Qu'est-ce que SOAR ?

Gartner définit l'orchestration, l'automatisation et la réponse en matière de sécurité (SOAR) comme des technologies qui permettent aux organisations de prendre des données provenant de diverses sources (principalement des systèmes de gestion des informations et des événements de sécurité [SIEM]) et d'appliquer des flux de travail alignés sur les processus et les procédures.
‍
Apparus pour la première fois en 2015, les outils SOAR (Security Operations Analytics Resource) ont été conçus pour aider à relever le défi SIEWF de la lassitude face aux alertes/événements et de la pénurie mondiale de talents en matière d'opérations de sécurité pour que les organisations puissent déployer efficacement une solution SIEM. Leur principal objectif était d'enrichir les données relatives aux événements en fournissant un contexte supplémentaire pour chaque incident (par exemple, le lieu, l'heure, le type), ce qui leur permettrait de mieux identifier les incidents critiques et d'automatiser les réponses à ces événements. L'objectif était d'améliorer la sécurité en accélérant la remédiation et en ne faisant remonter les menaces que lorsqu'une intervention humaine était nécessaire.
‍
Les outils SOAR utilisent différents types de données pour aider à identifier les menaces et à prévenir les attaques contre les organisations, ce qui nécessite une intégration avec d'autres outils de sécurité et une dépendance à l'égard de processus manuels tels que la définition de playbooks, de niveaux d'alerte personnalisés et de mesures de réponse aux incidents.

Garder une visibilité sur l'ensemble d'un réseau continue d'être un défi pour les équipes de sécurité car l'infrastructure et les applications informatiques modernes ne cessent de croître. En outre, le fait de s'appuyer sur des solutions de sécurité cloisonnées provenant de fournisseurs de plateformes SIEM et SOAR peut donner lieu à des alertes basées sur des informations incomplètes ou mal corrélées, ce qui peut entraîner des perturbations inutiles pour les systèmes et les utilisateurs.

Selon le cabinet d'analyse Gartner, Extended Detection and Response (XDR) est "un outil de détection des menaces et de réponse aux incidents de sécurité basé sur SaaS, spécifique à un fournisseur, qui intègre nativement plusieurs produits de sécurité dans un système d'opérations de sécurité cohésif qui unifie tous les composants sous licence".
‍
Dans le but d'améliorer la détection des menaces et le temps de réponse aux incidents, les fournisseurs de sécurité développent de nouvelles technologies appelées "XDR" (extended dynamic reporting). L'objectif de XDR est d'aider les organisations à détecter les attaques en corrélant leurs données de sécurité et en les alertant en cas d'anomalie. XDR combine une gamme d'outils d'investigation et d'analyse comportementale en mettant l'accent sur la détection avancée des menaces et les réponses personnalisées pour une meilleure défense contre la cybercriminalité.
‍
Bien que la dernière génération d'outils SIEM puisse offrir des capacités XDR, ils - comme les plates-formes SOAR - sont souvent des add-ons et des plugins qui nécessitent une configuration et un réglage. Mais l'XDR ne dispose pas des fonctions de journalisation, de conservation et de conformité des SIEM, ce qui signifie qu'il est important de trouver un outil qui s'intègre aux contrôles de sécurité existants ou qui offre une architecture ouverte.
‍
Les organisations peuvent décider de déployer plusieurs ensembles de produits ou une suite de produits consolidés pour répondre à leurs besoins en matière d'opérations de sécurité. Quelle que soit la voie choisie, elles auront besoin d'une certaine intégration, d'une configuration et d'une mise au point pour détecter les incidents de sécurité et y répondre de manière efficace et efficiente.