Qu'est-ce que SOAR ?
SOAR est l'abréviation de Security Orchestration, Automation, and Response (orchestration, automatisation et réponse en matière de sécurité).

SOAR défini
SOAR est un service basé sur le cloud conçu pour aider les organisations à automatiser certains de leurs processus manuels, tels que la surveillance, l'alerte, l'investigation, la remédiation, le reporting et la conformité. Il offre une visibilité en temps réel de votre réseau et une détection des points d'extrémité sur tous les appareils et applications.
Les plateformes SOAR sont un ensemble de solutions logicielles de sécurité qui peuvent être utilisées pour naviguer et collecter des données à partir de diverses sources.
Le terme a été créé à l'origine par Gartner, qui a défini les trois capacités d'une plateforme SOAR - gestion des menaces et des vulnérabilités, réponse aux incidents de sécurité, et automatisation des opérations de sécurité. SOAR permet aux entreprises de collecter des données relatives aux menaces à partir d'une série de sources et d'automatiser les réponses à la menace.
L'automatisation des opérations de sécurité (Automation) concerne les technologies qui permettent l'automatisation et l'orchestration au sein des opérations, tandis que la gestion des menaces et des vulnérabilités (Orchestration) couvre les technologies qui aident à amender les cyber-menaces. Les données sont analysées à l'aide d'une combinaison d'apprentissage humain et automatique afin de comprendre et de hiérarchiser les actions de réponse aux incidents.
"SOAR fait référence aux technologies qui permettent aux organisations de collecter des données surveillées par l'équipe chargée des opérations de sécurité. Par exemple, les alertes provenant du système SIEM et d'autres technologies de sécurité où l'analyse et le triage des incidents peuvent être effectués en combinant la puissance humaine et la puissance de la machine, aident à définir, à hiérarchiser et à conduire des activités normalisées de réponse aux incidents. Les outils SOAR permettent à une organisation de définir des procédures d'analyse et de réponse aux incidents sous la forme d'un flux de travail numérique".
Principaux avantages de SOAR
Les opérations de sécurité peuvent constituer un défi permanent pour toute organisation. Elles sont importantes pour la rapidité et l'efficacité, mais il peut être difficile de s'assurer que tout fonctionne sans heurts. Les analystes sont souvent submergés par le volume d'alertes provenant de systèmes disparates. L'obtention et la mise en corrélation des données nécessaires à l'identification des menaces potentielles peuvent prendre du temps et nécessiter des efforts. La correction de ces menaces nécessite une coordination entre différentes équipes au sein d'une organisation.
SOAR permet d'atténuer certains des défis associés au big data en aidant les humains et les machines à analyser de grandes quantités de données, en réduisant la fatigue des alertes et en automatisant les processus de détection et de réponse.

SOAR vs SIEM vs XDR - quelle est la différence ?
Gartner définit le marché de la gestion des événements de sécurité et d'information (SIEM) par le besoin des clients d'analyser les données d'événements en temps réel pour la détection précoce des attaques ciblées et des violations de données, et de collecter, stocker, étudier et rapporter les données de journal pour la réponse aux incidents, la criminalistique et la conformité aux réglementations.
Les produits SIEM sont apparus pour la première fois en 2005, initialement motivés par les rapports de conformité et l'agrégation des données de journalisation générées par les applications, les terminaux et les périphériques réseau.
Bien que certains SIEM assurent à la fois la gestion des informations de sécurité (SIM) et la gestion des événements de sécurité (SEM), ils offrent des capacités limitées en matière de réponse aux incidents et de visualisation. Les SIEM analysent les données d'événements provenant de technologies préventives, telles que les logiciels antivirus, les IDS et les pare-feu, ce qui rend difficile la détection d'attaques sophistiquées provenant de sources non corrélées. L'analyse des menaces était également souvent difficile et fastidieuse, en raison de processus et d'analyses manuels.
Les technologies SIEM de nouvelle génération ont ajouté la prise en charge de l'analyse des big data et de la détection des événements en temps réel, ainsi que des plug-ins d'apprentissage automatique et d'analyse comportementale pour créer des modèles de référence pour les modèles de comportement normaux des utilisateurs et des appareils. Cela a permis d'identifier plus tôt les problèmes de sécurité et de réduire la période pendant laquelle les organisations étaient vulnérables aux attaques.
Malgré les progrès, le volume d'alertes provenant des plateformes SIEM surcharge encore aujourd'hui les équipes de sécurité, qui adoptent souvent des outils supplémentaires pour réduire les faux positifs et aider à automatiser les réponses.
Entrer dans SOAR
Gartner définit l'orchestration, l'automatisation et la réponse en matière de sécurité (SOAR) comme des technologies qui permettent aux organisations de prendre des données provenant de diverses sources (principalement des systèmes de gestion des informations et des événements de sécurité [SIEM]) et d'appliquer des flux de travail alignés sur les processus et les procédures.
Apparus pour la première fois en 2015, les outils SOAR (Security Operations Analytics Resource) ont été conçus pour aider à relever le défi SIEWF de la lassitude face aux alertes/événements et de la pénurie mondiale de talents en matière d'opérations de sécurité pour que les organisations puissent déployer efficacement une solution SIEM. Leur principal objectif était d'enrichir les données relatives aux événements en fournissant un contexte supplémentaire pour chaque incident (par exemple, le lieu, l'heure, le type), ce qui leur permettrait de mieux identifier les incidents critiques et d'automatiser les réponses à ces événements. L'objectif était d'améliorer la sécurité en accélérant la remédiation et en ne faisant remonter les menaces que lorsqu'une intervention humaine était nécessaire.
Les outils SOAR utilisent différents types de données pour aider à identifier les menaces et à prévenir les attaques contre les organisations, ce qui nécessite une intégration avec d'autres outils de sécurité et une dépendance à l'égard de processus manuels tels que la définition de playbooks, de niveaux d'alerte personnalisés et de mesures de réponse aux incidents.
Garder une visibilité sur l'ensemble d'un réseau continue d'être un défi pour les équipes de sécurité car l'infrastructure et les applications informatiques modernes ne cessent de croître. En outre, le fait de s'appuyer sur des solutions de sécurité cloisonnées provenant de fournisseurs de plateformes SIEM et SOAR peut donner lieu à des alertes basées sur des informations incomplètes ou mal corrélées, ce qui peut entraîner des perturbations inutiles pour les systèmes et les utilisateurs.
Saisir XDR
Selon le cabinet d'analyse Gartner, Extended Detection and Response (XDR) est "un outil de détection des menaces et de réponse aux incidents de sécurité basé sur SaaS, spécifique à un fournisseur, qui intègre nativement plusieurs produits de sécurité dans un système d'opérations de sécurité cohésif qui unifie tous les composants sous licence".
Dans le but d'améliorer la détection des menaces et le temps de réponse aux incidents, les fournisseurs de sécurité développent de nouvelles technologies appelées "XDR" (extended dynamic reporting). L'objectif de XDR est d'aider les organisations à détecter les attaques en corrélant leurs données de sécurité et en les alertant en cas d'anomalie. XDR combine une gamme d'outils d'investigation et d'analyse comportementale en mettant l'accent sur la détection avancée des menaces et les réponses personnalisées pour une meilleure défense contre la cybercriminalité.
Bien que la dernière génération d'outils SIEM puisse offrir des capacités XDR, ils - comme les plates-formes SOAR - sont souvent des add-ons et des plugins qui nécessitent une configuration et un réglage. Mais l'XDR ne dispose pas des fonctions de journalisation, de conservation et de conformité des SIEM, ce qui signifie qu'il est important de trouver un outil qui s'intègre aux contrôles de sécurité existants ou qui offre une architecture ouverte.
Les organisations peuvent décider de déployer plusieurs ensembles de produits ou une suite de produits consolidés pour répondre à leurs besoins en matière d'opérations de sécurité. Quelle que soit la voie choisie, elles auront besoin d'une certaine intégration, d'une configuration et d'une mise au point pour détecter les incidents de sécurité et y répondre de manière efficace et efficiente.
SOAR + renseignement sur les menaces
L'objectif des outils de sécurité est de voir, de relier et de traiter les incidents en un seul endroit. Malheureusement, la collecte et la corrélation des données provenant de tous ces outils disparates peuvent être extrêmement bruyantes.
La compréhension de ce qui se passe au sein de votre propre réseau interne nécessite l'automatisation et l'orchestration. Mais qu'en est-il des menaces à l'extérieur de votre réseau ? Un contexte externe est nécessaire pour corréler et enrichir les données du réseau avec des renseignements sur les menaces, afin d'aider à se défendre contre les menaces potentielles.
Les solutions SOAR ont besoin d'une technologie telle qu'une plate-forme de renseignement sur les menaces (TIP) qui recueille, normalise et met en corrélation automatiquement les données provenant de plusieurs sources de renseignement sur les menaces afin de produire un flux unique. Cette capacité de renseignement sur les menaces doit faire partie intégrante du processus d'automatisation afin de garantir qu'une plateforme SOAR utilise efficacement les données pour exécuter les bonnes actions de réponse.
Défis SOAR
Comme le souligne Gartner, le principal obstacle à l'adoption de la sécurité SOAR reste l'absence, ou la faible maturité, des processus et des procédures au sein des équipes SOC. C'est pourquoi il est essentiel d'obtenir l'avis d'un expert lorsque l'on prévoit de mettre en œuvre le SOAR.
Gartner, Market Guide for Security Orchestration, Automation and Response Solutions (Guide du marché pour les solutions d'orchestration, d'automatisation et de réponse en matière de sécurité), 21 septembre 2020