Dans le domaine de la cybersécurité, SOAR signifie Orchestration, automatisation et réponse aux incidents (Security Orchestration, Automation, and Response en anglais). Le SOAR inclut tous les logiciels ou outils permettant aux sociétés de collecter et d’analyser des données de cybersécurité.
Qu’est-ce que le SOAR et comment fonctionne-t-il ?
Les systèmes SOAR permettent aux organisations d’exploiter toutes leurs données de cybersécurité à l’aide de différents outils et fonctionnalités pour améliorer la réponse aux incidents.
Les principaux composants d’un système SOAR sont :
L’orchestration
L’orchestration de la sécurité accélère et améliore la réponse aux incidents par l’intégration et l’analyse des données issues de différentes technologies et différents outils de sécurité. L’orchestration consiste également à coordonner différentes technologies de cybersécurité pour aider les organisations à faire face à des incidents de cybersécurité complexes. Un outil SOAR peut, par exemple, rassembler des données de sécurité réseau en utilisant, pour établir ses règles de firewall, les données provenant des outils de surveillance du réseau.
L’automatisation
L’une des principales fonctions de tout outil SOAR est l’automatisation, qui évite de passer du temps à effectuer manuellement les tâches de détection et de résolution des incidents. Les systèmes SOAR peuvent, par exemple, trier automatiquement certains types d’événements et permettre aux équipes de sécurité de définir des procédures normalisées et automatisées (flux de prise de décision, vérification de l’état, application et endiguement, audit).
La réponse
Les plateformes SOAR collectent des données d’autres outils de sécurité, notamment les systèmes SIEM (systèmes de gestion des informations et des événements de sécurité) et les flux de renseignement sur les menaces. Elles classent les incidents de sécurité par ordre de priorité et envoient des informations essentielles sur ces incidents au personnel de sécurité.
La gestion des cas
La gestion des cas est un élément essentiel de toute plateforme SOAR. Les fonctionnalités de gestion des cas permettent aux analystes de sécurité d’accéder à chaque cas enregistré, d’analyser dynamiquement et de travailler sur les données relatives à un incident donné, et d’utiliser cette analyse pour améliorer et reproduire les processus de réponse de sécurité.
Le tableau de bord
Le tableau de bord d’un outil SOAR donne un aperçu de tout ce qui se passe dans les quatre outils précédents, autrement dit toutes les données et toutes les activités liées à la sécurité, notamment les événements notables et leur sévérité, les guides opérationnels, les liens avec d’autres outils de sécurité, les charges de travail ou même une synthèse du retour sur investissement des activités automatisées. En général, il est possible d’appliquer des filtres au tableau de bord SOAR : intervalle de temps, source de données ou utilisateur. Les widgets peuvent être activés ou désactivés ou réorganisés selon vos choix. Bref, le tableau de bord est la plateforme centrale de surveillance de toutes les activités de votre système SOAR et de leur efficacité.
Comment la solution SOAR identifie-t-elle les menaces ?
Les systèmes SOAR naviguent et collectent les données de différentes sources, puis, en associant opérateurs humains et apprentissage machine, ils analysent ces données pour détecter des menaces potentielles et prioriser les plans et les actions de réponse aux incidents. En général, les sociétés automatisent le système SOAR pour que la prise en charge de la cybersécurité soit la plus efficace possible.
Sources de données SOAR
Les systèmes SOAR extraient et analysent des données de différentes sources, notamment :
- Les scanners de vulnérabilité, des programmes informatiques conçus pour évaluer les failles de sécurité des ordinateurs, réseaux ou applications.
- Les logiciels de protection des points de terminaison, qui protègent les points de terminaison d’une organisation, notamment les serveurs et les PC, contre les infections par des logiciels malveillants, les cyberattaques et d’autres menaces.
- Les firewalls, qui sont des systèmes de sécurité réseau qui surveillent et contrôlent le trafic réseau entrant et sortant en s’appuyant sur des règles de sécurité prédéfinies.
- Les systèmes de détection et de prévention des intrusions, des outils de sécurité du réseau qui surveillent les réseaux en continu pour détecter et contrer les activités malveillantes.
- Les plateformes de gestion des informations et des événements de sécurité (SIEM), qui rassemblent les données des journaux, les alertes de sécurité et les événements dans une plateforme centrale où seront réalisées des analyses en temps réel permettant de surveiller la sécurité et de lancer des alertes.
- Des flux externes de renseignements sur les menaces, qui incluent toutes les données exploitables sur les menaces obtenues auprès de fournisseurs tiers et permettent d’améliorer les réponses et la connaissance des cybermenaces.
Principaux avantages d’une plateforme SOAR
Les systèmes SOAR permettent de répondre aux incidents de manière plus efficace et performante, principalement grâce à deux atouts :
- Réponse aux incidents plus rapide : le système SOAR aide à réduire le temps moyen de détection (MTTD) et le temps moyen de réparation (MTTR) en ramenant de plusieurs jours ou plusieurs semaines à quelques minutes le délai nécessaire pour qualifier les alertes de sécurité et résoudre le problème. Le système SOAR permet également d’automatiser la réponse aux incidents via des procédures réunies dans un « guide opérationnel ». Les actions automatisées sont, entre autres, le blocage d’adresses IP au niveau d’un firewall ou d’un système IDS, la suspension de comptes utilisateur et la mise en quarantaine à l’écart du réseau des points de terminaison infectés.
- Amélioration des renseignements sur la cybersécurité : comme les systèmes SOAR peuvent agréger et analyser des données de nombreuses sources différentes, ils permettent de mieux connaître le contexte de tous les types de menaces pour la cybersécurité et de réduire les fausses alertes. Les équipes de sécurité peuvent ainsi travailler plus vite sans augmenter leur charge de travail.
SOAR et SIEM
Les systèmes SOAR comme les systèmes SIEM s’appuient sur les données relatives aux menaces pour améliorer de façon significative la réponse aux incidents de sécurité.
Toutefois, un système SIEM effectue l’agrégation et la corrélation de données provenant de nombreux systèmes de sécurité pour générer des alertes, tandis que le système SOAR fait office de moteur de résolution et de réponse pour ces alertes.
Si l’on fait l’analogie avec un véhicule, le SIEM est le carburant qui alimente le moteur du véhicule, et ce moteur est le SOAR, qui utilise le carburant pour générer un résultat et effectuer une action, en automatisant le tout.
Que rechercher dans un outil SOAR
Quel que soit l’outil SOAR que vous choisissez, il doit pouvoir :
- Ingérer et analyser des données et des alertes provenant de différents systèmes de sécurité.
- Élaborer et automatiser des flux métier pour aider les sociétés à identifier les menaces de cybersécurité et les alertes, les prioriser, les examiner et y répondre.
- S’intégrer à d’autres outils pour améliorer les opérations.
- Réaliser des analyses après incident pour améliorer les processus de réponse aux incidents et leur efficacité.
- Automatiser la plupart des opérations de sécurité pour éliminer les redondances et permettre aux équipes de sécurité de se concentrer sur les tâches nécessitant une intervention humaine plus importante.
Il s’agit là des actions que doit absolument permettre un système SOAR, mais d’autres actions peuvent évidemment s’y ajouter.
Exemple concret de système SOAR : Réponse à l’hameçonnage
Les e-mails d’hameçonnage représentent une menace majeure pour les individus, mais aussi pour les équipes de sécurité des entreprises. En effet, ils sont souvent suffisamment bien conçus pour provoquer des violations de données importantes. Les sociétés dotées d’un système SOAR peuvent non seulement contrer les tentatives d’hameçonnage, mais également empêcher de nouvelles tentatives.
Pour inspecter les e-mails suspects, l’outil SOAR extrait et analyse différents éléments comme l’en-tête, les adresses mail, les URL et les pièces jointes. S’il détermine qu’il s’agit bien d’une menace, il la classe en fonction de sa gravité.
Si le système SOAR juge que l’e-mail est malveillant :
- Il le bloque et bloque toutes les autres instances de ce message dans les autres boîtes mail.
- Il empêche l’exécution des fichiers exécutables associés à l’e-mail.
- Il bloque les adresses IP ou les URL sources.
- Le cas échéant, il isole le poste de travail de l’utilisateur concerné.
Bien entendu, aucun système SOAR ne peut prétendre identifier et bloquer tous les e-mails d’hameçonnage. Si l’un de ces e-mails passe à travers les mailles, les fonctionnalités de gestion des cas permettent aux équipes de sécurité de rechercher ce qui s’est passé et pourquoi et, à partir de là, d’améliorer progressivement les fonctions de détection des menaces de leurs système SOAR.
Système SOAR : conclusion
Les systèmes SOAR réduisent de plusieurs heures à quelques minutes les délais d’investigation et de réponse. Ils permettent également de diminuer nettement les risques pour l’organisation, en exploitant uniquement des données de qualité sur les menaces afin de rationaliser les opérations de sécurité. Enfin, ils permettent une allocation plus stratégique des ressources humaines (analystes et renseignements humains). Les entreprises peuvent ainsi optimiser leurs ressources internes et réduire au maximum les menaces externes.