SOC of the future : IV

Je vais écrire un autre article sur le SOC du futur car il y a beaucoup de choses intéressantes dans le Blueprint of a SOC in 2030 écrit par TNO. Ils ont demandé à de nombreux spécialistes de la sécurité comment ils pensaient que les SOC seraient dans un avenir proche. Je lis le document et je suis d’accord avec beaucoup de choses. Personne ne sait comment seront les SOC en 2030, mais nous pouvons dessiner ce que nous pensons qu’ils pourraient être.

Selon TNO, un futur service fictif pourrait par exemple être SMART (Security Monitoring and Automatic Response to Threats), disponible sous forme de licence complémentaire pour les produits MSP. Cela signifie que les utilisateurs finaux pourraient acheter une licence pour ajouter la surveillance de sécurité et la réponse automatique à leurs produits. En outre, ils affirment que le MSSP aura toujours un rôle à jouer, car il a plus d'informations sur le contexte spécifique dans lequel évolue un utilisateur final. Par conséquent, il y aura des collaborations entre MSSP et MSP qui offriront leurs services combinés à l'utilisateur final.

TNO parle également d'un NIS3 fictif dans lequel il y aura de nombreux SOC sectoriels. L'une des tâches principales de ces SOC est l'échange d'informations au sein du secteur. Ces SOC sectoriels offrent également leurs propres services de sécurité tels que la surveillance, la détection et la réponse à leurs membres. En fait, ces services sont externalisés à un MSSP qui est l'entreprise qui fournit et installe leurs outils de surveillance et de détection ainsi que qui utilise leur analyste de sécurité.

Il semble que l'échange d'informations sera un processus important et essentiel entre les SOC sectoriels et les SOC nationaux. Il y aura des mécanismes, des règles et des normes sur la façon de partager les informations entre les SOC à l'avenir car, même s'il sera vraiment important de partager les menaces d'attaques et les TTP, des informations confidentielles sur les attaques seront partagées entre les membres des SOC sectoriels pour arrêter les attaques et atténuer les incidents de sécurité.

Le Blueprint of a SOC in 2030 rédigé par TNO indique également, et je suis tout à fait d’accord, que les acteurs malveillants de niveau script kiddies seront gérés de manière « habituelle » et que cela nécessitera peu d’attention de la part du SOC car ces attaques seront automatiquement repoussées par les outils de sécurité. Cependant, les attaques sponsorisées par l’État seront la principale préoccupation des SOC et des MSSP car ces attaques sont complexes et graves.

En résumé, l’échange d’informations est de plus en plus important pour les SOC à l’avenir. Nous allons partager de plus en plus d’informations avec les SOC sectoriels et nationaux pour détecter plus rapidement les attaques. De plus, détecter et nier les attaques au niveau des script kiddies sera très facile avec une licence complémentaire aux produits MSP. Cependant, les attaques sophistiquées des organisations criminelles et sponsorisées par l’État resteront difficiles à détecter et à arrêter.

Appréciez-vous la lecture du document ?

Commentaires