Kaspersky renforce les capacités des SOC avec une nouvelle offre intégrée
juillet 2019 par Marc Jacob
La nouvelle offre de Kaspersky destinée aux Centres de sécurité opérationnelle (SOC) conjugue les compétences, solutions et services de la société avec le tout récent service Red Teaming, qui facilite l’évaluation du degré de préparation des équipes de sécurité internes face à des scénarios spécifiques. Cette combinaison permettra aux entreprises exploitant des SOC de surmonter les problèmes les plus préoccupants pour elles.
Pour les grandes entreprises, la mise en place d’un SOC est une réponse cohérente face à la montée du nombre et de la complexité des cybermenaces. Selon une enquête Kaspersky, un tiers des entreprises se dotent d’un SOC afin de gérer leurs risques de cybersécurité1. Cependant, pour ce faire, elles se heurtent souvent à de nombreux obstacles qui compromettent la productivité de leurs équipes de sécurité opérationnelle, notamment la pénurie de professionnels qualifiés, l’automatisation et l’intégration insuffisantes des divers outils, le nombre élevé d’alertes et le manque de visibilité et de contexte2.
Une enquête de l’Institut SANS réalisée auprès de spécialistes travaillant dans des SOC révèle que ceux-ci ne sont pas satisfaits des performances mais ne savent pas clairement comment les améliorer. C’est pourquoi la nouvelle offre intégrée de Kaspersky destinée aux SOC commence par une analyse des besoins et problèmes spécifiques des clients, afin de leur proposer le jeu adapté de produits et de services. Cette offre englobe Kaspersky EDR, Kaspersky Anti Targeted Attack, Kaspersky Threat Intelligence et Kaspersky Cybersecurity Training, ainsi que le soutien continu des équipes d’un leader mondial en matière de chasse aux menaces et de réponse aux incidents.
Recherche et élimination des points faibles
Les maillons faibles de la protection d’une entreprise ne se trouvent pas toujours dans son infrastructure mais souvent dans ses processus, qu’il s’agisse d’erreurs d’affectation des priorités aux alertes ou de problèmes de communication, par exemple lorsque des analystes transmettent des informations incomplètes ou avec retard au sujet d’une alerte. Pour ces raisons, les cybercriminels peuvent passer inaperçus plus longtemps, accroissant ainsi les chances d’une attaque.
C’est pourquoi Kaspersky et son service de Penetration Testing présentent une évaluation
personnalisée de la sécurité existante chez ses clients, le service Red Teaming qui consiste à simuler
des attaques à partir d’informations de veille des menaces. Les experts de Kaspersky déterminent
le comportement probable des adversaires en fonction des spécificités du client (secteur d’activité,
zone géographique, marché) et imitent leurs actions afin d’évaluer le degré de préparation de l’équipe
de sécurité opérationnelles et de réponse aux incidents pour la détection et la prévention
des attaques. L’évaluation des capacités de défense de l’équipe est suivie d’ateliers détaillant
les lacunes et formulant des recommandations en vue d’y remédier.
Correction des lacunes existantes dans le degré de préparation du SOC
La mise en place et la maintenance d’un SOC s’inscrivent dans un processus à long terme, au cours
duquel diverses failles et difficultés peuvent se faire jour. Kaspersky apporte son concours pour aider
à identifier les principaux problèmes et proposer une gamme complète de solutions et de services
afin d’y remédier :
• Kaspersky Threat Intelligence fournit aux équipes SOC des informations sur les tactiques et
techniques employées par les acteurs malveillants à travers le monde. Ces services
comprennent Kaspersky Threat Data Feeds, Kaspersky APT Intelligence Reporting,
Kaspersky Financial Threat Intelligence Reporting, Kaspersky Threat Intelligence Portal
(un portail web donnant accès à Cloud Sandbox et Threat Lookup, avec les informations
de veille des menaces récentes et historiques collectées par la société) et Tailored Threat
Intelligence Reporting, brossant un tableau des menaces spécifiques auxquelles s’expose
le client.
• Kaspersky CyberTrace, un outil de fusion et d’analyse des informations de veille
des menaces, optimise et accélère l’affectation des priorités et la réponse initiale aux alertes
reçues en confrontant les fichiers journaux transmis par un système de gestion
des informations et événements de sécurité (SIEM) à tous les flux de veille des menaces
alimentant le SOC. L’outil évalue l’efficacité de chaque flux et procure en temps réel une mise
en contexte permettant aux analystes de prendre rapidement des décisions en meilleure
connaissance de cause.
• Les programmes de formation Kaspersky Cybersecurity Training portant sur l’analyse
des malwares, les investigations numériques, la réponse aux incidents et la détection
des menaces aident les SOC à développer leurs compétences internes dans ces domaines,
pour une réponse rapide et efficace aux incidents complexes.
• Avec les services Kaspersky Managed Protection et Incident Response, les SOC peuvent
externaliser ou compléter leurs capacités existantes en matière d’investigation des incidents,
de réponse et de chasse aux menaces, dans le cas où des experts ou spécialistes leur font
défaut en interne.
• Les solutions avancées de défense de Kaspersky reposent toutes sur une même plateforme
technologique, Kaspersky Anti Targeted Attack et Kaspersky EDR. Axées sur les menaces
complexes, elles contribuent à renforcer le SOC, en facilitant une analyse plus approfondie et
une réponse plus rapide aux incidents. Ces solutions automatisent les processus de défense,
notamment la découverte, l’analyse et le traitement des attaques, offrant une visibilité
complète sur l’infrastructure et servant de sources de fichiers journaux pertinents pour
un système SIEM. Les analystes du SOC disposent ainsi du temps et des ressources
nécessaires pour une chasse proactive des menaces et une réponse à des incidents
plus complexes.
1 ITSRS7N10. Votre entreprise a-t-elle l’intention d’utiliser ou d’accroître son utilisation de l’un des groupes suivants pour la fourniture de services de gestion de la sécurité informatique au cours des 12 prochains mois ? (Entreprises de plus de 1000 salariés)
2 Enquête SANS 2018 : The Definition of SOC-cess ?