Qu'est-ce que le centre d'opérations de sécurité virtuel VSOC ?
Centres d'opérations de sécurité deviennent incontournables pour les grandes entreprises. Une grande organisation disposant de nombreux actifs et points d’interaction avec le monde extérieur doit consacrer au moins une partie de son budget informatique à la surveillance de la sécurité.
Les outils spécialisés nécessitent des techniciens spécialisés pour les exécuter et interpréter leurs résultats. Ainsi, un SOC est rapidement constitué en embauchant des spécialistes de la cybersécurité et en leur fournissant les logiciels nécessaires pour assurer la sécurité du système informatique.
Expérimenté techniciens en cybersécurité sont très demandés, de sorte que les salaires que les entreprises doivent offrir pour attirer ces personnes continuent d'augmenter plus rapidement que les salaires moyens dans le secteur informatique. Dans de nombreux endroits, les salaires élevés ne suffisent tout simplement pas à attirer le bon calibre de personnel de sécurité. Les petites entreprises n’ont pas le budget ou la cadence de travail pour justifier l’embauche de personnel de sécurité. Pour de nombreuses raisons, il devient de plus en plus intéressant d'externaliser les tâches de surveillance de la sécurité, et il existe de nombreuses fournisseurs de services gérés démarrage pour assurer la surveillance de la sécurité pour le compte des clients.
Le terme « virtuel » s’applique à de nombreux services informatiques et décrit un système qui semble être interne mais qui ne l’est pas. Pour des exemples de ce phénomène, pensez aux réseaux privés virtuels et aux serveurs virtuels. Le Security Operations Center (SOC) externalisé semble être un autre département du secteur. Cependant, ce n’est pas le cas – c’est un Centre d'opérations de sécurité virtuel (vSOC).
Centres d'opérations de sécurité virtuelle
Les centres d’opérations de sécurité virtuelle peuvent être situés n’importe où. Cette flexibilité de localisation leur permet de réduire leurs coûts en s'installant dans des zones à loyers moins élevés. Cependant, cela ne s’applique pas nécessairement aux villes éloignées. C'est parce que le vivier de talents Les ressources nécessaires au fonctionnement de ces centres ont tendance à être plus nombreuses autour des villes universitaires. Cependant, le vSOC n’a pas besoin de se trouver dans des bureaux à loyer élevé sur Main Street.
Un vSOC peut être situé n’importe où dans le monde et servir des clients de n’importe quel pays. La principale contrainte sur la clientèle de chaque fournisseur de services est la langue du personnel de soutien.
Les principales opérations des vSOC impliquées logiciel de surveillance de sécurité . Les centres d’opérations de sécurité virtuelle n’ont pas besoin d’accéder aux magasins de données du client afin de ne pas conserver de données pour le client, mais simplement pour ne pas s’assurer qu’il n’y a pas d’utilisation inappropriée de ces données. Ainsi, aucun problème de localisation ne découle de la législation, telle que le RGPD, pour ne pas bloquer un vSOC recherchant des clients dans aucun pays.
Le vSOC n’héberge pas de données et n’est pas un fournisseur SaaS. Au lieu de cela, il gère séparément les logiciels auxquels le client a souscrit. Dans certains cas, les consultants vSOC conseilleront le client sur le logiciel de surveillance de sécurité à acheter, puis recommanderont le service de gestion en plus. Dans d’autres cas, le fournisseur du logiciel de sécurité choisi proposera un service de gestion en plus du package SaaS.
Il n'est pas rare que le client soit situé au même endroit, le logiciel système fonctionnant sur un serveur dans un pays complètement différent, le logiciel de surveillance de la sécurité hébergé dans un troisième endroit et le personnel vSOC ailleurs.
L’équipe chargée de surveiller la sécurité des systèmes de votre entreprise n’a pas besoin d’être composée des mêmes personnes 24 heures sur 24. Même si vous gérez votre SOC, différentes personnes seront affectées à d'autres moments, travailler par équipes . Les vSOC peuvent confier la responsabilité de la sécurité d’un site à divers centres de données à travers le monde dans des fuseaux horaires stratégiques. Ainsi, le prestataire de services peut fournir Vigilance 24 heures sur 24 sans avoir à obliger les techniciens à travailler à des heures difficiles.
Configurations de sécurité
Même si le fait de disposer de techniciens en cybersécurité à distance peut sembler un point faible en matière de sécurité, l’inverse est vrai. Les évaluations de vulnérabilité du système protégé peuvent être effectuées à partir d’un emplacement externe, car cette configuration reflète mieux le scénario dans lequel des pirates informatiques s’introduisent sur Internet.
Lorsque l'équipe vSOC accède aux logiciels de sécurité résidents sur le réseau protégé, les connexions qu'ils utilisent sont sécurisé . Ainsi, le personnel vSOC peut surveiller en toute sécurité les logiciels de sécurité fonctionnant à l’intérieur du réseau. Comme nous l’avons déjà noté, le système de surveillance de la sécurité ne résidera pas nécessairement sur le réseau protégé. Dans ce cas, le système de surveillance aura un programme d'agent sur le réseau protégé qui communique avec le système de surveillance basé sur le cloud. Là encore, cette communication s'effectuera de manière sécurisée, crypté Connexions.
L'équipe vSOC a ensuite accès au service de surveillance de la sécurité , pas le réseau protégé. Les actions correctives sont généralement mises en œuvre via une orchestration avec des systèmes de contrôle d'accès résidents fonctionnant sur le système protégé. Cela signifie des pare-feu, des droits d'accès, des systèmes de gestion et des périphériques réseau.
Actions correctives doivent être déclenchés par l’outil de surveillance de la sécurité du système, tel qu’un système de prévention des intrusions ou un système de prévention des pertes de données. Là encore, les équipes vSOC n’ont pas besoin d’avoir un accès direct au système protégé, mais doivent configurer et affiner le système de surveillance de la sécurité.
La partie la plus importante d’un système de surveillance de la sécurité est la manière dont il est mis en place. Supposons que le règles de détection et déclencheurs de correction sont créés correctement. Dans ce cas, le système de surveillance prendra en charge tout le travail de supervision de la sécurité, de sorte que le prestataire de services de sécurité pourra utiliser une seule équipe de techniciens pour surveiller plusieurs systèmes. Grâce à cette tactique, le vSOC peut offrir une gestion de la sécurité du système à un coût bien inférieur à celui que la plupart des entreprises attendraient pour gérer leur centre d'opérations de sécurité interne.
Contrats VSOC
Le contrat de service est l’élément clé qui rend l’externalisation possible. En tant que client, vous avez plusieurs décisions sur ce que vous voulez exactement que le vSOC fasse. Par exemple, avez-vous besoin du vSOC pour gérer continuité étapes, telles que la mise en miroir de votre système pour fournir un environnement de basculement afin que votre personnel puisse continuer à travailler même si votre serveur est détruit ? D'autres tâches périphériques qui ne sont pas directement classées comme surveillance de la sécurité comprennent sauvegardes de données et récupération . Une autre responsabilité pourrait être la gestion et l’archivage des journaux afin de les rendre disponibles pour l’audit de conformité.
Vous aurez un accord de niveau de service joint à votre contrat avec le VSOC qui précise la qualité de service et les délais de réponse attendus pour différents événements. Le contrat doit également préciser le niveau d’expérience attendu et le niveau d’accréditation du personnel affecté à la surveillance de la sécurité du client.
Une fois le contrat en place, tant qu’il couvre la responsabilité légale du succès ou de l’échec du SOC dans la défense du système et la prévention des violations de données, le client a effectivement une police d'assurance contre les activités malveillantes.
Les meilleures options vSOC
Étant donné que le vSOC ne prend pas le contrôle de votre système et ne détient aucune donnée de votre entreprise, aucune conséquence à long terme ne prend le dessus sur une décision à court terme quant au choix du fournisseur de services lors de la recherche de services de sécurité externalisés. C'est-à-dire; il n'y a aucune raison procédurale d'être enfermé dans un fournisseur vSOC spécifique.
Le fait que vous n’ayez pas besoin du SOC externalisé pour reprendre vos moyens de communication externes moins de pression lors du choix d’un centre d’opérations de sécurité virtuel, prendre une décision terrible ne sera pas un processus coûteux.
Notre méthodologie de sélection d'un centre d'opérations de sécurité virtuel
Nous avons examiné le marché des services vSOC et des fournisseurs de sécurité gérée et évalué les systèmes candidats sur la base des critères suivants :
- Un service configuré pour garantir que les techniciens ne puissent pas accéder à vos données
- Un système qui offre une supervision 24 heures sur 24
- Services pouvant fournir un nouveau logiciel de surveillance de la sécurité ainsi que des options d'utilisation avec les systèmes existants
- Flexibilité dans la création de SLA pour tenir compte des exigences non standard
- La capacité de gérer une gamme de progiciels de surveillance de la sécurité
- Pas de frais d'installation ni de période de blocage
- Bon rapport qualité-prix de la part d'un fournisseur qui n'essaiera pas d'ajouter des frais inattendus pour faire grimper la facture
Alors que nous attendons généralement des fournisseurs de logiciels qu'ils donnent une période d'essai gratuite , ce n’est pas possible avec le concept vSOC. Dans ce cas, vous embauchez une équipe au lieu d’acheter des logiciels, et les gens doivent être payés.
Par exemple, supposons que vous ayez évalué plusieurs fournisseurs de services fiables et réputés qui peuvent devenir votre centre d'opérations de sécurité virtuel en gardant ces critères de sélection à l'esprit.
Voici notre liste des cinq meilleurs fournisseurs de centres d’opérations de sécurité virtuelle :
- En défense Ce fournisseur offre une grande flexibilité dans ses forfaits. Le concept de sécurité central du système Under Defence est le SIEM. Under Defense conseille votre entreprise sur le logiciel de sécurité (SIEM) à installer et vous aidera même à l'installer. L'équipe Under Defense prend ensuite le relais, surveillant le tableau de bord du logiciel SIEM et s'assurant qu'elle prend les mesures appropriées en cas de détection d'une violation. L'équipe gérera également les fichiers journaux pour vous. Under Defense propose deux options vSOC : une sécurité entièrement gérée et cogérée. L’option cogérée convient aux entreprises qui disposent d’une petite équipe d’analystes de sécurité sur site.
- Centre d'opérations de sécurité virtuelle VerSprite Ce service est un package de sécurité entièrement géré qui comprend un système de surveillance de la sécurité. Vous achetez le système de sécurité et les consultants VerSprite peuvent vous accompagner dans ce processus. Si vous disposez déjà d’un système de surveillance de sécurité, ce n’est pas un problème. VerSprite prend en charge l'exécution de ce système de sécurité et évaluera toutes les alertes qu'il produit. L'équipe définit chaque notification et élimine les fausses alarmes. Votre équipe d’administration système sera informée des menaces réelles dès qu’elles surviennent. Si vous préférez, vous pouvez travailler avec l'équipe VerSprite pour mettre en place des réponses automatisées afin que votre équipe n'ait pas à passer du temps à gérer des tâches correctives. En plus de se prémunir contre les intrusions, l'équipe VerSprite est expérimentée dans la surveillance de l'intégrité des fichiers et la protection des données.
- Centre d'opérations de sécurité virtuelle LightEdge Alors que d'autres fournisseurs vSOC vous guident dans votre choix de logiciel de surveillance de la sécurité ou prennent en charge la gestion de votre configuration actuelle de surveillance de la sécurité, LightEdge fonctionne avec le logiciel IBM QRadar. QRadar est un excellent SIEM basé sur le potentiel, et vous pourriez faire bien pire. Le fait est que l'équipe Light Edge a fait ses recherches et a décidé que QRadar était le meilleur système qu'elle pouvait trouver. De plus, le fait que tous les clients soient connectés au même système de surveillance de sécurité permet à l'entreprise de transférer rapidement des techniciens d'un client à un autre. La supervision de votre système est effectuée 24 heures sur 24, tous les jours de l'année. Comme pour les autres solutions vSOC, vous pouvez décider du degré d’automatisation des mesures correctives à mettre en œuvre dans l’accord. Vous pouvez décider de laisser vos collaborateurs s'occuper des problèmes identifiés ou de laisser les techniciens LightEdge s'en occuper.
- SOC virtuel Redscan L'approche de ce service s'apparente davantage à un système d'accompagnement qu'à une prise en charge complète de la gestion de la sécurité. Cette option conviendrait à une entreprise qui souhaite gérer son SOC en interne mais ne parvient pas à trouver un personnel de qualité possédant un haut niveau d’expertise. En utilisant le SOC comme équipe de techniciens de deuxième ligne, l'entreprise cliente peut permettre à son personnel SOC d'améliorer ses compétences grâce à l'expérience. Cette solution est une bonne idée pour les entreprises qui s’inquiètent de la perte de contrôle que pourrait entraîner une externalisation complète de la gestion de la sécurité. Cette solution est une approche sur mesure qui implique votre personnel informatique avec les conseils des consultants Rescan, du choix du logiciel de sécurité à son installation, sa configuration et son exploitation.
- Opérations exécutives XOVSOC est une proposition cogérée qui offre une assistance experte et des remplacements en dehors des heures d'ouverture pour votre équipe d'exploitation informatique interne. L'équipe Executive Ops dispose de son flux de renseignements sur les menaces qui alerte les techniciens de la nouvelle attaque. La première ligne de défense réside dans un logiciel de surveillance de la sécurité du système, qui détecte les comportements anormaux. Ensuite, ces alertes sont transmises à un analyste Executive Ops qui filtre les fausses alarmes. Enfin, les événements véritablement préoccupants sont transmis à votre équipe, soit sous forme de notifications, soit sous forme de flux directement dans votre système de gestion de réseau.