CENTRE DES OPÉRATIONS DE SÉCURITÉ : définition, types, analyste, salaire et cadre

Les données de l'infrastructure, des réseaux, des services cloud et des appareils d'une organisation sont corrélées par un centre d'opérations de sécurité (SOC). La gestion de la posture de sécurité globale d'une entreprise et la connaissance de la situation relèvent de la responsabilité d'un SOC, qui est un groupe coopératif de spécialistes de la sécurité de l'information. En savoir plus sur le métier d'analyste dans un centre d'opérations de sécurité. Les approches stratégiques de défense des centres d'opérations de sécurité (SOC) sont normalisées par les cadres SOC. Il aide à minimiser les risques de cybersécurité et à améliorer régulièrement les opérations. 

Centre d'opération de sécurité

Les objectifs des activités du SOC sont de reconnaître, surveiller, suivre, analyser, présenter et répondre aux menaces réelles et potentielles pour l'entreprise. La gestion quotidienne de la sécurité d'un réseau et de l'infrastructure au sein d'une organisation relève de la responsabilité d'une équipe du centre des opérations de sécurité (SOC). Trouver les incidents de sécurité et les menaces, les analyser, puis prendre les mesures appropriées sont les principaux objectifs de l'équipe SOC. 

Les pratiques de sécurité, les procédures et la réponse d'une organisation aux incidents de sécurité sont unifiées et coordonnées par un SOC, ce qui est le principal avantage d'en gérer un en interne ou de l'externaliser. Des politiques de sécurité et des mesures préventives améliorées, une détection plus rapide des menaces et des réponses plus rapides, plus efficaces et plus abordables aux menaces de sécurité en sont les résultats typiques. De plus, un SOC peut renforcer la confiance des clients et rationaliser et renforcer l'adhésion d'une organisation aux réglementations régionales, nationales et internationales en matière de confidentialité.

Lire aussi: SYSTÈME DE SÉCURITÉ D'ENTREPRISE : de quoi s'agit-il, types et coût

Emplois Centre des opérations de sécurité (SOC)

#1. Planification de la réponse aux incidents

Le SOC est chargé de créer le plan de réponse aux incidents de l'organisation, qui décrit les activités, les rôles et les responsabilités en cas de menace ou d'incident, ainsi que les paramètres par lesquels l'efficacité de toute réponse à un incident sera évaluée. 

#2. Rester à jour

Le SOC se tient au courant des innovations et des outils de sécurité les plus récents, ainsi que des renseignements les plus récents sur les menaces, qui sont des nouvelles et des détails sur les cyberattaques et les pirates qui les mènent qui sont glanés sur les réseaux sociaux, les sources commerciales et le dark web. .

#3. Tests réguliers

L'équipe SOC effectue des évaluations de vulnérabilité, des évaluations approfondies qui identifient la sensibilité de chaque ressource aux dangers potentiels et les coûts correspondants. De plus, il effectue des tests de pénétration qui imitent des attaques particulières sur des systèmes supplémentaires. Sur la base des résultats de ces tests, l'équipe corrige ou améliore les applications, les directives de sécurité, les meilleures pratiques et les plans de réponse aux incidents.

#4. Entretien courant et préparation

 Le SOC effectue une maintenance préventive, telle que l'application de correctifs logiciels et de mises à niveau et la mise à jour régulière des pare-feu, des listes blanches et des listes noires, des politiques de sécurité et des procédures pour maximiser l'efficacité des outils et des mesures de sécurité en place. Le SOC peut également créer des sauvegardes du système ou aider à développer des politiques ou des procédures de sauvegarde pour assurer la continuité des activités en cas de violation de données, d'attaque de ransomware ou d'autres incidents de cybersécurité.

#5. Détection des menaces

L'équipe SOC sépare les signaux du bruit, séparant les indices de véritables cybermenaces et exploits de pirates des faux positifs, avant de classer les menaces en fonction de leur gravité. L'intelligence artificielle (IA) est un composant des solutions SIEM contemporaines qui automatise ces procédures et améliore progressivement l'identification des activités suspectes en « apprenant » à partir des données.

Fonctions d'un centre d'opérations de sécurité

• Gestion et maintenance : les mises à jour et les correctifs des outils de sécurité sont suivis et gérés.
• Surveillance des journaux d'événements pour l'infrastructure, les systèmes, les appareils et les réseaux afin de rechercher des activités inhabituelles ou suspectes.
• Collecte de renseignements, ainsi que détection et prévention des menaces et attaques potentielles.
• Analyse et enquête sur les incidents : trouver la cause d'un événement ou d'une menace et déterminer à quel point il a infiltré et endommagé les systèmes de l'entreprise.
• Réponse à une menace ou à une attaque : coordonner une approche pour gérer et contenir efficacement la menace ou l'incident.
• La récupération des données perdues ou volées, le traitement des vulnérabilités, la mise à jour des outils d'alerte et la réévaluation des procédures font tous partie de la récupération et de la correction. 

Un établissement utilisé pour surveiller, détecter, examiner et réagir de manière centralisée aux cyberattaques et autres incidents de sécurité est connu sous le nom de Centre des opérations de sécurité (SOC). Un centre d'opérations de sécurité (SOC) peut être un espace physique ou virtuel géré soit par un personnel de sécurité interne, soit par un fournisseur de services de sécurité gérés (MSSP).

Types de centre d'opérations de sécurité

La plupart des entreprises découvrent que la gestion efficace de la cybersécurité nécessite bien plus que ce dont leur équipe informatique traditionnelle est capable. Les organisations ont le choix entre créer un SOC en interne ou passer un contrat avec un fournisseur de SOC géré pour répondre à ce besoin croissant.

#1. Dédié ou autogéré

Cette stratégie fait appel à une installation sur site et à du personnel interne. Un SOC dédié, qui est un SOC centralisé, est composé d'une équipe qui se concentre uniquement sur la sécurité ainsi que sur l'infrastructure et les procédures. Selon la taille de l'organisation, sa tolérance au risque et ses besoins en matière de sécurité, la taille d'un SOC dédié varie. 

#2. SOC distribué

Un centre d'opérations de sécurité cogéré, également connu sous le nom de MSSP, est géré par un membre de l'équipe interne qui est embauché à temps partiel ou à temps plein pour travailler aux côtés d'un fournisseur de services de sécurité gérés.

#3. SOC géré

Cette méthode implique que les MSSP fournissent à une entreprise tous les services SOC. Les partenaires de détection et de réponse gérées (MDR) constituent une catégorie supplémentaire.

#4. Commandement SOC

Grâce à cette stratégie, d'autres centres d'opérations de sécurité, généralement dédiés, peuvent accéder aux informations sur les menaces et aux connaissances en matière de sécurité. Il ne participe qu'aux activités liées au renseignement et aux procédures liées à la sécurité. 

#5. SOC virtuel

Il s'agit d'une équipe de sécurité engagée qui n'est pas basée sur la propriété d'une entreprise. Il a le même objectif qu'un SOC physique mais avec du personnel distant. Il n'y a pas d'infrastructure dédiée ni d'emplacement physique pour un SOC virtuel (VSOC). Il s'agit d'un portail Web construit à l'aide de technologies de sécurité décentralisées, qui permet aux équipes travaillant à distance de surveiller les événements et de faire face aux menaces. 

#6. SOC cogéré

Le modèle SOC cogéré emploie à la fois du personnel externe et des outils de surveillance sur site. Puisqu'elle combine des composantes sur site et hors site, cette stratégie est aussi parfois appelée stratégie hybride. La cogestion est une option flexible car ces composants peuvent différer considérablement d'une organisation à l'autre.

Avantages d'un centre d'opérations de sécurité

Voici les avantages du centre des opérations de sécurité

• Amélioration des procédures et des temps de réponse aux incidents.
• Réduction des écarts MTTD (temps moyen de détection) entre le moment de la compromission et celui de la détection.
• Analyser et surveiller les activités suspectes en continu collaboration et communication efficace.
• Combiner les ressources matérielles et logicielles pour créer une stratégie de sécurité plus complète.
• Les informations sensibles sont partagées plus librement par les clients et les employés.
• Renforcement de la responsabilisation et du contrôle des opérations de sécurité.
• Une chaîne de contrôle des données est nécessaire si une entreprise a l'intention d'intenter une action en justice contre les personnes accusées d'avoir commis un cybercrime.

Analyste du centre des opérations de sécurité

Un analyste du centre des opérations de sécurité, ou analyste SOC, joue un rôle essentiel dans la réponse aux attaques de cybersécurité. Un analyste du centre des opérations de sécurité est un membre essentiel de l'équipe de sécurité moderne qui assure la continuité des activités pour les organisations qui reconnaissent l'importance de prévenir et de répondre aux cyberattaques. 

Un analyste du centre des opérations de sécurité est un expert technique chargé de détecter et d'arrêter les cyberattaques sur les serveurs et les systèmes informatiques de l'entreprise. Ils élaborent et exécutent des protocoles pour faire face aux menaces et doivent mettre en place les changements nécessaires pour arrêter de tels événements.

• L'analyse de la sensibilité de l'infrastructure d'une entreprise aux menaces et autres tâches fait partie de ce travail.
• Suivre les nouveaux développements en matière de cybersécurité
• Examiner et enregistrer les menaces potentielles et les problèmes de sécurité de l'information
• Évaluer le nouveau matériel et logiciel pour la sécurité afin de réduire les risques inutiles
• Créer des plans de reprise formels en cas de catastrophe, idéalement, avant que les problèmes ne surviennent. 

Comment puis-je me qualifier pour devenir analyste du centre des opérations de sécurité ?

La majorité des employeurs s'attendent à ce que les analystes SOC détiennent un baccalauréat ou un diplôme d'associé en informatique ou en génie informatique, ainsi que des compétences supplémentaires issues d'une expérience réelle dans des rôles de réseautage ou de technologie de l'information. 

Ces compétences comprennent :

•  Excellente communication. 
• Avoir une bonne maîtrise de Linux, Windows, IDS, SIEM, CISSP et Splunk
• Connaissance approfondie de la sécurité de l'information
• Possibilité de défendre les réseaux en sécurisant le trafic et en détectant les activités suspectes
• Compréhension des tests de perpétration pour identifier la vulnérabilité des systèmes, des réseaux et des applications
• Arrêtez et atténuez les effets des failles de sécurité
• Recueillir, examiner et présenter des informations de sécurité pour l'informatique judiciaire
• Les logiciels malveillants de rétro-ingénierie comprennent la lecture et l'identification des paramètres du programme logiciel.

Les analystes SOC travaillent souvent en équipe avec d'autres membres du personnel de sécurité. Une organisation doit tenir compte des opinions de l'analyste du centre des opérations de sécurité. Leurs suggestions peuvent améliorer la cybersécurité et réduire le risque de perte résultant d'atteintes à la sécurité et d'autres événements.  

Certification d'analyste du centre des opérations de sécurité

Les analystes SOC suivent fréquemment une formation supplémentaire et obtiennent une licence d'analyste de centre d'opérations de sécurité certifié (CSA) pour améliorer leurs compétences, en plus d'avoir un baccalauréat en génie informatique, en informatique ou dans un domaine connexe.

Les autres certifications pertinentes comprennent :

• Hacker éthique certifié (CEH)
• Enquêteur judiciaire en piratage informatique (CHFI)
• Analyste de sécurité certifié EC-Council (ECSA)
• Testeur de pénétration agréé (LPT)
• CompTIA Security +
• Analyste en cybersécurité CompTIA (CySA+)

Responsabilité d'un analyste des opérations de sécurité

Surveillance des réseaux et des systèmes au sein d'une organisation. Le travail d'un analyste du centre des opérations de sécurité consiste à surveiller le système informatique d'une organisation. Cela implique de garder un œil sur toute anomalie qui pourrait indiquer une violation ou une attaque à l'aide de systèmes, d'applications et de réseaux de sécurité.

#1. Évaluation, identification et atténuation des menaces en temps réel

L'analyste SOC travaille en étroite collaboration avec son équipe pour déterminer ce qui n'a pas fonctionné avec le système et comment y remédier après la détection d'une menace.

#2. Réponse aux incidents et enquête

Avant d'informer les autorités chargées de l'application de la loi, si nécessaire, l'analyste SOC collaborera avec le reste de l'équipe pour mener des recherches supplémentaires sur l'incident.

Après avoir examiné minutieusement chaque incident, ils signaleront également toute nouvelle information apprise sur les cybermenaces actuelles ou les vulnérabilités du réseau pour, si possible, prévenir de futurs incidents en mettant immédiatement en œuvre des mises à jour. 

#3. Travaille en collaboration avec les autres membres de l'équipe pour mettre en pratique les procédures, les solutions et les meilleures pratiques de sécurité

Pour que l'entreprise continue de fonctionner en toute sécurité, les analystes SOC travaillent avec d'autres membres de l'équipe pour s'assurer que les protocoles appropriés sont en place. Cela comprend la mise en place de nouveaux systèmes et, au besoin, la mise à jour de ceux qui sont déjà en place.

#4. Tenez-vous au courant des menaces de sécurité les plus récentes

Les analystes du SOC doivent se tenir au courant des cybermenaces les plus récentes pour la sécurité de leur organisation, que ce soit en se renseignant sur les nouvelles escroqueries par hameçonnage ou en gardant une trace des mauvais acteurs qui utilisent actuellement des outils de piratage. Ces informations leur permettent d'agir rapidement sur tout problème potentiel avant qu'il ne cause des problèmes à votre entreprise.

Salaire de l'analyste du centre des opérations de sécurité

Les experts en sécurité veillent à ce que les membres du personnel reçoivent la formation nécessaire et respectent toutes les règles et réglementations de l'entreprise.

Ces analystes de la sécurité travaillent avec l'équipe informatique interne de l'organisation et les administrateurs commerciaux pour discuter et documenter les problèmes de sécurité dans le cadre de leurs fonctions. Les analystes de sécurité aux États-Unis gagnent en moyenne 88,570 XNUMX $ par an. (Ressource : Glassdoor).

L'emplacement, l'entreprise, l'expérience, l'éducation et le titre du poste ne sont que quelques-unes des variables qui peuvent affecter le potentiel de gain.

Compétences des analystes SOC 

Bien qu'il puisse y avoir des changements dans les tendances cyber, un analyste SOC doit toujours avoir beaucoup des mêmes compétences. Assurez-vous que les analystes SOC disposent de ces capacités si vous souhaitez tirer le meilleur parti de ce qu'ils peuvent offrir à votre entreprise.

• Compétences en programmation
• Forensics informatique
• Piratage éthique
• Reverse engineering
• La gestion des risques
• La résolution de problèmes
• Pensée critique 
• Une communication efficace 

Structure du centre des opérations de sécurité

Le cadre SOC, qui est décrit par l'architecture globale, détaille les composants du SOC et leurs interactions. Il est essentiel d'établir un cadre de centre d'opérations de sécurité basé sur un système de surveillance et d'enregistrement des incidents.

Un cadre SOC est l'architecture globale qui détaille les composants fournissant des fonctionnalités SOC et comment ils interagissent les uns avec les autres. En d'autres termes, un cadre SOC doit être construit sur un système de surveillance qui suit et enregistre les événements de sécurité.

Principes fondamentaux d'un cadre SOC

#1. Surveillance

 L'activité de surveillance est le service le plus fondamental qu'un cadre fonctionnel de centre d'opérations de sécurité peut offrir. Naturellement, le but d'un tel contrôle est de savoir si une violation a eu lieu ou est en cours. Cependant, les experts en cybersécurité doivent être conscients de la situation pour porter ce jugement. Les outils SIEM, l'analyse des menaces comportementales et les courtiers de sécurité d'accès au cloud sont quelques exemples d'outils et de technologies automatisés qui peuvent faciliter la surveillance. Bien que pas toujours, ces outils peuvent utiliser des technologies d'intelligence artificielle et d'apprentissage automatique.

#2. Analyse

L'analyse devrait être le prochain service offert par un SOC. Le but de l'analyse est de déterminer si une vulnérabilité ou une violation basée sur l'activité de l'entreprise s'est produite. Les analystes du SOC examinent les alarmes et les alertes envoyées par le système de surveillance dans le cadre de la fonction d'examen pour voir si elles correspondent à des schémas d'attaque ou à des exploits de vulnérabilité précédemment observés.

#3. Réponse aux incidents et confinement

Le prochain service fourni par le cadre du centre des opérations de sécurité est une réponse aux incidents ; la façon dont cela est fait dépend du type, de la portée et de la gravité de l'incident ainsi que du fait que le SOC est interne ou si l'entreprise a un contrat avec un fournisseur SOC externalisé qui nécessite une assistance au-delà de la notification d'alerte.

#4. Audit et journalisation

Comme mentionné, le SOC a un rôle essentiel, mais souvent ignoré, à jouer dans la journalisation et l'audit : confirmer la conformité et enregistrer la réponse aux incidents de sécurité qui peut être utilisée dans le cadre d'une analyse post-mortem. De nombreux outils SOC contiennent une quantité incroyable de documents horodatés que les experts en conformité et les analystes en cybersécurité peuvent trouver utiles.

#5. Chasse aux menaces

Les analystes SOC ont encore d'autres tâches à accomplir même lorsque les systèmes fonctionnent normalement, ce qui signifie qu'il n'y a pas d'incidents majeurs dans l'environnement. Ils examinent les services de renseignement sur les menaces pour surveiller et évaluer les menaces externes, et s'il s'agit de tiers avec plusieurs clients, ils analysent et analysent les données inter-clients pour identifier les modèles d'attaque et de vulnérabilité. Les fournisseurs de SOC, qu'ils soient internes ou externes, peuvent garder une longueur d'avance sur les attaquants en recherchant activement les menaces. Ils peuvent également prendre des mesures préventives en cas d'attaque.

Enfin, un cadre de centre d'opérations de sécurité bien conçu doit être capable de gérer bien plus que la simple surveillance des alarmes et des alertes. Le SOC peut aider à contenir les incidents s'il est configuré et géré correctement. De plus, il peut offrir un aperçu inestimable des incidents post-mortem et offrir une sécurité préventive. 

Cadres SOC communs

#1. NIST

Le National Institute of Standards and Technology (NIST) des États-Unis publie le cadre de cybersécurité du NIST, qui propose des normes et des lignes directrices pour la gestion du cycle de vie des menaces afin d'aider les organisations à élaborer des plans de sécurité et à optimiser les indicateurs de performance clés. Voici les cinq meilleures pratiques recommandées par le NIST :

• Identifier
• Protéger
• Détecter
• Réagir
• Récupérer

#2. AT&CT D'ONGLET

Tactiques, techniques et connaissances communes contradictoires est l'abréviation de cette expression. Ce cadre, développé par Mitre Corporation et publié en 2013, est centré sur l'analyse du comportement contradictoire pour développer des réponses et de nouvelles stratégies défensives. Il aide à la veille sur les menaces, à la détection et à l'analyse des menaces, à l'équipe rouge et à l'émulation de l'adversaire, ainsi qu'à l'ingénierie et à l'évaluation.   

#3. Cyber ​​Kill Chain

Ce cadre, créé par Lockheed Martin, est basé sur l'idée militaire d'organiser une attaque en réponse aux tactiques et aux points faibles de votre adversaire. La chaîne de destruction sert d'archétype de base en basant ses actions sur celles d'un acteur menaçant typique. Cyber ​​Kill Chain est une stratégie par étapes qui comprend les étapes suivantes :

• Reconnaissance
• Ingérence
• Exploitation
• Elévation de Privilèges
• Mouvement latéral
• Obfuscation
• Déni de service
• exfiltration

#4. Chaîne de mise à mort unifiée

Pour offrir une méthode plus approfondie de compréhension de l'adversaire et de classement des risques, ce cadre combine les cadres MITRE ATT&CK et Cyber ​​Kill Chain. Il utilise les points forts de chaque cadre pour aider à combler les lacunes communes. En ajoutant 18 phases supplémentaires, ce cadre étend la chaîne d'attaque.

Que fait un centre d'opérations de sécurité ?

La capacité d'une organisation à identifier les menaces, à y répondre et à prévenir d'autres dommages est renforcée par un centre d'opérations de sécurité, qui unifie et coordonne toutes les technologies et opérations de cybersécurité.

Qu'est-ce qu'un NOC et un SOC ? 

Alors que les centres d'opérations de sécurité (SOC) sont chargés de protéger l'entreprise contre les menaces en ligne, les centres d'opérations réseau (NOC) sont chargés de maintenir l'infrastructure technique du système informatique d'une entreprise.

Les performances efficaces du réseau sont maintenues par un centre d'opérations réseau (NOC), et les menaces et les cyberattaques sont identifiées, étudiées et traitées par un centre d'opérations de sécurité (SOC).

Quelle est la différence entre un SOC et un SIEM ? 

La principale distinction entre un SIEM et un SOC est que le premier collecte des données provenant de diverses sources et les corrèle, tandis que le second collecte des données provenant de diverses sources et les envoie à un SIEM. 

Que signifie NOC en matière de sécurité ?

Les centres d'exploitation de réseau (NOC) sont des emplacements centralisés où les systèmes informatiques, de télécommunications ou de réseau satellitaire sont surveillés et gérés XNUMX heures sur XNUMX, tous les jours de la semaine. En cas de panne du réseau, il sert de première ligne de défense.

Quels sont les trois types de SOC ? 

• SOC cogéré
• SOC virtuel
• SOC dédié

Que sont les TopSOC ? 

• Réseaux de loups arctiques
• Réseau Palo alto
• Netsurion
• IBM
• CISCO

Conclusion 

Un centre des opérations de sécurité, ou SOC, est important car les entreprises mettent davantage l'accent sur la cybersécurité. La principale entité en charge de la défense contre les cybermenaces pour votre entreprise est votre SOC. En réunissant toutes les opérations et technologies de cybersécurité sous un même toit, un centre d'opérations de sécurité améliore la capacité d'une organisation à détecter, répondre et prévenir les menaces.

Articles Relatifs

1. GESTION DES INCIDENTS : Guide du processus et des meilleures pratiques
2. CYBER THREAT INTELLIGENCE : Signification, Outils, Analyste & Salaire
3. GESTION DES RISQUES DE CYBERSÉCURITÉ : cadre, plan et services
4. Description du poste de centre d'appels : guide complet (
5. CALL CENTER : Signification, Services, Logiciels & Formations

Bibliographie 

• cybersecuriteforme.com
• IBM
• CompTIA