DÉTECTION ET RÉPONSE AUX INCIDENTS
SIEM, SOAR & SOC
CISO AG garantit la capacité de détection des incidents du service en fournissant trois piliers fondamentaux à ses clients. Une solution de gestion des informations et des événements de sécurité (SIEM), une solution d'orchestration de la sécurité et de réponse automatisée (SOAR) et un centre opérationnel de sécurité (SOC) en tant que service. Les deux solutions techniques et le service, combinés avec les meilleurs analystes et ingénieurs en sécurité et une décennie d'expérience, constituent l'épine dorsale de notre service géré.
VUE D'ENSEMBLE
SIEM
GESTION DES INFORMATIONS ET DES ÉVÉNEMENTS LIÉS À LA SÉCURITÉ
CISO AG propose différentes options utilisant une solution SIEM pour collecter, agréger et corréler les événements de sécurité (logs) et les informations. Pour fournir le service, nous pouvons utiliser un système SIEM déjà mis en œuvre au sein de l'organisation ; par conséquent, le coût de la licence et de la mise en œuvre peut être économisé. Si l'organisation n'a pas mis en œuvre une solution SIEM, mais souhaite le faire, nous pouvons fournir un service de bout en bout, de la définition des besoins à la sélection, en passant par la mise en œuvre technique et l'exploitation BAU, qu'il s'agisse d'une solution sur site ou d'une solution en nuage.
Nos ingénieurs certifiés ont de l'expérience avec plus d'une douzaine de fournisseurs SIEM différents. La troisième option consiste à utiliser notre plateforme SIEM gérée et à y intégrer l'organisation. Notre plateforme est une solution sophistiquée où les données de chaque locataire sont séparées, et elle est hautement évolutive, capable de traiter un grand nombre d'événements et de corrélations. Des centaines de sources de collecte de journaux sont prises en charge par défaut, et nous pouvons créer des analyseurs et des agrégateurs personnalisés.
Les trois options sont opérationnelles et viables, hautement personnalisables en fonction des besoins de l'organisation. Une partie reste inchangée : l'expertise de nos consultants pour utiliser la solution et en tirer le meilleur parti, en définissant des cas d'utilisation, des alertes et des playbooks pour différents scénarios de détection d'incidents.
SOAR
ORCHESTRATION DE LA SÉCURITÉ ET RÉPONSE AUTOMATISÉE
Les solutions d'orchestration de la sécurité et de réponse automatisée sont l'un des derniers outils de la boîte à outils de la cyberdéfense. Le nombre d'événements signalés dans les systèmes SIEM est de plus en plus élevé, car de plus en plus d'appareils, de solutions et de services SaaS sont intégrés dans le système SIEM.
L'outil SOAR est créé pour fournir des analyses et des réponses aux événements basées sur l'IA et le comportement, permettant à l'analyste de sécurité de se concentrer sur des investigations détaillées. L'objectif principal de la solution est de fournir des réponses automatisées aux événements de bas niveau.
Un exemple simple de l'utilisation de l'ensemble d'outils SOAR, du pare-feu périphérique ou de l'IDPS enregistre un balayage de port unique, qui est généralement considéré comme un bruit de fond pour un analyste de la sécurité. Cependant, si l'adresse IP appartient à un mauvais acteur connu, il peut s'agir d'une alerte précoce pour une future attaque. L'une des meilleures pratiques consiste à bloquer cette plage d'adresses IP et toute autre plage d'adresses IP connue associée au mauvais acteur.
Habituellement, ce processus implique que l'analyste de sécurité vérifie l'identité du mauvais acteur, soumette une demande de changement pour bloquer les adresses IP sur le(s) pare-feu, et attende la confirmation de l'équipe de gestion du réseau que la plage d'adresses IP est bloquée. Comme on peut le voir, ce processus pourrait être long, en particulier dans une grande organisation ayant une politique stricte de gestion des changements. Avec une solution SOAR, tout est automatisé et le rôle de l'analyste de sécurité consiste à surveiller et à vérifier les résultats.
Il est possible de créer (orchestrer) des flux de travail automatisés avec la pile d'outils, par exemple créer un hôte connaissant les vulnérabilités, ouvrir un ticket dans le système de ticketing et inscrire l'hôte dans le prochain cycle de correctifs. L'objectif d'une solution SOAR est d'intégrer les événements et les réponses de sécurité à l'ensemble des outils informatiques internes et externes. La solution SOAR figure sur la liste des technologies émergentes établie par Gartner.
SOC
CENTRE D'OPÉRATIONS DE SÉCURITÉ
Au cours des deux dernières décennies, les centres d'opérations de sécurité ont évolué à partir des centres d'opérations de réseau traditionnels et sont devenus un élément essentiel des opérations de sécurité de l'organisation. Aujourd'hui, il est impossible d'imaginer une entreprise soucieuse de la sécurité et de la confidentialité de l'information sans un SOC ou un service SOC géré.
Les troisièmes piliers de CISO AG pour la détection des incidents sont le groupe d'analystes de sécurité triés sur le volet, les chefs d'équipe et les gestionnaires de services qui utilisent des décennies d'expérience pour fournir un excellent service. Pour le service géré, l'équipe SOC intègre l'organisation en définissant la liste des sources d'événements, en définissant les événements et le flux de trafic habituels, en identifiant les événements d'intérêt et en créant des cas d'utilisation SIEM et des playbooks SOAR dans le cadre du processus de réponse aux incidents. La définition des indicateurs clés de performance (KPI), des accords opérationnels et des accords de niveau de service fait partie du processus.
Le service SOC peut être fourni sur site, en utilisant la plateforme et les solutions de CISO AG, hors site en fournissant un service exécuté à distance, ou nous pouvons partiellement ou entièrement gérer le service SOC interne en fournissant notre expertise et nos ressources humaines.
