La plupart des organisations ont du mal à gérer les alertes et les vulnérabilités : comment y remédier

Se tenir au courant des menaces modernes n’est pas facile, surtout lorsque votre équipe de sécurité doit gérer 11 000 alertes par jour.

Une nouvelle étude ESG de Kaspersky intitulée « SOC Modernization and the Role of XDR » a été publiée plus tôt cette semaine et a révélé que 70% des organisations ont du mal à suivre le volume d’alertes générées par les outils d’analyse de sécurité.

Cependant, ce n’est pas seulement l’explosion des alertes de sécurité qui entrave la productivité des équipes de sécurité. C’est aussi le nombre de vulnérabilités découvertes qui est stupéfiant – avec 28 695 découvertes au cours de la seule année dernière – un nombre trop élevé pour être contenu même par l’équipe de sécurité la mieux équipée.

Avec un nombre aussi élevé de vulnérabilités émergentes, il n’est pas surprenant que le dernier rapport de NopSec révèle que 70 % des professionnels de la sécurité pensent que leur programme de gestion des vulnérabilités n’est que marginalement efficace. Comment les entreprises peuvent-elles relever ces défis de front ?

Propagation d’avertissement fixe

Pendant des années, le nombre élevé d’alertes générées par les outils de sécurité dans le Security Operation Center (SOC) a été l’un des plus gros problèmes auxquels les analystes de sécurité sont confrontés.

Les analystes sont souvent contraints de garder un œil sur des dizaines d’outils, chacun générant ses propres alertes uniques. Seule une petite partie de ces notifications sont utiles et liées à des incidents de sécurité actifs, alors que beaucoup sont simplement de faux positifs.

Les recherches montrent que 45 % de toutes les alertes de sécurité quotidiennes sont des faux positifs, consommant tellement d’heures de contact que 75 % des organisations déclarent que leur organisation passe autant ou plus de temps sur les faux positifs que sur les attaques légitimes.

Sergey Solodatov, responsable du SOC chez Kaspersky, déclare que les organisations doivent utiliser l’automatisation pour lutter contre la prolifération des alertes afin de rationaliser leurs processus de détection et de réponse.

« L’automatisation à toutes les étapes du traitement des alarmes sera utile ici », a déclaré Solodatov. « Par exemple, dans notre SOC, nous avons un analyste automatisé breveté alimenté par l’IA qui apprend à partir d’une analyse de l’historique des alertes traitées par l’équipe d’analystes du SOC. »

Il note que « l’analyste automatique » est la première ligne du SOC de Kaspersky, ce qui a permis de réduire de moitié le nombre d’alertes faussement positives envoyées à l’équipe SOC de l’entreprise pour analyse.

« Pour que les alertes soient traitées par l’équipe SOC, il est nécessaire de créer des outils permettant leur traitement automatisé, afin que l’analyste SOC puisse examiner l’alerte de manière pratique et rapide : obtenir rapidement les informations complémentaires nécessaires et la visualisation des étapes de l’attaque,  » a déclaré Solodatov.

Escaladez la montagne des vulnérabilités

Alors que les organisations essaient de faire face au nombre toujours croissant de vulnérabilités de sécurité, la hiérarchisation basée sur les risques peut être la réponse.

L’une des principales conclusions du rapport NopSec est que 58 % des professionnels déclarent ne pas utiliser de système de notation basé sur les risques pour hiérarchiser les vulnérabilités. Ces organisations ont des processus de gestion des vulnérabilités inefficaces qui ne parviennent pas à sécuriser d’abord les vulnérabilités à haut risque.

« La réalité est que la plupart des organisations se noient sous un déluge de vulnérabilités. Trop de vulnérabilités, trop peu de contexte et pas assez de personnel aboutissent à ces programmes inefficaces », a déclaré Lisa Xu, PDG de NopSec.

« Sans le bon outil pour fournir un contexte réel et comprendre les milliers de vulnérabilités qui affligent les organisations, la bataille est perdue dès le départ », a déclaré Xu.

Pour Xu, la réponse est que les organisations recueillent plus de contexte sur la gravité des vulnérabilités présentes dans leur environnement en utilisant des solutions de gestion des vulnérabilités avec des scores de risque.

Cela permet aux équipes de sécurité de prioriser la correction des vulnérabilités critiques en premier, plutôt que de corriger les systèmes de manière ponctuelle.

Faire passer les opérations SOC au niveau supérieur

Qu’il s’agisse de gérer des alertes ou des vulnérabilités, il est urgent que les équipes de sécurité visent l’excellence opérationnelle. En pratique, cela signifie non seulement atténuer et éliminer de manière proactive les points d’entrée dans leurs environnements, mais également s’assurer qu’ils disposent de l’intelligence et de la visibilité nécessaires pour détecter les intrus.

Kaspersky recommande aux entreprises d’encourager les équipes de sécurité à travailler par équipes au sein du SOC afin d’éviter la surcharge du personnel et de répartir les tâches afin de réduire le risque d’épuisement professionnel.

Dans le même temps, l’organisation recommande l’utilisation de services de renseignements sur les menaces qui fournissent des flux de renseignements à faible maintenance qui s’intègrent aux outils de sécurité existants tels que les systèmes de gestion des informations et des événements de sécurité (SIEM). Cela contribue à une meilleure visibilité du paysage des menaces et aide à automatiser le processus de triage.

Ces mesures peuvent ensuite être combinées avec des services de détection et de réponse gérées (MDR) ou de détection et de réponse étendues (XDR) pour s’assurer que l’organisation dispose des processus en place pour répondre rapidement aux incidents réels.

En fin de compte, la réponse à la prolifération des alertes et des vulnérabilités est de travailler plus intelligemment, pas plus dur.