SOC of the future : I

septembre 16, 2024

SOC of the future : I

J’ai lu beaucoup de choses ces derniers temps sur le SOC et sur la façon de le mettre en œuvre. En lisant et en faisant des recherches à ce sujet, je suis tombé sur un document intéressant que j’aimerais partager avec vous. Le Blueprint of a SOC in 2030 est un document dans lequel TNO décrit comment ils pensent que les SOC seront à l’avenir. J’encourage les responsables SOC qui lisent ce plan à se préparer pour l’avenir proche car je ne sais pas si ce plan sera le véritable avenir, mais je pense que nous devrions lire sur l’avenir des SOC.

On peut lire dans le document que les services de sécurité préventive ne suffisent plus aujourd’hui pour les entreprises, elles ajoutent alors des services tels que des services de détection et de surveillance. Certaines entreprises ont de l’argent pour déployer leur propre SOC, mais d’autres sous-traitent les services de sécurité à des fournisseurs de services de sécurité gérés (MSSP). Par conséquent, la sécurité change la façon dont les entreprises sécurisent les informations. L’ajout et l’externalisation des services de sécurité sont ce que nous voyons aujourd’hui dans la plupart des entreprises.

Le document mentionne également que les SOC ne sont plus uniquement destinés à la détection et à la surveillance, mais que certains d'entre eux sont également destinés à la réponse aux incidents. Le CSIRT est un concept bien connu pour la réponse aux incidents et, à l'origine, le SOC était destiné à la détection et à la surveillance. Par conséquent, lorsque l'équipe SOC détecte une attaque, elle fait parfois appel à l'équipe CSIRT pour la réponse à l'incident. Cependant, les services SOC améliorent également leurs processus de réponse aux incidents et les équipes CSIRT sont intégrées au SOC.

Regroupement et superposition de SOC et de CSIRT (source: SOCCRATES)

Certains d’entre vous ne savent peut-être pas exactement quels services sont disponibles dans les SOC et dans les CSIRT, mais si j’ajoute encore plus d’acronymes tels que Centres de partage et d’analyse des informations (ISAC) et Équipes de réponse aux incidents de sécurité des produits (PSIRT), c’est encore plus compliqué. Selon FIRST, chaque SOC doit disposer de services de surveillance et de détection, ainsi que de services d’analyse des événements. Cependant, la plupart des entreprises MSSP incluent des services de réponse aux incidents, qui sont des services CSIRT, dans leur SOC.

Offres de services SOC

TNO affirme que les SOC internes resteront la meilleure option pour les grandes entreprises et les gouvernements. Je suis d’accord avec cela. Ils affirment également que les organisations de taille moyenne n’achètent plus de services SOC auprès des MSSP. Au lieu de cela, elles ajouteront des services SOC auprès de grands fournisseurs en tant que fonctionnalité sous licence supplémentaire. Je ne le pense pas, car je pense qu’il y aura des exigences particulières que les grands fournisseurs ne sauront pas respecter. Je l’espère. D’un autre côté, les petites entreprises n’ont pas assez d’argent et devront donc acheter des services SOC auprès de grands fournisseurs. Je suis d’accord avec cela et elles ne pourront pas ajouter d’exigences aux grands fournisseurs, car cela coûtera trop cher.

En résumé, la plupart des entreprises ont besoin d’un SOC pour sécuriser leurs services et leurs informations. Certaines d’entre elles déploient un SOC interne et d’autres achètent des services MSSP. Nous verrons dans le prochain article les évolutions pertinentes entre 2024 et 2030 selon TNO.

Comment voyez-vous le SOC à l’avenir ?

Rechercher dans ce blog

David Romero Trejo

SOC of the future : I

Commentaires

Enregistrer un commentaire

Articles les plus consultés

Improving SSL VPN performance with DTLS

HSRP, VRRP o GLBP

Checksum

Decrypting DTLS traffic with Wireshark

Metodología de redes (FCAPS)

Two FortiGates in a VRRP domain

DNS Load Balancing

MLAG vs vPC vs Stacking

Balanceadores de Carga

Linux Buffer Overflow Example