SOAR, également connu sous le nom de Security Orchestration, Automation, and Response, est une fonction ou une solution qui automatise la réponse aux incidents de cyber-attaques et les opérations de sécurité. Il réduit la charge de travail des opérateurs en traitant automatiquement les flux de travail lorsque certaines conditions sont remplies, sur la base de règles prédéfinies par le fournisseur ou de playbooks définis par l'utilisateur.
SOAR effectue des traitements basés sur des règles définies par le fournisseur ou des playbooks définis par l'utilisateur (une liste de flux qui exécutent une série d'actions spécifiées dans un script lorsque certaines conditions sont remplies). Il soutient les opérateurs de sécurité en exécutant automatiquement des actions en réponse à des situations présumées. Par exemple, la communication est bloquée lorsqu'un nombre non spécifié de communications se produit dans un certain laps de temps vers un serveur où des informations importantes sont stockées. Il prend aussi automatiquement des mesures telles que le blocage des terminaux infectés par des malwares ou l’accès aux serveurs command and control (C&C) vers un réseau de quarantaine.
SOAR est nécessaire en raison de la nécessité de réagir immédiatement lorsque des signes de cyberattaques sont détectés et de la charge de travail croissante des opérateurs de sécurité.
En réduisant le niveau de "bruit de fond", les opérateurs peuvent se concentrer sur les cas qui nécessitent une intervention manuelle, et les opérateurs inexpérimentés peuvent facilement exécuter des actions prédéfinies dans des playbooks. Ceci est particulièrement crucial en raison de la pénurie actuelle d’opérateurs qualifiés.
Les cyber-attaques se produisent 24 heures sur 24, et il est impossible de savoir quand elles peuvent se produire
Les cyberattaques se produisent 24 heures sur 24, 365 jours par an, et il est impossible de savoir quand elles peuvent se produire. Bien que certaines entreprises disposent de SOC qui surveillent les signes de cyber-attaques, il est préférable, tant du point de vue de la sécurité que du point de vue opérationnel, de réagir automatiquement lorsque des signes sont détectés. Par exemple, une politique de base consistant à fermer les terminaux dont on sait qu'ils sont infectés par des malwares ou qu'ils ont accès à des serveurs de commande et de contrôle (C&C) pour les placer dans un réseau de quarantaine réduirait le risque que les menaces se propagent ensuite dans l'ensemble de l'organisation. En outre, la création et l'automatisation d'un playbook basé sur les signes de cyberattaques antérieures contre la Société permettent de prévenir plus rapidement les cyberattaques.
Selon l'étude de Trend Micro, la charge de travail des opérateurs de sécurité augmente
1,25 milliard de journaux sont collectés sur 1 000 appareils en seulement sept jours*, mais certains de ces journaux sont similaires à des cyberattaques perpétrées contre d'autres entreprises ou dans le même secteur, ou à des cyberattaques perpétrées contre votre entreprise dans le passé. Par exemple, si vous trouvez environ 10 points finaux infectés par des malwares en un mois environ, il faudra beaucoup de temps et d’efforts aux opérateurs de sécurité pour décider d’une politique de réponse et prendre des mesures à chaque fois. En automatisant la réponse aux incidents ultérieurs en fonction des premiers, la charge de travail des opérateurs de sécurité peut être réduite.
* Calculé à partir de données d'échantillon de 1 000 appareils/7 jours vérifiées par Trend Micro.
Dans ce contexte, comment pouvons-nous contribuer à améliorer l’efficacité des opérations de sécurité avec les ressources existantes ? SOAR est une technologie qui a émergé en mettant l’accent sur la façon d’aider à améliorer l’efficacité des opérations de sécurité avec les ressources existantes.
SIEM est un produit qui regroupe les journaux et les événements des PC, serveurs, proxys, pare-feu, produits de sécurité, etc., et les visualise de manière significative ; SOAR est un produit qui agit automatiquement lorsque certaines actions (telles que de nombreux accès à un serveur spécifique dans un certain temps) se produisent sur la base de règles prédéfinies, en utilisant les informations recueillies par SIEM. XDR est un produit qui détecte et visualise les traces d'attaques pour enquêter, identifier la cause et répondre aux incidents en réponse aux cyberattaques, si une menace pénètre dans l'environnement d'un utilisateur. SOAR a attiré l'attention ces dernières années pour sa capacité à traiter mécaniquement d'énormes quantités d'informations de journaux afin de supprimer le bruit et d'extraire uniquement les alertes qui nécessitent réellement une action.
SOAR peut être efficace dans les cas où il existe une large gamme de produits et de services pouvant être utilisés conjointement avec des API et des conditions détaillées pour les paramètres de script, et où les opérateurs de sécurité expérimentés peuvent maintenir les paramètres en permanence. Certains XDR peuvent également être intégrés à SOAR, de sorte que les XDR puissent être utilisés pour compléter l'expertise en matière de détection des cyberattaques, tandis que SOAR peut être utilisé pour s'intégrer à une large gamme de produits et automatiser les réponses.