Comment la clarté des signaux change tout pour la défense des entreprises hybrides

17 novembre 2023
Mark Wojtasiak
Vice-président de la recherche et de la stratégie des produits
Comment la clarté des signaux change tout pour la défense des entreprises hybrides

La cybersécurité est en panne.  

Plus précisément, la détection et la réponse aux attaques hybrides sur le site échouent. Selon un rapport d'IBM datant de 2022, 83 % des organisations subissent plusieurs violations chaque année. Il est clair qu'une nouvelle approche est absolument nécessaire. Mais contrairement à la tendance actuelle, l'ajout d'outils supplémentaires générant davantage d'alertes n'est pas la solution. (Source : IBM Security Cost of a Data Breach Report 2022).

Noyés dans un déluge d'alertes

Dans le rapport 2023 State of Threat Detection de Vectra, les analystes SOC mesurent généralement l'efficacité d'un outil en fonction du fait qu'il signale un événement menaçant et déclenche une alerte.

Mais en tant qu'industrie, est-ce la norme à laquelle nous voulons nous tenir lorsque les équipes SOC sont submergées par près de 4 500 alertes provenant de nombreux outils chaque jour?  

Qui a le temps ou l'équipe nécessaire pour traiter un volume d'alertes aussi ridicule ?  

Personne.  

Oui, le travail de votre équipe SOC est de protéger l'environnement informatique hybride, mais noyer vos analystes sous des milliers d'alertes qu'ils ne peuvent pas traiter n'est PAS le moyen de remplir ce mandat.  

Les analystes SOC manquent de confiance dans leurs outils

Dans ce même rapport, 97 % des analystes craignent de manquer un événement qui passe inaperçu à cause des deux tiers des alertes de sécurité qu'ils n'auront jamais le temps d'examiner un jour donné.

Cette crise de confiance est non seulement inacceptable, mais aussi intenable. Comment une équipe SOC peut-elle faire son travail avec des volumes de signaux, d'alertes et de faux positifs aussi élevés ?  

C'est une formule désastreuse pour les analystes SOC et les entreprises hybrides qu'ils tentent de protéger.  

La disparition des analystes SOC

D'ailleurs, le terme "désastre" n'est pas une hyperbole. Comme indiqué dans un article précédent, 67 % des analystes SOC envisagent de quitter ou quittent activement le secteur, ce qui explique le déficit mondial persistant de 3,4 millions de travailleurs hautement qualifiés dans le domaine de la sécurité.

Ces niveaux d'attrition et de déficit d'analystes sont attribués à une charge de travail quotidienne chargée de stress et de frustration.  

Mais cela témoigne également d'une crise de confiance des analystes de sécurité à l'égard de l'ensemble du paradigme de la cybersécurité. Si nous ne redéfinissons pas la manière dont nous mesurons l'efficacité des outils de sécurité, l'intégrité de votre environnement informatique continuera à se détériorer à mesure que les volumes d'alerte augmenteront et que les analystes continueront à quitter le secteur en masse.

Une approche plus intelligente est disponible

Notre étude suggère que votre équipe SOC peut améliorer la situation en évitant les outils qui ne font qu'entraver l'analyse et alourdir leur charge de travail. En outre, il reste nécessaire de trouver un moyen d'évaluer l'utilisation des outils pour la visibilité des menaces, la précision de la détection et l'efficacité des analystes.  

Une première étape intelligente consisterait à modifier la façon dont les analystes mesurent l'efficacité. Actuellement, la plupart d'entre eux mesurent la maturité du SOC en fonction de facteurs tels que la réduction des temps d'arrêt (65 %), le temps de détection, d'investigation et de réponse (61 %), les brèches évitées (61 %) et le nombre de tickets traités (60 %).  

Mais ces mesures sont-elles vraiment utiles ou même pertinentes si les attaques et les brèches invisibles continuent d'être la norme ?

Concentrez-vous sur ce que vous pouvez contrôler

En tant qu'industrie, continuer sur la voie de la prolifération et de l'échec des outils n'est pas la voie à suivre ; cela ne fait qu'alimenter la même spirale qui nous a mis dans cette situation difficile.  

La deuxième étape de la réussite consiste à se concentrer sur ce que l'on peut contrôler, et non sur ce que l'on ne peut pas contrôler. Par exemple, vous ne pouvez pas contrôler la surface d'attaque de votre organisation. Elle continuera à croître et à évoluer avec les investissements numériques. Vous ne pouvez pas non plus contrôler quand, où et comment les attaquants tenteront de percer vos défenses.  

Mais vous pouvez contrôler le signal et les problèmes d'épuisement professionnel qui affectent chaque jour vos analystes SOC.  

Comment ces objectifs clés peuvent-ils être atteints ?

Les avantages inégalés de la clarté du signal

Il faut commencer par redéfinir ce qu'est une sécurité efficace - et ce qu'elle n'est pas. Détecter des milliers de menaces possibles ne sert à rien si vous ne pouvez pas distinguer ce qui est urgent de ce qui est bénin.  

Mais identifier et hiérarchiser rapidement les attaques grâce à un site signal unifié qui permet d'identifier les attaques les plus urgentes sur l'ensemble de la surface d'attaque ?  

Cela change la donne.  

Les avantages d'une telle clarté du signal sont indéniables. Plus le signal d'attaque est efficace, plus le SOC devient cyber-résilient, efficace et performant et mieux vous pouvez défendre l'organisation. En outre, l'amélioration des taux de réussite contribuera à endiguer le flux d'analystes qui quittent le secteur.  

La clarté du signal commence par les outils de votre pile technologique. Nous pensons que les fournisseurs de sécurité devraient être tenus responsables de l'efficacité de leur signal, et pas seulement des volumes d'alertes qu'ils génèrent. Ils devraient également être tenus responsables du manque de visibilité de la surface d'attaque de leurs outils, de la précision de la détection et de l'impact négatif de ces échecs sur la productivité des analystes.  

En attendant, pour en savoir plus sur Vectra et la clarté de signal unifié , passez nous voir et vous verrez une voie claire vers l'avenir.

Foire aux questions