propres outils. Stellar Cyber, en revanche, place L'intégration ouverte est au cœur de la philosophie de l'outil. Une architecture pilotée par API permet à Stellar Cyber ​​d'ingérer des données provenant de n'importe quelle source et outil de sécurité, et permet en outre au moteur d'IA de remédier aux incidents via les mêmes connexions bidirectionnelles.

L'ensemble de l'environnement de sécurité de l'organisation est alors unifié sur une seule plateforme. Toutes les opérations SOC de l'IA sont ainsi à la portée des analystes correspondants. Elle combine les actions d'analyse et de correction proposées par SIEM, NDR et XDR, simplifiant encore davantage la pile technologique d'un SOC. Étant donné que Stellar peut intégrer une multitude de cadres différents dans cette large gamme de capacités de réponse, le tableau de bord sert également à détailler les étapes de chaque réponse automatisée.

Une IA multicouche

Le cœur battant de Stellar Cyber ​​réside dans ses capacités de prise de décision. L'IA multicouche suit un certain nombre de processus pour identifier les menaces :

IA de détection

Les algorithmes de ML supervisés et non supervisés surveillent l'état en temps réel de chaque outil et appareil de sécurité connecté. Collectés par des capteurs ou des intégrations d'API, les journaux et les alertes générés sont tous ingérés dans le lac de données du modèle, à partir duquel s'exécute un algorithme de détection de base. C'est cette architecture qui permet à l'IA de détection de signaler des modèles inhabituels ou de déclencher des alertes de règles prédéfinies.

IA de corrélation

Une fois les alertes détectées, la deuxième IA de Stellar entre en action : elle compare les détections et autres signaux de données dans les environnements pertinents, transformant les alertes en incidents complets. Ces incidents sont suivis via une IA basée sur GraphML, qui aide les analystes en assemblant automatiquement les points de données connexes. La manière dont les différentes alertes sont connectées prend en compte la propriété ainsi que les similitudes temporelles et comportementales. Cette IA évolue en permanence en fonction des données du monde réel, augmentant à chaque exposition opérationnelle.

Réponse IA

Enfin, l'IA de réponse peut prendre effet. Elle peut agir sur les pare-feu, les terminaux, les e-mails et les utilisateurs, partout où le rayon d'action de l'explosion sera le plus rapide. Les analystes conservent une personnalisation complète du contexte, des conditions et du résultat des réponses de l'outil. Les manuels peuvent être mis en œuvre soit globalement, soit adaptés à des locataires individuels ; les manuels prédéfinis peuvent automatiser les réponses standard ou créer des manuels personnalisés qui exécutent des actions spécifiques au contexte.

Multi-Tenancy pour les MSSP

Les MSSP représentent un partenaire idéal pour de nombreuses organisations, mais ils sont particulièrement utiles aux organisations de taille moyenne qui doivent équilibrer leur budget et leur flexibilité en matière de sécurité. Étant donné que les MSSP externalisent essentiellement la gestion de la sécurité, ils sont susceptibles de bénéficier considérablement d'une automatisation à haute efficacité comme celle de Stellar Cyber.

Stellar Cyber ​​prend en charge cette approche en proposant ses capacités à plusieurs locataires tout en maintenant la séparation des données. Empêcher ce mélange est essentiel pour garantir la sécurité du back-end, tout en offrant aux analystes hautement qualifiés les outils et la visibilité de la plateforme Stellar Cyber.

Évolutivité pour les équipes Lean

Qu'elle soit basée au sein d'un MSSP ou de l'organisation elle-même, il est essentiel que l'IA se concentre sur des opérations de sécurité rentables et évolutives. Stellar Cyber ​​permet aux équipes légères d'atteindre le même degré de protection que les équipes manuelles plus importantes, grâce à ses deux composants principaux : la recherche automatisée des menaces et la prise de décision accessible.

Lors de la collecte et de l'analyse des données en temps réel au sein d'une organisation, Stellar Cyber ​​rassemble toutes les failles de sécurité possibles dans sa bibliothèque de recherche de menaces. Cet aperçu montre les différents types d'alertes et le nombre de celles qui ont été détectées. Celles-ci peuvent être connectées manuellement aux cas en cours ou traitées individuellement. Pour une vue différente, le processus d'analyse des actifs de Stellar Cyber ​​trie rapidement les actifs les plus risqués, ainsi que leurs emplacements et les cas associés, offrant ainsi aux analystes une image plus précise de chaque faille potentielle.

L'automatisation du SOC ne doit pas se faire au détriment de l'équipe. Stellar Cyber ​​traduit chaque décision automatisée en fonction du cadre correspondant qu'elle utilise pour y parvenir. Par exemple, il ne s'aligne pas seulement sur MITRE, il partage également la manière dont chaque décision de triage s'aligne sur ce cadre. Cela permet de garder le processus de triage accessible même lors de la gestion d'attaques complexes.

Améliorez l'efficacité de votre SOC avec Stellar Cyber

Le résultat de l'activation de l'IA par Stellar Cyber ​​est une plateforme accessible qui renforce la confiance des analystes SOC dans leurs propres processus, augmentant ainsi les capacités humaines et IA. Cette approche centrée sur l'humain est également la raison pour laquelle Stellar Cyber ​​propose sa plateforme sur une licence unique. Cela inclut toutes ses capacités SecOps ouvertes, spécialement conçues pour améliorer l'efficacité de l'expertise propre de chaque membre du SOC. Pour découvrir Stellar Cyber ​​par vous-même, planifier une démo avec l'un des membres expérimentés de notre équipe.

Cela semble trop beau pour
Sois sincère?
Voyez-le vous-même !

Demandez une démonstration
Remonter en haut
Inscrivez-vous aux newsletters