BLOG

Qu'est-ce que SOAR et comment les agences peuvent-elles l'exploiter dans leurs efforts de cybersécurité ?

Miniature de Lyle Marsh
Marais de Lyle
Publié le 07 octobre 2020

Selon Gartner, SOAR comprend « des technologies qui permettent aux organisations de collecter des données surveillées par l’équipe des opérations de sécurité… Les outils SOAR permettent à une organisation de définir des procédures d’analyse et de réponse aux incidents dans un format de flux de travail numérique. »*

Mais qu'est-ce que SOAR exactement ? S'agit-il d'une suite de technologies omniscientes qui fonctionnent ensemble pour atténuer les menaces et effectuer des analyses, une sorte de technologie Skynet de type Terminator qui empêche les cyberattaques ? Existe-t-il un type particulier de « logiciel SOAR » ? Ou s’agit-il d’un cadre qui fournit une approche recommandée en matière de cybersécurité ?

MONTER: Un cadre pour une sécurité solide

C’est bien plus qu’un simple outil ou un ensemble d’outils. SOAR est un modèle pour créer un plan de sécurité solide. Oui, il demande aux agences d’automatiser le traitement des données de sécurité et des analyses à partir d’un élément technologique (par exemple, un outil de renseignement sur les menaces, comme un gestionnaire d’informations et d’événements de sécurité ou un gestionnaire de journaux de sécurité). Mais il existe un autre aspect du SOAR, l’orchestration de la sécurité, qui encourage l’intervention humaine.

Réfléchissez à ce qui se passe lorsqu’une solution de gestion des informations et des événements de sécurité ou un outil similaire identifie un incident potentiel. Un processus de workflow complet est créé, commençant par l’outil et se terminant par un administrateur de sécurité.

Dans le cadre de ce processus, l’incident est évalué en fonction des politiques de sécurité que l’organisation a (espérons-le) déjà mises en place. Les considérations peuvent inclure :

  • Quel est le niveau de menace attribué à l’application qui a été compromise ?
  • En fonction de ce niveau de menace, quelles actions automatisées doivent être mises en œuvre pour atténuer le potentiel de dommages ?
  • Quelles autres mesures doivent être prises pour résoudre le problème ?

Les administrateurs de sécurité peuvent ensuite prendre les renseignements sur les menaces dérivés des données médico-légales, utiliser ces informations pour enquêter immédiatement sur le problème et y remédier, et ajuster les politiques de sécurité en conséquence pour renforcer les fortifications de l’agence contre de futures attaques.

C’est ainsi que le facteur humain du SOAR entre en jeu. Malgré l’accent mis sur l’automatisation, les personnes constituent un élément essentiel du cadre SOAR, car elles constituent la dernière ligne de défense et sont responsables des améliorations de sécurité. En associant leur expertise aux bonnes solutions de sécurité, les organisations peuvent garder une longueur d’avance sur les adversaires malveillants.

Les applications adaptatives sont essentielles pour le modèle SOAR

SOAR se concentre sur la création d’un programme de sécurité hautement adaptatif et utilise les données pour améliorer en permanence la manière dont une organisation réagit aux menaces. Elle encourage l’utilisation du renseignement pour identifier les menaces actuelles, réagir à ces incidents, en tirer des enseignements, s’adapter et s’améliorer au fil du temps.

Chez F5, nous nous efforçons d'aider les organisations à créer des applications adaptatives capables d'ajuster automatiquement leurs états de sécurité. Ces applications collectent et analysent les informations dérivées de divers points de contact le long du chemin des données de l'application (le chemin emprunté par le trafic de l'application de l'application à l'utilisateur final), par exemple lorsqu'un utilisateur accède pour la première fois à l'application (nécessitant une authentification de l'application), lorsque les données sont transmises sur Internet (déclenchant l'utilisation d'un pare-feu d'application Web ), etc.

Chacun de ces points de contact produit sa propre télémétrie et ses propres analyses. Ces données sont utilisées pour détecter si l’application fonctionne comme prévu ou s’il existe une forme d’anomalie pouvant indiquer une violation.

Si c’est le cas, l’application peut s’adapter automatiquement pour atténuer la menace potentielle, répondant ainsi à l’appel de SOAR pour une réponse automatisée. Disons qu’une augmentation soudaine du trafic suspect est détectée à un moment donné pendant le chemin des données de l’application. Une solution de gestion des robots peut détecter automatiquement les activités frauduleuses en fonction du type de trafic (par exemple, humain ou robot) qui envoie un ping à l'application. L'application peut ensuite bloquer automatiquement le trafic suspect en fonction de politiques de sécurité prédéfinies.

Le pouvoir de l'humain et de la machine

Le cadre SOAR est un excellent modèle pour créer un système automatisé, réactif et agile qui exploite de multiples technologies et l’expertise humaine pour appliquer et améliorer en permanence les politiques de sécurité. Il crée un moyen de dissuasion très efficace contre les menaces actuelles et futures.
____

*Glossaire Gartner, SOAR, https://www.gartner.com/en/information-technology/glossary/security-orchestration-automation-response-soar