Quels sont les outils les plus populaires des SOC?
Les systèmes EDR/XDR sont les technologies préférées des SOC, révèle un rapport du SANS Institute. La traque aux menaces et les SIEM sont également prisés, tandis que l’IA et le machine learning suscitent moins d’enthousiasme.
Les systèmes de sécurité des terminaux (EDR/XDR) apparaissent comme la technologie la plus appréciée par les opérateurs de SOC, selon un récent rapport publié par le SANS Institute. Outre ces outils de surveillance, de détection et de réponse aux menaces en temps réel, les systèmes de protection des accès tels que les VPN, les pare-feu de nouvelle génération et les systèmes de protection contre les logiciels malveillants sont aussi très prisés. La sécurité du courrier électronique, assurée par des passerelles web sécurisées (SWG) et des passerelles de messagerie sécurisées (SEG), est également privilégiée par les SOC.
Parmi les technologies en production, la traque aux menaces sort du lot en matière de satisfaction. Bien que faciles à déployer, ces outils présentent néanmoins des défis en termes de couverture complète, souvent en raison de problèmes de visibilité ou d'autorisations insuffisantes, avertissent les auteurs du rapport.
Fait intéressant, les technologies d'intelligence artificielle et de machine learning (IA/ML) occupent les dernières places en termes de satisfaction. Cependant, les outils d'IA générative se distinguent parmi les technologies en cours de mise en œuvre au sein des SOC. «Le financement est un défi pour les SOC, et les produits GPT sont tombés du ciel récemment en vue d’optimiser les tâches», analyse la SANS Institute. Enfin, les technologies de duperie (pots de miel) sont souvent mentionnées comme des solutions envisagées, bien que leur déploiement soit encore limité.
A noter que les systèmes de gestion des informations et des événements de sécurité (SIEM) sont parmi les plus largement adoptés au sein des SOC, car ils permettent de gérer des volumes massifs de données en les centralisant. «Nous avons demandé comment les participants géraient le volume massif de données, et ils semblent déployer moins d'efforts pour filtrer les données et déversent plutôt tout dans le SIEM. Cela peut sembler contre-intuitif, mais c'est peut-être plus économique que de déployer beaucoup d'efforts d'ingénierie pour déterminer ce qui est réellement nécessaire avant de le collecter», expliquent les auteurs du rapport. Etre en mesure de filtrer efficacement les faux positifs serait toutefois crucial pour éviter de surcharger inutilement l'équipe de sécurité, comme l’a récemment expliqué à la rédaction David Routin, SOC manager chez e-Xpert Solutions.
Lire aussi:
Quelles tâches assume un SOC aujourd’hui?
Où en est l’automatisation des SOC?