Go to content

I believe I can SOAR (Security Orchestration, Automation and Response)

Qu’est-ce qu’un SOAR ?

Le Gartner® définit les plateformes SOAR (Security Orchestration, Automation and Response) comme des technologies d’orchestration, d’automatisation et de réponse en matière de sécurité. Elles permettent aux organisations de collecter des données et des alertes sur les menaces de sécurité provenant de différentes sources, où l’analyse et le tri des incidents peuvent être effectués en combinant la puissance de l’homme et de la machine. Cela aide à définir, hiérarchiser et piloter des activités de réponse aux incidents standardisées selon un flux de travail standard.

Un SOAR permet à une organisation de collecter des données principalement pour la détection des menaces cyber et la réponse aux événements de sécurité remontés sans intervention humaine. L’objectif principal de l’utilisation d’une plateforme SOAR est d’améliorer l’efficacité des opérations de sécurité en y ajoutant une forte couche d’automatisation.

Comment ça fonctionne ?

Les plateformes SOAR comportent trois composantes principales : l’orchestration, l’automatisation et la réponse.

La présence d’environnements et d’outils distincts est l’une des raisons pour lesquelles l’orchestration est nécessaire. Il existe tellement d’environnements, d’outils, de dispositifs, de produits et de réseaux dans une même organisation que certains de ces éléments ne sont pas toujours connectés, ou connectables, entre eux ce qui conduit à avoir des informations dispersées.

On peut remarquer aussi la présence d’une surcharge de l’équipe responsable de la sécurité. Ces équipes sont confrontées à une complexité d’attaques et à une multitude d’outils qui exacerbent cette charge. De même, ils reçoivent un grand nombre d’alertes et d’incidents par jour, au point qu’il n’y ait pas assez de personnes pour les traiter. Ceci met en évidence la raison principale de l’utilisation de l’orchestration.

L’orchestration connecte des outils disparates par des interfaces de programmation d’applications (API) intégrées ou personnalisées. Les systèmes connectés peuvent inclure des scanners de vulnérabilité, des produits de protection des points d’accès, des produits d’analyses du comportement des utilisateurs, des pares-feux, des systèmes de détection et de prévention des intrusions, des plateformes SIEM et, pour finir sur nos exemples, des sources externes de renseignements sur les menaces.

Ce processus de collecte des données permet un meilleur traitement de l’information et inévitablement une meilleure détection des menaces.

L’automatisation permet l’analyse des données reçue par le processus d’orchestration. Les tâches précédemment effectuées par les analystes, tel que l’analyse des vulnérabilités, l’analyse des journaux, la vérification des tickets et les capacités d’audit peuvent être normalisées et exécutées automatiquement par les plateformes SOAR. On peut également dire que ces processus permettront aux équipes et aux analystes de se concentrer sur des projets à valeur ajoutée purement stratégiques et de les libérer des tâches parfois répétitives.

Une astuce simple pour savoir si une tache est automatisable. Posez-vous ces trois questions :

  1. Est-elle incluse dans une routine ?
  2. Est-elle régulièrement consommatrice de temps ?
  3. Existe-t-il un moyen de communication (API ou autre) entre les outils permettant l’exécution de cette tâche ?

Si la réponse à ces questions est ‘’oui’’, on peut donc appliquer une certaine automatisation à cette tâche, mais non forcément sans limites.

Afin de mieux expliquer le processus d’automatisation, nous devons parler des playbooks. Les playbooks préétablis ou personnalisés sont des ensembles de plusieurs actions automatisés et essentiels au fonctionnement du SOAR. Grâce aux playbooks, les équipes de sécurité peuvent traiter les alertes, créer des réponses automatisées pour différents types d’incidents et résoudre rapidement les problèmes de manière efficace et cohérente.

De plus, ils sont très utiles afin d’automatiser les tâches répétitives et fastidieuses tout en libérant les analystes pour des tâches plus importantes qui demandent de l’intelligence humaine et de la prise de décision.

Aujourd’hui, il existe des versions nouvelles et modernes des playbooks qui présentent des fonctionnalités supplémentaires leur permettant d’intégrer une prise de décision humaine à l’automatisation pour des situations de sécurité hautement critiques.

Nous vous proposons un exemple d’automatisation, une analyse des courriels pour identifier les tentatives de phishing :

Généralement lorsqu’une URL malveillante est détectée dans un courriel à destination d’un employé et est identifiée au cours d’une analyse, nous avons tendance à mettre en place un plan d’action pour bloquer le courriel, avertir l’employé de la tentative potentielle de phishing et de bloquer l’adresse IP de la source expéditrice.

Avec un SOAR, on pourrait également déclencher des actions d’investigation avancées afin d’avoir un champ d’action plus ample. En gardant cet exemple, on pourrait simplement rajouter des actions automatisées consistant à rechercher des courriels similaires (via des IOCs) dans les boîtes de réception d’autres employés, les supprimer, et pourquoi pas rajouter les serveurs d’émission dans une blacklist. Un autre exemple, via l’automatisation, nous pourrions détecter l’arrivée d’un nouveau courriel, capturer les pièces jointes et les analyser dans un sandbox. Ces étapes automatisées seront effectuées selon la configuration du playbook.

L’orchestration et l’automatisation fonctionnent ensemble pour donner plus de moyens aux équipes de sécurité. Qu’elles soient défensives ou offensives, l’objectif sera d’être plus efficaces en se concentrant sur l’analyse et la prise de décision plutôt que sur des tâches manuelles fastidieuses et longues.

Avantage de SOAR et inconvénient

Nous l’avons explicité dans cet article, le SOAR permettra à l’équipe de se concentrer sur l’amélioration de la sécurité plutôt que sur l’exécution des tâches manuelles. Il permettra d’automatiser plusieurs tâches répétitives et fournira des processus normalisés conduisant, sans doute, à une amélioration de la performance du centre de cybersurveillance.

Le SOAR permet une résilience augmentée face à un environnement de menaces croissant et de renforcer la réponse aux incidents. Lors de nos différentes expériences, nous constatons une fréquence de réponse et de résolution d’incidents plus rapides, grâce à un traitement proactif des alertes de sécurité. Cela s’explique aussi par la capacité des solutions SOAR à s’intégrer, plutôt facilement, à une multitude de technologies.

Malheureusement, comme l’ensemble des outils, le SOAR ne fonctionne pas seul, sans intervention humaine et sans une certaine intelligence. Une analyse restera essentielle pour le bon traitement des alertes ou à minima la bonne application et configuration des playbooks.

Conclusion

L’équipe du centre de cybersurveillance de CONIX constate bien évidemment un gain de temps dans certaines tâches quotidiennes comme le tri et l’analyse des alertes de sécurité.

Adam Fletcher, directeur général de Blackstone, partage également cette opinion : « L’automatisation avec un SOAR nous permet de traiter les alertes de courriel infecté en environ 40 secondes plutôt qu’en 30 minutes ou plus ». Un gain de temps non négligeable face à l’évolution des menaces.

Cependant, les playbooks semblent plus adaptés, pour le moment, à des systèmes d’information d’entreprise suivant un certain « standard » en termes d’outil et d’architecture. Une implication forte dans le développement de ces derniers est à prévoir, notamment pour des systèmes d’information fortement communicants ou avec des systèmes d’information spécifiques (industriels, embarqués, etc.)