Réduisez les risques cyber grâce à l’automatisation

15 Jan 2021

Selon une étude Accenture sur le coût de la cybercriminalité publiée le 6 mars 2019, le coût moyen des attaques de logiciels malveillants s’élève à 2,6 millions de dollars pour les entreprises : un bond de 11 % en un an. Accenture a également constaté une forte hausse du coût des cyberattaques liées à des initiés ayant augmenté de 15 % pour atteindre 1,6 million de dollars en moyenne par entreprise. Alors que les prix ne cessent d’augmenter, Accenture révèle qu’habituellement les entreprises ne déploient pas les bons types de technologies pour aider à réduire les coûts de la cybercriminalité. Enfin l’étude déclare que seulement 28% des entreprises utilisent l’automatisation et, que l’automatisation dans le SOC aide les organisations à se tenir au courant des menaces dans la cybersécurité. Voyons comment l’automatisation peut réduire les risques.

Comment l’automatisation peut-elle réduire les risques en cybersécurité ?

Dans le secteur de la cybersécurité, le plus grand défi est de conserver une longueur d’avance sur les « attaquants ». Aussitôt les failles de sécurité corrigées, de nouvelles failles apparaissent et sont utilisées pour le prochain assaut. En effet, les hackers utilisent depuis un certain temps l’automatisation pour mener des attaques. Par exemple, ils utilisent des outils comme AutoSploit (Automating Metasploit) pour automatiser l’analyse et l’exploitation d’Internet, ou Sentry MBA pour le remplissage des justificatifs d’identité en contrôlant les proxys pour gérer les attaques. Ils se servent également des outils d’automatisation pour infiltrer les réseaux et collecter des données ou créer des comptes utilisateurs. À mesure que leurs outils évolueront, le nombre d’attaque automatisées augmentera, et les logiciels exécuteront de plus en plus d’infractions. Par conséquent, il est temps de considérer l’automatisation comme la prochaine ligne de sécurité pour rattraper les hackers.

Par exemple, vous pouvez avoir une sorte de système d’information de sécurité et de gestion des événements (SIEM) utilisé par votre SOC. L’objectif de ces systèmes est de protéger les données sensibles des personnes non autorisées qui pourraient l’obtenir. Les outils d’automatisation peuvent en effet s’intégrer à un tel système pour en améliorer et en accroître les capacités. L’effet est une méthode automatisée en boucle fermée qui sert à reconnaître les incidents de sécurité au moment où ils se produisent afin qu’ils puissent être résolus immédiatement. De plus, comme cela n’est plus fait manuellement, les performances opérationnelles augmentent.

Comment ça marche ?

 ;Les alertes de sécurité proviennent de diverses sources, mais dans les grandes entreprises, la plupart des incidents commencent surtout dans le SIEM. Le passage du SIEM au SOAR peut être amélioré en automatisant les normes d’intensification des alertes. En associant des règles bien choisies pour la remontée et la collecte automatisée de renseignements, les analystes peuvent se concentrer sur les incidents importants et agir en tenant compte du contexte complet, au lieu d’essayer de repérer les menaces réelles à partir de centaines d’alertes chaque jour.

Par exemple, si un courriel est signalé comme une tentative potentielle de phishing, une plateforme SOAR peut automatiquement vérifier la fiabilité de l’URL dans le courriel, vérifier la géolocalisation du propriétaire du domaine, enquêter sur les liens vers des attaquants connus, et plus encore. Sans automatisation, les analystes doivent se rendre sur d’autres applications et consulter manuellement ces données, presque plus de 100 fois par jour.

Voici quelques-uns des avantages fondamentaux de l’automatisation.

  • Déconnecte immédiatement à distance du réseau tout appareil et/ou ordinateur illégal ;
  • Désactive/Interdit instantanément et à distance l’accès aux utilisateurs inconnus ;
  • Saisit les événements de sécurité SIEM et applique de manière automatique des méthodes définies pour obtenir des informations supplémentaires, effectuer une analyse des incidents et en rendre compte au personnel approprié, selon les besoins, pour résoudre des événements plus complexes ;
  • Active /désactive les connexions des utilisateurs dans des délais précis pour mieux contrôller l’autorité sur les connexions des utilisateurs à distance ;
  • Capte les alertes du système antivirus et compléte les procédures pour arrêter les intrusions et la propagation des virus ainsi que d’autres menaces externes graves.

Un exemple d’automatisation est le déploiement et la surveillance des serveurs qui permet de réduire la quantité de tâches manuelles fastidieuses. Dans le passé, les administrateurs système créaient les serveurs par configuration manuelle et devaient ensuite surveiller et résoudre les problèmes physiquement. Les scripts peuvent être utilisés dans différents scénarios pour automatiser le serveur, ce qui donne également de l’élasticité – si vous avez une charge accrue et que vous avez besoin d’un serveur supplémentaire, vous exécutez à nouveau le même script.

Bannière analyse Infrastructures de Command & Control

Principaux facteurs à prendre en compte pour l’automatisation

L’automatisation de la cybersécurité permet de rassembler des outils incongrus pour améliorer la détection des menaces et de coupler l’analyse de la sécurité aux opérations. Cela permet de réagir rapidement aux incidents et d’appliquer des stratégies d’atténuation des risques lorsque les alertes se déclenchent. Il n’ya plus de temps pour l’attaquant.

Les fournisseurs de sécurité fournissent progressivement des API pour interagir avec les outils. C’est une première étape, mais vous devez obtenir autant de connecteurs que de terminaux d’API devant être nécessaires. L’étape suivante sera OpenC2, qui est un langage de commande/réponse permettant d’automatiser les actions sur de multiples solutions. Certains fournisseurs de sécurité commencent à l’envisager. Il faut penser que les commandes d’automatisation écrites dans OpenC2 sont un choix intelligent pour le rendre compatible avec une évolution de l’infrastructure.

Les playbooks et les moteurs d’orchestration permettent de transformer ce qui était connu dans l’entreprise comme le bon processus en un chemin toujours actif et obligatoire. Et, lorsque ce chemin est rempli d’étapes automatisées, la réaction est censée être meilleure et plus rapide. L’automatisation signifie que vous accélérez votre défense en utilisant des API, des scripts et des commandes OpenC2.

En fin de compte, l’automatisation de la sécurité vise à améliorer les conditions de sécurité des organisations de diverses manières, comme l’exécution précise de tâches monotones, l’augmentation de l’intelligence humaine dans des domaines tels que l’analyse des fichiers journaux, et le remplacement de la médiation humaine collective dans la classification et le confinement des cyber-exploits ou des violations.

Les principaux avantages de l’automatisation sont les suivants

  • Réponse plus constante aux alertes
  • Amélioration de la capacité à gérer le volume de tickets
  • Temps de réponse plus rapide en cas d’incidents de sécurité majeurs
  • Meilleure concentration des analystes sur les points de priorité les plus importants
  • Visibilité accrue de ce qui se passe
  • Couverture d’une zone plus étendue et d’un plus grand nombre de tickets

Voici les 3 principaux facteurs à prendre en compte pour l’automatisation :

Limites des systèmes entièrement automatisés

Même si l’intégration de l’automatisation à votre modèle de sécurité peut apporter une réelle valeur ajoutée, un mauvais usage de celle-ci peut entraîner un manque de contrôle.

La plupart des mauvais usages font référence à une dépendance excessive à l’égard de l’automatisation, qui peut alors entraîner des échecs de surveillance ou des biais de décision.

Par exemple, selon l’enquête SANS 2019 SOC, l’automatisation devrait être utilisée pour soutenir les compétences actuelles du personnel et ne devrait pas être considérée comme une solution pour remplacer complètement le personnel.

Le SANS explore en outre le fait que la plupart des entreprises pensent d’abord aux outils et à la technologie, plutôt qu’aux méthodes et aux personnes qui travaillent également au fonctionnement du SOC, mais il est nécessaire de comprendre que les personnes restent l’atout le plus important du SOC.Il est nécessaire que les entreprises soient capables de trouver et de conserver un personnel de qualité, en particulier avec la pénurie croissante de professionnels qualifiés dans le domaine de la cybersécurité sur le marché. Si ce n’est pas la stratégie de l’entreprise, l’externalisation du service de sécurité peut également être une bonne option.

Enfin, l’automatisation dans le SOC réduit les tâches manuelles et monotones en automatisant les playbooks de réponse aux incidents, en éliminant le soutien limité de la main-d’œuvre et en améliorant de façon mesurable les niveaux de service. Ce type de programme permet également la configuration avancée des méthodes de sécurité sur une base cohérente afin de reconnaître et de bloquer les vulnérabilités de sécurité. La nécessité d’automatiser le SOC devient une question urgente puisque les attaquants exploitent également divers outils automatisés pour développer et exécuter des attaques. Le rythme croissant des attaques automatisées exige nécessairement d’automatiser certaines fonctions et processus du SOC. Les suggestions présentées dans cet article peuvent vous aider à décider de la stratégie d’automatisation appropriée.

Dans SEKOIA.IO, nous sommes compatibles avec OpenC2 afin que chaque contre-mesure proposée en alerte puisse être automatisée côté client. Vous voulez jeter un coup d’œil ? Essayez SEKOIA.IO gratuitement !

Chat with our team!

Would you like to know more about our solutions? Do you want to discover our XDR and CTI products? Do you have a cyber security project in your organization? Make an appointment and meet us!

Échangez avec l’équipe

Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !