Qu’est-ce que le SOAR (Security Orchestration, Automation, and Response) ?
Définition du SOAR
Le SOAR (Security Orchestration, Automation, and Response - Orchestration, automatisation et réponse en matière de sécurité) permet aux équipes chargées de la sécurité de standardiser et de rationaliser la réponse de leur entreprise aux attaques et aux incidents. Le SOAR optimise les workflows à l’intérieur et au-delà du centre des opérations de sécurité (SOC), ce qui permet aux analystes de concentrer leurs efforts sur la protection de leur écosystème d’entreprise.
Qu’est-ce que l’orchestration de la sécurité ?
L’orchestration de la sécurité est un moyen d’interconnecter des outils de sécurité disparates de façon à centraliser et à répercuter des actions. Cela permet aux équipes chargées de la sécurité de rationaliser leurs processus et d’accélérer la réponse aux incidents.
Qu’est-ce que l’automatisation de la sécurité ?
L’automatisation de la sécurité consiste à implémenter des règles prédéfinies qui répondent à une certaine action ou condition. Elle réduit au maximum les interactions humaines requises dans le processus, ce qui permet aux analystes en sécurité d’avoir davantage de temps à consacrer aux problèmes nécessitant une résolution plus créative.
Pourquoi le SOAR est-il important ?
Un SOAR standardise les processus SOC, ce qui assure un examen et une réponse cohérents tout en permettant aux analystes en sécurité d’améliorer leurs compétences, quel que soit leur niveau d’expérience. En automatisant les workflows d’un certain nombre de tâches manuelles simples en général associées à une réponse aux incidents (enregistrement des incidents de sécurité, alerte des parties concernées, envoi et mise à jour des tickets de rapport), le SOAR réduit nettement le temps moyen de résolution.
Histoire des outils SOAR
Avec l’émergence des solutions de workflow de sécurité spécialisées pour l’examen et la résolution des incidents au milieu des années 2010, Gartner a commencé à utiliser le terme SOAR. De nombreuses start-up dans le secteur du SOAR ont été rachetées par des conglomérats spécialisés dans la sécurité et greffées à un SIEM (Security Information and Event Management, Système de gestion des informations et des événements de sécurité), un UEBA ou une technologie de détection et réponse réseau. Par la suite, de nouveaux prestataires SOAR ont scalé leurs technologies de façon à gérer une plus grande gamme d’incidents de sécurité. Durant cette période, les playbooks d’automatisation sont devenus de plus en plus sophistiqués et les plateformes SOAR ont gagné en convivialité.
Comment fonctionne le SOAR ?
Une solution SOAR détaille les protocoles établis d’examen et de réponse, guidant les analystes et préparant le terrain pour l’automatisation. Des intégrations bidirectionnelles au sein de l’écosystème permettent aux processus d’examen et de réponse de routine d’être déclenchés automatiquement (ex. : processus de récupération) ou par un analyste (ex. : hôte isolé). Tout au long des workflows d’opérations de sécurité, le SOAR fait remonter un contexte pertinent grâce à l’intégration de flux de Threat Intelligence et d’autres sources de données.
Quels sont les avantages du SOAR ?
Le SOAR offre des gains d’efficacité qui permettent au SOC d’économiser du temps et des efforts en aidant les équipes à rationaliser leurs opérations de sécurité grâce à la réduction de l’intervention humaine. Cela permet aux analystes de se concentrer sur des problèmes plus urgents nécessitant la créativité et l’intuition humaines. Autres avantages :
Un risque réduit
En accélérant les temps d’examen et de réponse pour les analystes, une solution SOAR efficace neutralise les attaques avant que les dégâts ne se propagent.
Un temps moyen de réponse optimisé
La cohésion des individus, des processus et des technologies grâce au SOAR permet une automatisation instantanée des actions de réponse en éliminant le temps de traitement par un humain.
Une prévention du burn-out
Les analystes sont déjà très occupés. Automatisez les tâches simples qui les empêchent de se consacrer pleinement à la résolution créative des problèmes.
Des workflows optimisés
Utilisez la Threat Intelligence et des informations exploitables comme la fréquence des attributs et le score d’anomalie de l’hôte et codifiez les procédures d'examen et de réponse grâce à des guides. Votre équipe n’aura plus à anticiper les processus et les étapes suivantes.
Des intégrations riches
Regroupez tous vos outils préférés dans un seul workflow. Vous profiterez ainsi de leur technologie sans avoir à passer de l’un à l’autre.
SOAR vs SIEM
La technologie SOAR aide le SOC à profiter pleinement de la puissance combinée de ses individus et de ses technologies en coordonnant et en automatisant les processus clés sur une plateforme unique. Le SOAR est en général étroitement intégré à un SIEM afin d’unifier les processus et données des équipes. Le SIEM permet aux analystes de prendre en charge des cas d’utilisation tels que le monitoring de la sécurité, la détection des menaces, la recherche des menaces ou la corrélation d’événements.
Le SOAR est plus utile sur les workflows et la résolution des problèmes. Il agit sur les différentes découvertes du SIEM grâce à des actions de suivi automatisées et à une orchestration des étapes nécessaires pour éliminer une menace avant qu’elle puisse causer des dégâts. En pratique, ces solutions sont de plus en plus imbriquées.
Automatisation vs orchestration
Bien que l’automatisation et l’orchestration de la sécurité engendrent le même résultat (la réduction des interactions humaines requises par divers processus), elles diffèrent de par leurs domaines d’implémentation respectifs.
L’automatisation de la sécurité vise principalement à éliminer une menace dès qu’elle est détectée par une technologie de sécurité. L’orchestration de sécurité, quant à elle, vise à obtenir un workflow rationalisé permettant d’exécuter les actions adéquates, d’informer les parties concernées et de suivre un processus choisi par l’entreprise.
Cas d'utilisation du SOAR
Réponse aux incidents
Si un incident de sécurité s’est produit, une réponse coordonnée est nécessaire pour limiter l’impact de la violation de données.
Gestion des incidents
Quand une menace a été identifiée, un incident est déclenché. Le nombre d’incidents peut rapidement se cumuler. Une solution SOAR performante permet aux équipes de les prioriser et d’y répondre de façon efficace.
Gestion des vulnérabilités
Il est essentiel de comprendre quelle est la position d’une entreprise par rapport à l’exposition globale aux risques en matière de sécurité. Les solutions SOAR peuvent permettre d’obtenir une vision plus objective de l’évaluation des risques, chose dont tous les directeurs de la sécurité des systèmes d'information ont besoin pour faire leur travail.
Recherche des menaces
Il s’agit de la recherche proactive des menaces au sein de l’environnement informatique. Une bonne recherche des menaces requiert un moteur rapide pour effectuer des recherches dans des quantités considérables de données.
Comment la technologie SOAR peut aider les entreprises
Le SOAR est une technologie essentielle pour toute fonction de sécurité digne de ce nom. Il peut être utile de considérer le rôle d’une solution SOAR comme celui d’un coach sportif : elle reflète les objectifs et processus prédéfinis par les dirigeants, exécute des playbooks pour différents scénarios et alerte l’équipe en cas de problème.
Découvrez Elastic Security for SOAR
Automatisez facilement la réponse aux incidents de sécurité de votre équipe avec le SOAR Elastic, prêt à être téléchargé ou hébergé dans Elastic Cloud.
Ressources SOAR
- Présentation du SOAR pour les opérations de sécurité modernes
- Elastic fournit les bases pour l’infrastructure réseau Zero Trust du ministère de la Défense américain
- Elastic modernise les équipes chargées de la sécurité avec une solution SOAR et automatise une Threat Intelligence exploitable dans un SIEM