Un SOC analyse des données hétérogènes méconnues d’un environnement SI. Contrairement aux SOC ancienne génération basés sur un SIEM classique, un SOC nouvelle génération récupère des alertes provenant des outils dédiés au Cloud, aux environnements applicatifs ou bien industriels, pour construire un processus clair capable de s’adapter en temps réel à un environnement changeant. La remédiation doit pouvoir s’effectuer au plus proche de la détection.
Comment fonctionne un SOC : un processus big data
Il est important de construire son security operations center autour d’un Security Data Lake (SDL) qui ne sera pas limité sur le type de données qu’il ingère. Un SOC nouvelle génération doit pouvoir intégrer dans son périmètre de surveillance :
- Un environnement Cloud, où le SOC aura la capacité de récupérer des alertes provenant des nouveaux outils comme le CWPP/CSPM.
- Un environnement applicatif, dont les données sont généralement hétérogènes, non structurées et non labellisées et sources d’éventuelles failles, comme des logs issus de firewall, proxy, antivirus, etc.
- Un environnement industriel connecté.
SOC, Cloud et intelligence collective : contextualiser les données et les menaces
Les SIEM classiques, ainsi que tout autre mécanisme d’alerte qui utilisent des règles figées contre les menaces connues, se heurtent à des difficultés face à des attaques nouvelles, faibles et ciblées.
Déployer des modes de détection basés sur l’apprentissage automatique permet au contraire d’identifier des schémas de comportements qui ne sont pas connus d’avance. Seuls les modèles de SOC avec machine learning sont capables d’identifier ces schémas, parce qu’ils se basent sur un pool de données plus large et mutualisé sur plusieurs contextes clients.
Cela permet ainsi de résoudre le paradoxe du SOC : avec le machine learning, le processus d’apprentissage évolue constamment, s’adapte et n’est donc plus normé et cadré.
Le chiffre
Pour 55 % des entreprises, la détection des menaces avancées reste le premier défi des SOC. Source : Crowd Research Partners.
Les modes d’interactions du SOC avec l’équipe client
Il y a 3 modes de collaboration entre le prestataire SOC et les équipes de l’entreprise cliente, selon le contexte : une gestion internalisée, externalisée ou hybride.
Mais un SOC nouvelle génération permet surtout plus de pro-activité sur toute la chaîne de défense. Cette dernière peut d’ailleurs se positionner comme une MDR (Managed Detection and Response), avec trois enjeux majeurs d’interactions :
- Le partage de la situation et de la menace, par la contextualisation de la veille cyber (ou CTI, Cyber Threat Intelligence), avec un support du plan de surveillance adapté en continu à la réalité de la menace.
- L’accompagnement sur la trajectoire de sécurisation des périmètres clés (identités, endpoints, cœur de réseau, Cloud et OT) avec la collecte de la data nécessaire et le déploiement de sondes adaptées (EDR, NDR, SIEM Cloud, etc.)
- Le partage des responsabilités en termes de gestion de la remédiation et la co-construction des processus associés, comme la définition des playbooks, de la responsabilité de la validation d’un playbook, la localisation et le setup des outils SOC et du SOAR.
Les volumes massifs et croissants de données rendent de plus en plus difficile pour les équipes chargées des opérations de sécurité (SecOps) de détecter, trier, hiérarchiser et répondre aux menaces de sécurité du SI : cela entraîne une exposition accrue aux risques cyber.
L’enrichissement des SOC par le machine learning semble être la réponse la plus efficace pour identifier et prédire des comportements encore méconnus, et ainsi offrir un service de protection des systèmes d’information en temps réel – même sur des menaces émergentes.Envie d’en savoir plus ?