La pression que les analystes de sécurité subissent est aujourd’hui plus forte que jamais, surtout après la période d’intensification des cybermenaces que nous avons connue ces derniers mois. C’est particulièrement vrai dans le cloud, qui a enregistré +630 % d’attaques externes en seulement quatre mois au début de la pandémie. Pour les équipes SecOps, toutes ces menaces additionnelles se traduisent par un déluge d’alertes parasites – plus d’un quart des alertes de sécurité seraient en effet des faux positifs – qu’une main-d’œuvre humaine est incapable de traiter seule. De fait, le risque est important qu’une vraie menace se perde dans le bruit et passe inaperçue.
Pour y remédier, de nouvelles solutions doivent être mises en œuvre. De nombreuses équipes SecOps rédigent et suivent toujours les mêmes règles éculées qu’elles appliquent depuis des années, alors que le paysage évolue et que le volume croissant de données ne peut que générer toujours plus d’alertes. En automatisant la sécurité du cloud, la technologie peut venir soulager les experts en sécurité et leur permettre de consacrer leur temps et leur énergie à des questions plus stratégiques.
Identifier les inconnues
La surveillance des infrastructures IT doit, bien entendu, toujours être mise en œuvre dans le cadre de la stratégie de cybersécurité d’une entreprise. Mais les attaques qu’elle permet de détecter concernent bien souvent des failles déjà connues. Avec l’adoption du cloud et des environnements toujours plus complexes, les équipes SecOps doivent également protéger l’entreprise contre les attaques qu’elles ne connaissent pas – les « inconnues » et les attaques Zero Day.
Lorsque des pirates parviennent à exploiter une vulnérabilité avant que l’équipe SecOps ne trouve la solution et ne corrige le problème, comme dans le cas d’une attaque Zero Day, les menaces sont incontestablement plus difficiles à détecter ou à résoudre. Dans des environnements multi-cloud et hybrides, bien souvent mal gérés par les outils de sécurité traditionnels visant la sécurisation des points d’accès plutôt que l’ensemble du réseau, les menaces de type Zero Day sont encore plus difficiles à détecter.
Il est donc important de donner la priorité à de nouvelles approches afin que les anomalies sur le réseau, les pics de déploiement de pods ou encore les comportements inhabituels, pour ne citer que quelques exemples, soient détectés et considérés comme des menaces à haut risque. Ce n’est qu’alors qu’on peut commencer à comprendre les inconnues. En utilisant l’automatisation et le machine learning pour filtrer les alertes et réduire le bruit, les analystes de sécurité seront plus susceptibles de voir les changements dans le comportement du réseau et d’identifier les menaces les plus pressantes et dangereuses.
L’automatisation pour renforcer l’expérience humaine
Il est important de rappeler que l’automatisation ne vient pas remplacer l’humain, mais l’augmenter. En mettant en œuvre des processus automatisés de sécurité du cloud, la détection peut aller bien au-delà de ce qu’une main-d’œuvre humaine peut faire seule. Mais l’analyste de sécurité a toujours un rôle important à jouer dans la protection de l’organisation. Les bénéfices de l’automatisation doivent être liés aux processus et aux personnes, et l’amélioration d’un processus profitera en fin de compte aux personnes qui rédigeaient auparavant les règles.
Alors que les analystes de sécurité continueront à contextualiser les données qu’ils reçoivent et à prendre des décisions en se basant sur les alertes, c’est le rôle des plates-formes d’automatisation de la sécurité de réduire le bruit. En analysant et en filtrant, en trouvant l’aiguille dans la botte de foin, en identifiant les informations les plus importantes pour l’équipe SecOps, les solutions d’automatisation avec machine learning allègent la charge de travail – non seulement en garantissant que seules les menaces légitimes sont signalées, mais aussi en permettant une remédiation plus ciblée et rapide, réduisant ainsi les risques d’indisponibilité. Cette automatisation est encore plus essentielle dans les environnements cloud, car les organisations ont bien souvent mis en œuvre de nombreux outils de surveillance et de gestion des tickets, répondant aux différents besoins dans différents clouds distincts. Sans automatisation, la rationalisation et la synchronisation des alertes et mises à jour peuvent rapidement devenir un travail à plein temps, parfois même pour plusieurs personnes.
La sécurité sans visibilité du cloud est à peine une sécurité
Sans une visibilité totale de l’ensemble du trafic, les solutions automatisées de sécurité du cloud ne pourront pas classer correctement les alertes, ce qui peut entraîner un retard dans la détection des menaces. S’il est impossible de gérer ce que l’on ne voit pas, il est également impossible d’analyser et de comprendre des données qui ne sont qu’à moitié visibles. Sans une analyse approfondie et complète des données, les anomalies sur le réseau et comportementales passeront sous le radar. Une plateforme unique de sécurité du cloud, offrant une vue unifiée de votre réseau multi-cloud et hybride, est importante pour garantir une visibilité à tout moment, tout en étant plus facile à gérer et plus rentable que la combinaison de plusieurs solutions ponctuelles. Il est essentiel que les analystes de sécurité comprennent l’importance d’une vision claire de l’ensemble du trafic afin d’optimiser les outils d’automatisation et d’améliorer leur propre expérience de travail.
L’automatisation de la sécurité du cloud ne permettra pas d’éliminer instantanément toutes les menaces. Cependant, elle donnera un aperçu maximal des environnements cloud ou multi-cloud afin de mettre en évidence les signes de compromission et alléger la charge de travail des équipes SecOps. Les cyberattaques et les menaces auxquelles l’environnement cloud est confronté ne feront qu’augmenter dans les années à venir. L’automatisation, la consolidation et la simplification de la sécurité du cloud permettront aux équipes de sécurité de s’attaquer au nombre croissant de fausses alertes et de protéger leur organisation face aux menaces.
___________________
Par Philippe Van Hove, Vice-président Europe Central et Sud, Lacework