Trois raisons qui expliquent l'adoption des SOCs

Les équipes informatiques et de sécurité des entreprises sont confrontées à des défis de cybersécurité qui mettent de plus en plus à l'épreuve leurs capacités défensives. Les entreprises doivent se protéger contre un nombre croissant d'incidents (une attaque toutes les 39 secondes selon l'université du Maryland) et de menaces sophistiquées, dont beaucoup ont des conséquences graves. Malgré l'augmentation des budgets de sécurité des entreprises, le coût des cyberattaques continue de croître d'année en année (plus de 6 milliards de dollars en 2019, selon une étude du CSIS). 

Par exemple, le télétravail et la mobilité des utilisateurs ont étendu le périmètre de sécurité de l'entreprise et cette frontière « nous accompagne » quel que soit l’endroit où nous travaillons. Des groupes criminels ont changé de tactique, ciblant les entreprises qui ont déplacé leur infrastructure dans le cloud et se cachant parmi les services légitimes. Des attaquants de masse ont développé de nouvelles façons de traquer et de se faufiler dans le réseau sans être vus. 

Si on ne prête pas suffisamment attention à ces dangers, ils peuvent avoir des répercussions directes sur les équipes chargées des opérations de sécurité, nuire à leur efficacité et mettre les entreprises en danger. Le nouvel eBook WatchGuard Advanced Endpoint Security for SOCs : votre arme pour traquer l’inconnu (en anglais) aborde trois défis majeurs dans ce domaine : 

• Pénurie d’experts en cybersécurité : l’année dernière dans le monde entier, 2,9 millions d'emplois n’ont pas été pourvus dans le domaine de la cybersécurité. En raison de cette pénurie, de nombreuses entreprises ne disposent pas d'équipes suffisamment formées en cybersécurité pour faire face aux menaces. Elles sont ainsi beaucoup plus vulnérables et donc plus susceptibles de subir des conséquences aggravées. 
•  L’effet de fatigue due aux alertes est source d'inefficacité : face à la prolifération des menaces et à la variété des vecteurs d'attaque utilisés par les cybercriminels pour accéder aux systèmes, de nombreux SOC ont recours à tout un éventail de solutions de cybersécurité. Ils ont ainsi tendance à partager leur temps et leur attention entre différentes plateformes et outils, ce qui entraîne un manque d'efficacité et un risque accru pour l’entreprise, qui peut passer à côté de certaines alertes et menaces potentielles sans les filtrer ni les hiérarchiser. 
• Temps de détection et de réponse insuffisants : selon l’étude Cost of a Data Breach Report 2021, publiée par l’institut Ponemon, le temps moyen de détection des menaces (212 jours) et de mise en œuvre de mesures de confinement (75 jours) dans les entreprises est dans ces circonstances excessivement long. Cela signifie souvent que les attaquants ont suffisamment de temps pour se déplacer latéralement dans les systèmes et atteindre leurs objectifs, tels que l’exfiltration de données ou l’exécution de malwares, sans être détectés par une solution de sécurité. 

C’est pourquoi il est essentiel de renforcer les équipes chargées des opérations de sécurité dans les entreprises avec des services managés par des experts en opérations de sécurité proactives, connus dans le secteur sous le nom de SOCs modernes. Ces SOCs modernes automatisent la recherche proactive d’attaquants potentiels qui se cachent dans l’entreprise et ses endpoints et envoient une réponse efficace pour prévenir tout incident de sécurité dès que possible, ce qui minimise l’impact et donc le coût pour l'entreprise. 

Voici quelques-unes des mesures clés qui expliquent l’efficacité des SOCs modernes : 

1. Adoptez une approche Zero Trust. Accordez le moins de privilèges possible aux utilisateurs, ne faites jamais confiance à la légitimité (mais validez-la toujours) des identités, des utilisateurs et des applications et, pour finir, supervisez et contrôlez toujours l’activité afin de détecter les anomalies de comportement le plus rapidement possible. 
    
2. Ne vous contentez pas de réagir aux alertes, soyez proactif dans la recherche de comportements suspects ou de techniques d’attaque sophistiquées qui utilisent un mécanisme de type « Living off the Land » et n’obligent pas les attaquants à déployer leurs propres appareils, les faisant passer inaperçus. 
    
3. Appliquez des analyses de sécurité évolutives et automatisées pour détecter, analyser et répondre aux attaquants aussi rapidement que possible, en fournissant une analyse détaillée des systèmes touchés, des vulnérabilités exploitées et de la cause première de l’incident. 
    
4. Intégrez des services de threat hunting dans vos processus continus car ils améliorent les mécanismes de détection et permettent ainsi de faire face au flux constant de menaces.