La pénurie de compétences. Un problème omniprésent et réputé inévitable qui touche la cyber sécurité. En fait, on estime qu’il y aura plus de 3,5 millions d’emplois vacants dans l’industrie d’ici 2021. Il en résulte que les équipes de sécurité sont constamment à la recherche de techniciens compétents, ou de solutions capables de soulager la pression qui pèse sur leurs épaules. L’une d’entre elles, qui suscite de plus en plus d’intérêt au sein de la cyber communauté, est l’automatisation.
De nombreuses équipes de sécurité doivent faire face à l’accumulation d’alertes faussement positives qui deviennent rapidement hors de contrôle pour les techniciens et les empêchent de se concentrer sur les incidents les plus graves. Dans un environnement en évolution rapide comme la cyber sécurité, ceci a souvent pour conséquence que des failles passent au travers des radars. Ceci en raison d’un manque d’informations, de ressources ou de processus manuels inadaptés.
Ces difficultés ne sont pas exceptionnelles et la plupart des équipes de sécurité ont déjà dû gérer des scénarios similaires. Pour y mettre fin et éviter qu’ils ne se reproduisent, une tactique qui peut aider est d’organiser les équipes de sécurité en interne en trois niveaux d’analystes, avec la mise en place sur chaque niveau de processus différenciés pour adresser des problèmes spécifiques.
Les analystes du premier niveau seront chargés d’identifier et de trier les alertes et d’agir comme première ligne de défense. Les analystes du second niveau prendront alors en charge ces alertes et les analyseront pour identifier les faux positifs et les mettre de côté. Les analystes du troisième et dernier niveau agiront en qualité de dernière ligne de défense et se chargeront des alertes restantes, les plus complexes. Une partie de leurs responsabilités inclura également la réponse aux incidents.
D’un point de vue logistique, il semble logique que les équipes de sécurité utilisent un système de gestion des tâches et flux de travail automatisant la distribution des incidents aux différents analystes tout en informant en continu les autres parties prenantes, y compris le département informatique dans son ensemble. Ceci garantit l’existence d’un parcours d’informations documentées via un process efficace, qui sont deux éléments que l’automatisation cherche à adresser au sein des organisations.
L’automatisation y parviendra : en réduisant le nombre de tâches de routine, en réalisant automatiquement les vérifications initiales sur les incidents avant de les redistribuer, puis en compilant toutes les données nécessaires sur chaque incident. Ceci avant de fournir les informations aux analystes, qui prendront alors la décision soit de poursuivre leur enquête soit de répondre immédiatement à l’incident. Toutefois, toutes les implications devront aussi être prises en compte. Par exemple, l’automatisation de la collecte des logs peut être très efficace, mais leur interprétation dépend de postes de travail, ou des ordinateurs hôtes auxquels ils sont rattachés.
Pour des systèmes plus étendus et plus dynamiques, fonctionner avec une feuille de calcul contenant une immense liste immense d’adresses IP pour localiser un ordinateur hôte n’est pas efficace. Ceci convient mieux à des environnements plus petits et moins mobiles. C’est un excellent exemple des scénarios dans lesquels des outils de détection automatisés peuvent être utilisés pour accélérer le processus lorsqu’il s’agit de trouver un fichier spécifique.
C’est pour cette raison que l’automatisation est principalement utilisée par les professionnels de la sécurité pour la collecte des logs et le contrôle de la sécurité d’équipements répartis sur tous les réseaux connectés. L’automatisation peut aussi aider en prenant en charge des tâches répétitives telles que le patch de systèmes en continu et la réalisation de scans de vulnérabilité.
De plus, il existe de nombreux outils disponibles, – dont certains qui sont gratuits ou en open source – qui aident à automatiser les sections le tri des incidents. Dans certains cas, les outils peuvent télécharger les ‘hashes’ contenant tous les exécutables de démarrage, ainsi que tous les processus de fonctionnement sur un ordinateur hôte, jusqu’au virus dans sa totalité. En les utilisant en conjonction avec des solutions dédiées de scan de malwares, qui détecteront et examineront toutes les menaces inconnues, l’outil d’automatisation peut signaler n’importe quel malware connu.
Beaucoup d’entreprises, qui ont déjà fait appel aux technologies SIEM pour accélérer leurs processus de réponse aux incidents, peuvent configurer des paramètres utilisant une collection des combinaisons d’évènements qui aident à les alerter lorsque surviennent des menaces potentiellement dangereuses. Ils peuvent être ajustés pour rechercher de possibles vulnérabilités possibles sur la base d’un renseignement sur une menace en cours, ce qui peut aider à améliorer le taux général de détection.
Avec l’évolution continue des cyber menaces, les équipes de sécurité doivent s’adapter au quotidien pour relever les défis rencontrés par leurs entreprises. Pour y parvenir, un certain degré d’automatisation doit être intégré dans toute infrastructure de sécurité pour réduire la charge de travail des équipes. Une fois l’équilibre trouvé entre les processus automatisés et les interventions humaines, les avantages pour l’entreprise seront quasi immédiatement perceptibles, améliorant ainsi l’efficacité de sa politique de sécurité.