SOAR (Security Orchestration, Automation and Response) est une solution logicielle qui permet aux équipes de sécurité d'intégrer et de coordonner des outils distincts dans des flux de travail rationalisés de réponse aux menaces.
Dans les grandes organisations, les centres d'opérations sécurité (SOC) utilisent de nombreux outils pour suivre et répondre aux cybermenaces. Dans l'étude Cyber Resilient Organization Study 2021 d'IBM, 29 % des organisations interrogées avaient déployé entre 31 et 50 outils et technologies de sécurité différents, et 23 % en avaient déployé entre 51 et 100. Ces outils n'étant pas toujours adaptés pour fonctionner ensemble, les SOC doivent les intégrer manuellement en réponse à chaque incident de sécurité.
Les plateformes SOAR offrent aux SOC une console centrale dans laquelle ils peuvent intégrer ces outils dans des flux de travail optimisés de réponse aux menaces et automatiser les tâches répétitives de bas niveau dans ces flux de travail. Grâce à cette console, les SOC peuvent gérer toutes les alertes de sécurité générées par ces outils dans un seul emplacement.
En rationalisant le triage des alertes et en veillant à ce que les différents outils de sécurité fonctionnent ensemble, les solutions SOAR aident les SOC à réduire le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR), améliorant ainsi la posture de sécurité globale. La détection et la réponse plus rapides aux menaces de sécurité peuvent atténuer l'impact des cyberattaques. Selon le rapport IBM de 2022 sur le coût d'une violation de données, un cycle de vie plus court de violation de données réduit les coûts. Les violations résolues en moins de 200 jours coûtent en moyenne 1,12 million USD de moins aux entreprises que les violations qui le sont dans un délai plus long.
La technologie SOAR est née de la consolidation de trois outils de sécurité antérieurs. Selon Gartner, qui a inventé le terme « SOAR » en 2015, les plateformes SOAR regroupent en une seule offre les fonctions des plateformes de réponse aux incidents de sécurité, des plateformes d'orchestration et d'automatisation de la sécurité et des plateformes de renseignement sur les menaces.
Pour comprendre le fonctionnement des solutions SOAR modernes, il peut être utile de les décomposer en caractéristiques principales : orchestration de la sécurité, automatisation de la sécurité et réponse aux incidents.
L'« orchestration de la sécurité » désigne la manière dont les plateformes SOAR connectent et coordonnent les outils matériels et logiciels du système de sécurité d'une entreprise.
Les SOC utilisent diverses solutions pour surveiller les menaces et y répondre, comme les pare-feu, les flux de renseignements sur les menaces et les outils de protection des points de terminaison. Même des processus de sécurité simples peuvent impliquer plusieurs outils. Par exemple, un analyste de sécurité qui examine un e-maild'hameçonnagepeut nécessiter une passerelle de messagerie sécurisée, une plateforme de renseignements sur les menaces et un logiciel antivirus pour identifier, comprendre et résoudre la menace. Ces outils proviennent généralement de différents fournisseurs et ne s'intègrent pas facilement. Par conséquent, les analystes doivent passer manuellement d'un outil à l'autre dans leur travail.
Grâce à SOAR, les SOC peuvent unifier ces outils dans des flux de travail cohérents et reproductibles d'opérations de sécurité (SecOps). Les solutions SOAR utilisent des interfaces de programmation d'application (API), des plug-ins prédéfinis et des intégrations personnalisées pour connecter les outils de sécurité (et certains outils non liés à la sécurité). Une fois ces outils intégrés, les SOC peuvent coordonner leurs activités en utilisant des routines (playbooks).
Les routines sont des cartographies de processus que les analystes de sécurité peuvent utiliser pour décrire les étapes des processus de sécurité standard telles que la détection des menaces, l'investigation et la réponse. Elles peuvent couvrir plusieurs outils et applications et peuvent être entièrement automatisées, entièrement manuelles ou combiner des tâches automatisées et manuelles.
Les solutions de sécurité SOAR peuvent automatiser les tâches répétitives chronophages de bas niveau, comme l'ouverture et la fermeture des tickets de support, l'enrichissement des événements et la priorisation des alertes. Une solution SOAR peut également déclencher des actions automatisées des outils de sécurité intégrés. Ainsi, les analystes de la sécurité peuvent utiliser des flux de travail de routine pour créer une chaîne d'outils et automatiser des opérations de sécurité plus complexes.
Prenons l'exemple d'une plateforme SOAR qui pourrait automatiser une investigation sur un ordinateur portable compromis. La première indication d'un dysfonctionnement provient d'une solution de détection et de réponse de point de terminaison (EDR) qui détecte une activité suspecte sur l'ordinateur portable. La solution EDR envoie une alerte au logiciel SOAR pour qu'il exécute une routine prédéfinie. Tout d'abord, le logiciel SOAR ouvre un ticket pour l'incident. Il enrichit l'alerte avec des données provenant de flux intégrés de renseignements sur les menaces et d'autres outils de sécurité. Ensuite, le logiciel SOAR exécute des réponses automatisées, telles que le déclenchement d'un outil de détection et de réponse réseau (NDR), pour mettre en quarantaine le point de terminaison ou l'activation d'un logiciel antivirus, pour rechercher et annihiler un logiciel malveillant. Enfin, le logiciel SOAR transmet le ticket à un analyste de sécurité qui détermine si l'incident a été résolu ou si une intervention humaine est nécessaire.
Certains logiciels SOAR intègrent l'intelligence artificielle (IA) et l'apprentissage automatique qui analysent les données des outils de sécurité et recommandent la manière de gérer les menaces à l'avenir.
Grâce à ses fonctionnalités d'orchestration et d'automatisation, SOAR fait office de console centrale pour répondre aux incidents de sécurité. Les analystes de la sécurité peuvent utiliser des logiciels SOAR pour analyser les incidents et les résoudre sans avoir à passer d'un outil à un autre.
À l'instar des plateformes de renseignements sur les menaces , les logiciels SOAR regroupent dans un tableau de bord central les mesures et les alertes provenant de flux externes et d'outils de sécurité intégrés. Les analystes peuvent corréler des données provenant de différentes sources, filtrer les faux positifs, hiérarchiser les alertes et identifier les menaces spécifiques auxquelles ils sont confrontés. Ensuite, ils peuvent répondre en déclenchant les routines appropriées.
Les SOC peuvent également utiliser les outils SOAR pour exécuter des audits post-incidents et des processus de sécurité plus proactifs. Avec les tableaux de bord SOAR, les équipes de sécurité peuvent déterminer comment une menace s'est introduite dans le réseau et comment prévenir les menaces similaires à l'avenir. De même, les équipes de sécurité peuvent utiliser les données SOAR pour identifier les menaces en cours qui sont passées inaperçues et concentrer leurs efforts de chasse aux menaces dans les emplacements qui le requièrent.
En intégrant des outils de sécurité et en automatisant les tâches, les plateformes SOAR peuvent rationaliser les flux de travail de sécurité courants, comme la gestion des dossiers, la gestion des vulnérabilités et la réponse aux incidents. Les avantages de cette rationalisation sont les suivants :
Les SOC peuvent avoir à traiter des centaines ou des milliers d'alertes de sécurité par jour. Cette situation peut engendrer une insensibilité aux alertes, et des activités menaçantes peuvent alors échapper aux analystes. Un logiciel SOAR peut faciliter la gestion des alertes en centralisant les données de sécurité, en enrichissant les événements et en automatisant les réponses, les SOC pouvant ainsi traiter un plus grand nombre d'alertes tout en réduisant le temps de réponse.
Les SOC peuvent utiliser des routines SOAR pour définir des flux évolutifs standard de réponse aux incidents pour traiter les menaces les plus courantes. Plutôt que de traiter les menaces au cas par cas, les analystes de la sécurité peuvent déclencher la procédure appropriée pour résoudre efficacement les menaces.
Les SOC peuvent utiliser les tableaux de bord SOAR pour obtenir des informations sur leurs réseaux et les menaces qui pèsent sur eux. Grâce à ces informations, les SOC peuvent identifier les faux positifs, hiérarchiser plus efficacement les alertes et sélectionner les processus de réponse adaptés.
Les logiciels SOAR centralisent les données de sécurité et les processus de réponse aux incidents pour que les analystes puissent travailler ensemble sur les investigations. En outre, ils permettent aux SOC de partager les mesures de sécurité avec des parties prenantes, telles que les RH, le service juridique et les services de police.
Les outils SOAR, SIEM et XDR ont des fonctions de base en commun, mais chacun possède ses propres fonctions et cas d'utilisation.
Les solutions de gestion des informations et des événements de sécurité (SIEM) collectent des informations à partir d'outils de sécurité internes, les regroupent dans un journal central et signalent les anomalies. Les solutions SIEM servent principalement à enregistrer et à gérer de grands volumes de données relatives aux événements de sécurité.
La technologie SIEM est d'abord apparue comme un outil de production de rapports de conformité. Les SOC ont adopté SIEM parce qu'ils se sont rendu compte que les données SIEM pouvaient éclairer les opérations de cybersécurité. Les solutions SOAR sont apparues pour ajouter les fonctions de sécurité qui manquent à la plupart des solutions SIEM standard, comme l'orchestration, l'automatisation et les fonctions de console.
Les solutions de détection et de réponse étendues (XDR) collectent et analysent les données de sécurité provenant des points de terminaison, des réseaux et du cloud. Comme les solutions SOAR, elles peuvent répondre automatiquement aux incidents sécurité. Cependant, les solutions XDR sont capables d'automatiser les réponses à des incidents plus complexes et plus complètes que les solutions SOAR. Les solutions XDR peuvent également simplifier les intégrations de sécurité, nécessitant souvent moins d'expertise ou de dépenses que les intégrations SOAR. Certaines solutions XDR sont des solutions pré-intégrées d'un seul fournisseur, tandis que d'autres peuvent connecter des outils de sécurité de plusieurs fournisseurs. Généralement, les solutions XDR servent à détecter les menaces en temps réel, le triage des incidents et la chasse automatisée aux menaces.
Les équipes SecOps des grandes entreprises utilisent souvent tous ces outils ensemble. Cependant, les fournisseurs estompent les frontières entre les deux en déployant des solutions SIEM qui peuvent répondre aux menaces et des solutions XDR qui utilisent une consignation similaire à celle de SIEM. Selon certains spécialistes de la sécurité, XDR pourrait un jour absorber les autres outils, de la même manière que SOAR a consolidé ses prédécesseurs.
IBM Security® QRadar® SOAR a pour vocation d'aider votre équipe de sécurité à répondre aux cybermenaces avec confiance, à automatiser avec intelligence et à collaborer avec cohérence.
La suite IBM Security® QRadar® XDR offre un flux de travail unifié pour tous vos outils, afin de détecter et d'éliminer les menaces plus rapidement.
Donnez à votre équipe les moyens d'améliorer son plan de réponse aux incidents et de réduire l'impact d'une violation en préparant vos équipes de réponse aux incidents, vos processus et vos contrôles.
Obtenez nos dernières informations sur l'environnement des menaces en expansion, ainsi que des recommandations sur la façon de gagner du temps et de limiter les pertes.
SIEM aide les organisations à identifier les menaces et les vulnérabilités potentielles de sécurité avant qu'elles ne perturbent les opérations de l'entreprise.
Créez une plateforme d'analyse et d'opérations de sécurité étroitement intégrée qui accélère les activités de sécurité et libère le personnel pour qu'il se consacre à la résolution des problèmes prioritaires.