Un aperçu de la première année d’opérations d’automatisation SOC

Cela fait un peu plus d’un an que SOC Prime s’est engagé dans sa mission actuelle : apporter de l’efficacité dans les technologies de cybersécurité les plus sophistiquées grâce à l’automatisation, la consolidation des connaissances et la fusion avec les technologies leaders du marché. En utilisant des phrases à la mode, nous avons affirmé que nous rendrions la ‘Cybersécurité actionnable’ grâce à l’automatisation de la détection des menaces connues et à la fourniture d’outils libérant des ETP pour combattre celles inconnues. Et bien que de nombreuses entreprises poursuivent le même objectif, nous croyons qu’aucune solution ou organisation unique ne peut affronter les adversaires seule et qu’il y a clairement un besoin pour un système de défense collective. Eh bien, je suis fier d’annoncer qu’aujourd’hui nous avons terminé nos premiers pas pour réaliser cet objectif. C’est aujourd’hui que SOC Prime annonce l’unification de nos deux produits phares, Maintenance Prédictive pour SIEM et Framework d’Intégration, sous une plate-forme unique pour la Gestion de la Sécurité et de l’Intelligence.

De nos jours, nous pouvons affirmer avec certitude que la vitesse actuelle de détection des violations de sécurité peut être améliorée et peut être drastiquement inférieure aux tristement célèbres 200 jours. Et l’une des premières réponses réside dans l’automatisation de nombreuses opérations de routine d’un SOC moderne et la fusion des technologies qui sont établies depuis longtemps dans l’industrie. Comme beaucoup d’entre vous, notre équipe a passé des années dans les opérations de première ligne des déploiements SIEM et comme beaucoup d’entre vous, nous avons traversé toutes les étapes ludiques et difficiles de l’écriture de parseurs, du développement de Cas d’Usage, du dimensionnement, de la délimitation, de la recherche de solutions de contournement et de l’accomplissement de toutes ces systèmes complexes pour qu’ils accomplissent ce à quoi ils sont destinés : détecter les incidents de sécurité ! Maintenant, si nous y réfléchissons un instant, une détection précise dépend de plusieurs facteurs, notamment : la disponibilité des données de journal et des flux externes, la qualité des données consommées par le SIEM qui commence par un parsing correct dès qu’elles sont extraites de la source du journal et se termine par la catégorisation et l’enrichissement, la performance de la plate-forme elle-même qui nécessite une attention constante de son administrateur, l’exactitude des informations sur les actifs et le réseau et enfin, mais pas des moindres – la sécurité du système SIEM lui-même.

Tout cela a été un travail manuel minutieux pendant plus d’une décennie, et tout cela est en train de changer alors que nous appliquons des ensembles d’outils plus avancés pour faciliter notre travail quotidien et utiliser nos ressources de manière plus efficace. C’est pour cela que notre module de Maintenance Prédictive est conçu – améliorer la visibilité au cœur de votre SOC et vous offrir une vision complète et des réponses instantanées, pile au moment où vous en avez besoin. Il n’y aura plus de doutes ou de place pour les suppositions sauvages sur la question de savoir si un SIEM a capturé les données dont vous avez besoin et peut les fournir lorsque c’est nécessaire, vous pouvez maintenant vous fier aux faits et voir une image complète à tout moment.

Pourtant, le SIEM lui-même n’est qu’un élément d’une solide infrastructure de sécurité et il doit s’interconnecter avec une pléthore de dispositifs et de technologies de sécurité. Comme noté par le SANS au début de 2015, plus de 52 % des entreprises ayant répondu à l’enquête SOC indiquent qu’elles ont peu de visibilité sur les configurations et les vulnérabilités de leurs actifs, ce qui réduit à son tour l’efficacité de la réponse aux incidents. Alors que les systèmes de gestion des vulnérabilités et d’évaluation de la conformité existent depuis 1999 et ont rencontré un grand succès à la fois en précision et en rapidité d’exécution de leur travail, il existe encore un fossé à combler pour les opérationnaliser dans le contexte du SOC. Et ce fossé est comblé grâce à l’intégration complète des technologies de Gestion des Vulnérabilités avec le SIEM, et c’est donc l’une des premières choses dont nous nous sommes occupés via notre Framework d’Intégration.

Avec nos premiers clients et partenaires, nous prouvons maintenant en pratique que ce framework est la base de la Surveillance Continue des Vulnérabilités et des Actifs. Maintenant, toute entreprise dans le monde peut automatiser les opérations de la plate-forme de Gestion des Vulnérabilités, de Conformité et d’Évaluation des Configurations dans son SOC. Puisque toutes les entreprises ne sont pas identiques en termes de taille, d’infrastructure, de spécificités industrielles et de réglementations, nous avons développé notre plate-forme pour qu’elle soit accessible à tous à travers des éditions en SaaS pur et sur site, déployables sur les plates-formes de virtualisation VMware ESXi, Microsoft HyperV, Amazon AWS, KVM & Proxmox. Cependant, est-ce que l’intégration et l’automatisation vont propulser la sécurité dans son ensemble au niveau de l’évolution supérieur ? Pas encore, et nous avons bien plus à venir dans les prochains mois. Restez connectés pour d’autres mises à jour !