Doux euphémisme que d'affirmer qu’une partie de Centres opérationnels de sécurité (SOC) ne sont pas aussi opérationnels qu’ils l’affirment !
La technique des cyber-sparadraps a ses limites… Alors que la maturité des SOC (Security Operational Centers) joue un rôle essentiel et efficace dans la détection des cyber-menaces toujours plus nombreuses, 20 % des organisations de cyberdéfense auditées au cours des 5 dernières années ont échoué au niveau 1 de SOMM (Security Operations Maturity Model).
Concrètement, cela signifie qu’une partie des SOC - et c’est une information à prendre en exemple car elle concerne certainement une majorité d’entreprises, qu’elles disposent ou non d’un SOC – fonctionnent avec des processus non documentés et des failles importantes dans la gestion de la sécurité et des risques.
Les principales observations sur les SOC
Dans son rapport annuel 2018 sur l’état des opérations de sécurité, MicroFocus fait quatre constats :
1Les SOCs passent rapidement à des opérations cogérées
Les organisations établissent une relation opérationnelle avec un partenaire qui inclut des interactions régulières. Cette approche a permis aux programmes de cyberdéfense de surmonter le plus grand défi : une pénurie mondiale de talents en cybersécurité. Les responsables SOC peuvent ainsi se concentrer étroitement sur les actifs qu'ils souhaitent protéger et travailler avec le partenaire sur le plan opérationnel pour effectuer l'intégration technologique nécessaire.
2Les SOC qui manquent de personnel adoptent des solutions d'orchestration de sécurité, d'automatisation et de réponse (SOAR)
Les organisations investissent dans l'automatisation des outils d'enquête et de gestion des incidents de sécurité, et avec des objectifs de mise en œuvre délibérés, connaissent des résultats positifs. Le concept est solide, mais l'adoption est lente en raison des lacunes dans les connaissances opérationnelles.
3Les organisations du secteur privé investissent systématiquement dans le développement de centres de fusion
Dans leur forme initiale, les centres de fusion ont adopté l'approche « un SOC pour les gouverner tous ». Ce modèle continue de bien servir les organisations décentralisées, ainsi que celles qui se sont développées rapidement grâce aux activités de fusions et acquisitions. Au cours de la dernière année, les centres de fusion ont évolué pour devenir des disciplines combinées que la plupart des organisations séparaient délibérément dans le passé. Le nouveau formulaire inclut des centres de fusion qui se préparent à combiner la surveillance de la sécurité des données, la réponse aux incidents et le rapport de conformité pour le GDPR.
4L'utilisation des grilles de déception et l'impact sur la maturité des opérations ont augmenté au cours de la dernière année
C'est à cause du changement dans l'économie d'une attaque que les solutions de grille de déception peuvent être attrayantes. Des informations erronées sur les systèmes cibles peuvent altérer les résultats de la reconnaissance par script et pousser les attaquants à déployer des ressources inefficaces sur le système cible. Les organisations commencent également à en apprendre beaucoup sur l'attaquant et la cible de leur campagne en analysant le comportement de l'attaquant dans l'environnement orienté vers la déception.
Source : 5ème rapport « State of Security Operations Report 2018 » de MicroFocus
Image d’entête 685414404 @ iStock