shutterstock 1018105807 rainbow colored parachute against a blue sky and cirrus clouds

Votre SOC est le parachute – va-t-il s’ouvrir?

Lucas Morel

De la fatigue alerte à ne pas compter sur l’IA pour connaître vos systèmes, comment vous assurer que votre SOC est prêt pour les menaces actuelles.

L’économie de sécurité tourne autour de l’hypothèse que les centres d’opérations de sécurité (SOC) permettra d’économiser des organisations. Passez assez, sous-traitant suffisamment, automatisant suffisamment et tout ira bien. Sauf que vous ne l’êtes pas. Les violations continuent de se produire, et le plus souvent, ils passent devant le Soc à la vue.

Dans ma pièce précédente – 7 raisons pour lesquelles le SOC est en crise – et 5 étapes pour le réparer – j’ai présenté les défis structurels retenant les SOC.

Cette fois, je veux me concentrer sur le cœur du problème. Le problème n’est pas seulement la fatigue alerte ou la pile technologique. C’est comment nous pensons, concevons et ingénieurs pour la résilience.

L’écart n’est pas seulement la fatigue alerte, les SOC doivent évoluer

Je vais vous donner un exemple trivial. J’ai attendu une fois 25 minutes dans un hôtel cinq étoiles juste pour obtenir un jus d’orange et un soda. Non pas parce que le personnel n’était pas capable, mais parce que le processus a été rompu. Changer de cartes-cadeaux, des limes manquantes, de mauvaises lunettes. Toute cette friction signifiait que moi, le client, devais conduire le résultat.

C’est ce que c’est que dans trop de SOC. Avec des outils, des tableaux de bord et des alertes sans fin, le processus se décompose. Le résultat est des signes manqués, une mauvaise corrélation et des défenseurs forcés de générer des résultats manuellement.

L’écart n’est pas seulement une question de fatigue alerte. C’est tout l’écosystème qui l’entoure.

Les SOC sont réactifs par conception: détecter et répondre. Mais ne rester que dans cette voie les maintient en permanence.

Ce qui est nécessaire, c’est un seuil de conception plus élevé. Appelons cela «l’ingénierie suisse». Les chemins de fer suisses ne fonctionnent pas parce qu’ils sont flashy. Ils fonctionnent parce qu’ils sont trop spécifiés, testés et répétés.

La plupart des SOC ne le sont pas. Ils sont externalisés, inspirés ou co-source, mais ils sont chroniquement sous-spécifiés.

Nous jetons plus d’outils à des problèmes de détection au lieu d’ingénierie des fondations robustes. Nous superposons la complexité plutôt que de construire une simplicité élégante.

La complexité est l’ennemi de la résilience

J’ai récemment eu une conversation fascinante avec un ami à Cambridge. Nous débattions de ce qui ne va pas avec la cybersécurité, et il a dit quelque chose qui m’a marqué: « La réponse est simple si elle est très bien fait. »

Il fait écho à un point que j’ai exploré dans un essai collaboratif avec Abbas Kudrati: la cybersécurité a besoin d’un état d’esprit plus simple et plus intelligent.

Notre industrie continue de superposer plus d’outils et de processus, en rafraîchissant des faiblesses au lieu de fixer des causes profondes telles que des erreurs de configuration, en achetant un autre outil brillant au lieu de répéter notre cadence de réponse.

Les pirates le savent. Ils ne fonctionnent pas comme des sociétés. Ils ne sont pas indemnisés pour les vacances ou ne prennent pas les week-ends de vacances bancaires. Ils ont sonde pendant les transfert, exploiter les temps d’arrêt et utiliser ce qui se trouve déjà dans l’environnement. Ils vivent de la terre, glissant à travers les angles morts parce qu’ils savent que la plupart des SOC ne sont pas conçus pour les attraper.

Vous ne pouvez pas externaliser la réflexion

Le premier signe de compromis est rarement bruyant. C’est subtil. C’est pourquoi le contexte et l’intuition sont tellement importants en matière de sécurité. Pourtant, trop souvent, nous nous attendons à ce que les juniors repèrent avec quoi les analystes assaisonnés ont même du mal. Ensuite, nous nous disons que la sécurité de l’IA comblera l’écart.

Ne vous méprenez pas, l’IA a une place. Mais nous l’utilisons comme un proxy pour la pensée humaine plutôt que d’améliorer la capacité humaine. C’est en arrière. L’IA fonctionne bien avec des données structurées, mais elle a besoin que les humains fournissent un contexte, une priorité et ce sentiment de «quelque chose n’est pas ici».

Vous ne pouvez pas externaliser la réflexion. Vous pouvez collaborer pour générer des résultats, mais la compréhension fondamentale de votre environnement doit être interne.

Les vendeurs peuvent fournir des outils et une perspective, mais ils ne peuvent pas vous dire ce qui compte le plus dans votre entreprise. Ces connaissances proviennent de la répétition des scénarios, de la cartographie de vos systèmes et de l’acceptation des tolérances du risque. Ce qui signifie que la partie difficile est inévitable: réfléchissez soigneusement.

Trop souvent, les organisations se tournent vers un tiers pour des réponses prêtes à l’emploi. Ce dont ils ont besoin, c’est de posséder le processus de définition des priorités et des seuils, puis apporter des partenaires pour aider à valider et à renforcer ce travail.

Où aller d’ici

La solution n’est pas plus d’automatisation ou de meilleurs outils. C’est une pensée prudente, une modélisation des menaces et une compréhension de votre environnement. Il passe de la détection réactive à la défense anticipée. C’est la construction d’analyses comportementales qui nous donnent un contexte, pas seulement des alertes.

Et nous avons besoin d’urgence. Je reviens toujours à l’aviation parce que ça va bien. Lorsqu’un pilote perd un moteur, il ne retire pas un manuel. Ils l’ont répété. Tout de suite, ils suivent un flux qui stabilise la situation: avié, naviguer, communiquer. Les SOC ont besoin de la même discipline: la vitesse, l’intuition et l’ingénierie qui ne s’effondrent pas sous pression.

Avoir un incident en soi n’est pas le danger. Le danger est l’échec de la réponse: ne pas le voir, ne sachant pas quoi faire. C’est là que les choses tournent mal très vite.

La réponse est de construire la mémoire musculaire. Tout comme les pilotes ne permettent pas d’urgence, les équipes SOC doivent répéter jusqu’à ce que le confinement et l’escalade soient instinctifs. Cela signifie établir une autorité claire pour l’action, la prise de décision de test de stress avec des exercices de tir en direct et la planification autour de la réalité que les attaquants exploitent les transferts, les vacances et les temps d’arrêt.

La vérité est que la plupart des violations n’ont pas besoin de se produire. Ils se produisent parce que nous avons normalisé la complexité, sous-spécifié nos défenses et oublié que l’élégance vient de bien faire les choses simples.

Le SOC est censé être le parachute. En ce moment, trop de gens échoueraient au moment où nous tirons le ripcord. La question est: êtes-vous confiant que le vôtre s’ouvrira quand il sera important?

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

black and white server room
NETSCOUT reconnu pour son leadership en matière de détection et de réponse réseau
Unterschätztes Risiko: Insider-Bedrohungen endlich ernst nehmen
Unterschätztes Risiko: Insider-Bedrohungen endlich ernst nehmen
10 points de sécurité spécifiques : afin que vous puissiez avoir les équipes informatiques de sécurité de Kraft gratuitement
10 points de sécurité spécifiques : afin que vous puissiez avoir les équipes informatiques de sécurité de Kraft gratuitement