Pour les professionnels de la sécurité, la situation devient de plus en plus complexe, ce qui peut être une bonne chose. À mesure que leurs organisations mettent cloud au service d'un plus grand nombre d'applications, les équipes de sécurité sont chargées d'intégrer un ensemble beaucoup plus large de données télémétriques pour donner un sens à leur environnement. L'acquisition d'une connaissance de la situation est déjà un défi dans les environnements existants. Mais cette évolution vers une intégration plus poussée de cloud peut être un catalyseur pour que les équipes franchissent le pas vers des outils analytiques qui les rendent plus productifs et plus efficaces.
Dans une étude récente de 451 Research, qui fait partie de S&P Global Market Intelligence, 57 % des entreprises ont déclaré avoir déjà déployé ou être en train de mettre en œuvre des environnements hybrides cloud qui combinent des systèmes sur site et des nuages hors site. Cela signifie qu'elles doivent déjà faire face à une multitude de nouveaux types d'informations que ces systèmes génèrent et à l'augmentation des volumes disponibles. Si la multiplication des données permet d'obtenir de meilleures informations, les compétences nécessaires pour opérer dans ces nouveaux univers peuvent être rares.
Une autre étude de 451 Research réalisée à la même époque montre que les pénuries de compétences les plus graves concernent l'expertise des plateformes cloud , les fonctions et les outils natifs cloud, suivis de près par la sécurité de l'information. Cette combinaison peut signifier que non seulement la pénurie à long terme de praticiens de la sécurité de l'information persiste, mais que le manque de ceux qui possèdent les compétences cloud-capable est peut-être en train de la surpasser. Les organisations doivent comprendre qu'elles ne peuvent pas s'attendre à recruter pour résoudre ces problèmes.
L'utilisation de l'analyse dans le domaine de la sécurité s'est considérablement développée, en raison d'un besoin à long terme de trouver des multiplicateurs de force pour des équipes surchargées. Cette demande a conduit à une prolifération de l'utilisation de termes tels que l'intelligence artificielle (IA) et l'apprentissage automatique, souvent avec des revendications spectaculaires de son efficacité. L'utilisation de ces termes s'est tellement répandue qu'une autre de nos études réalisée fin 2019 les plaçait en deuxième position des tendances ou mots à la mode les plus galvaudés en matière de sécurité, juste après la blockchain. C'est dire à quel point il est difficile pour les professionnels de la sécurité de s'y retrouver dans le flot d'affirmations qui inondent le marché.
Que peut donc faire un RSSI médiocre dans cette situation ? Malgré le battage médiatique, l'analyse est le moyen d'aller de l'avant et d'accroître la productivité et l'efficacité. Mais il doit garder deux choses à l'esprit : (1) toutes les IA ne sont pas égales et (2) certaines sources de télémétrie sont plus égales que d'autres.
En ce qui concerne la télémétrie, les sources de données les plus fiables l'emportent sur les autres. Même dans un monde nuageux, les sources de réseau présentent de nombreux avantages. Elles constituent une source de vérité solide et résistent à la détection des attaquants. De nombreux environnements cloud ne seront pas en mesure de fournir une prise réseau, de sorte que les équipes de sécurité doivent pouvoir ingérer des journaux de flux et des enregistrements d'accès et utiliser des systèmes capables de les corréler.
Pour l'analyse, il est important d'examiner les modèles utilisés et la manière dont ils sont mis en œuvre. Les techniques d'apprentissage non supervisé promettent de fonctionner avec peu de gestion, mais aucun système réussi n'est entièrement non supervisé. Les approches plus matures construisent et mettent au point des modèles capables de cibler différentes sources et d'établir des corrélations entre différentes données télémétriques. Elles utilisent plusieurs modèles et évaluent les résultats pour limiter la génération d'événements à ceux qui présentent le bon niveau de confiance.
La combinaison des bonnes données et des bonnes analyses peut contribuer à séparer les nuages pour les équipes de sécurité et les aider à sécuriser ce qui est une ressource importante pour l'entreprise moderne.
Pour découvrir comment les équipes chargées des opérations de sécurité tirent parti de détection et réponse aux incidents (NDR) moderne basé sur le comportement pour chasser les menaces et garder une longueur d'avance sur les attaquants, prévoyez une démonstration.