Les équipes chargées des opérations de sécurité sont confrontées à une lutte quotidienne, contre une myriade d’événements de sécurité avce pour objectif de trouver celui qui pourrait être le signe d’un incident de sécurité majeur.
Les équipes SecOps ne manquent pas d’informations notamment avec les solutions SIEM, XDR, CMDB, de gestion des vulnérabilités, de renseignement sur les menaces, IDS/IPS, de gestion des identités et bien d’autres encore, peuvant fournir des données pertinentes pour les incidents de sécurité potentiels.
Ce qui en revanche manque souvent aux équipes SecOps, c’est le temps nécessaire pour rassembler les informations relatives à chaque événement et transformer ces données brutes, sans lien entre elles, en informations exploitables requises pour détecter et répondre correctement aux menaces avancées.
Une main-d’œuvre de plus en plus “distributed” avec un éventail toujours plus large de solutions de sécurité ainsi que le passage au cloud et aux microservices ne sont que quelques complications supplémentaires qui ont exacerbé ce défi au cours des dernières années.
Pour continuer à sécuriser efficacement l’entreprise et minimiser les risques, celles-ci se tournent de plus en plus vers l’orchestration et l’automatisation comme multiplicateur de force.
L’orchestration et l’automatisation des processus de sécurité reproductibles permettent aux équipes SecOps de concentrer leurs cycles sur des tâches plus avancées, en utilisant leurs ressources les plus précieuses, des analystes bien formés et expérimentés, de manière plus efficace et efficiente.
ServiceNow, un incontournable des entreprises mondiales, propose une solution unique d’orchestration et d’automatisation : ServiceNow Security Operations.
Security Operations offre aux entreprises un large éventail de fonctionnalités pour accroître l’agilité opérationnelle et renforcer la cyber-résilience.
Nous nous concentrerons dans ce blog sur la gestion des flux de travail via Flow Designer, mais vous pouvez trouver plus d’informations sur les autres fonctionnalités de Security Operations ici.
Flow Designer permet aux entreprises de codifier des processus complexes de sécurité et de réponse aux incidents en flux de travail répétables qui peuvent être automatisés pour enrichir, corréler et ajouter du contexte aux informations sur les événements de sécurité.
Comment Tufin apporte-t-il une valeur ajoutée ? Tufin est le leader de la gestion des politiques de sécurité depuis plus de dix ans, offrant une visibilité et une gestion de certains des réseaux hétérogènes les plus complexes au monde.
La connaissance de Tufin des politiques de sécurité et de la topologie du réseau peut fournir des informations uniques sur le réseau aux équipes SecOps et aux processus automatisés, permettant un triage plus précis et des décisions d’évaluation des risques.
Le nouveau connecteur ServiceNow de Tufin met ces capacités directement à la disposition des équipes SecOps par le biais de Flow Designer, ce qui permet aux entreprises de tirer parti de ces informations tout au long du cycle de vie des événements.
Tufin Table A: Example Flow Designer Workflow
Tri basé sur le contexte
Prenons un exemple dont les équipes SecOps peuvent utiliser Tufin pour trier et répondre automatiquement à un incident de sécurité potentiel.
Dans cet exemple, nous utiliserons une alerte IDS, un événement qui peut être reçu des dizaines ou des centaines de fois par jour et qui ne contient souvent que des informations de base, telles que les adresses IP et les ports source et destination, ainsi que des informations sur la signature.
Tufin peut fournir des informations précieuses sur les adresses source et destination; par exemple, à quels objets du réseau ces adresses sont-elles associées ? À quelles zones ces adresses sont-elles liées ?
Si l’adresse source ou de destination est liée à un objet ou à une zone qui fait partie de l’environnement PCI de l’entreprise par exemple, une escalade automatique peut être appropriée.
Mais quelles politiques de sécurité s’appliquent à ces adresses source et destination ? L’information la plus précieuse que Tufin peut fournir provient peut-être de sa connaissance approfondie de la topologie du réseau.
Avec seulement les adresses IP et les ports source et destination, Tufin peut déterminer non seulement le chemin que le trafic suspect aurait pris, mais aussi si le trafic aurait été autorisé ou refusé.
Si le trafic a été refusé par la politique, l’événement peut sans doute être “désamorcé”. Si le trafic a été autorisé, l’escalade peut être appropriée.
Confinement de la menace
Tufin et ServiceNow couvrent également la question du confinement des menaces.
S’il est possible d’apporter des modifications au réseau via Flow Designer par le biais d’une intégration directe; avec la plupart des grandes solutions de sécurité réseau, cette approche présente quelques inconvénients.
Dans les réseaux très complexes et hétérogènes, il est presque impossible de codifier un processus pour déterminer où un changement unique devra être effectué et quelle technologie du fournisseur sera impliquée.
De tels changements ne tiennent pas compte non plus des règles existantes, des exigences de conformité et de leur impact sur la base de politique globale.
Tufin utilise la connaissance des politiques existantes et de la topologie du réseau pour concevoir intelligemment les changements sur un réseau hybride et hétérogène, et tout cela est disponible via Flow Designer.
La création d’une nouvelle politique pour bloquer le trafic suspect de l’alerte IDS de Tufin est aussi simple que de soumettre une demande unique via un flux de travail automatisé.
Une fois la demande soumise, elle sera traitée conformément aux processus de contrôle des modifications établis par l’entreprise.
En tenant compte des politiques existantes et de la topologie du réseau, Tufin conçoit des changements optimisés, en créant de nouvelles règles uniquement dans les emplacements et les dispositifs sur lesquels des changements sont nécessaires.
La conception et la mise en œuvre de ces changements peuvent être entièrement automatisées ou faire l’objet d’une supervision par un analyste, selon les besoins.
Et le meilleur ? Cette intégration est absolument GRATUITE !
Vous pouvez télécharger l’intégration Tufin depuis la boutique ServiceNow ici.
L’intégration de ServiceNow Security Operations avec Tufin offre aux équipes SecOps une visibilité inégalée des politiques de sécurité et de la topologie directement à partir de ServiceNow.
L’intégration avec Tufin permet aux flux de travail de ServiceNow de prendre des décisions automatisées plus précises basées sur l’état actuel de l’accès et de la connectivité, réduisant ainsi la charge de travail des analystes et les délais de réponse aux incidents de sécurité.
La solution de gestion des changements de Tufin (leader sur le marché), permet aux entreprises de contenir rapidement les menaces dans un environnement hybride et hétérogène, tout en garantissant le maintien de l’auditabilité et de la conformité tout au long de l’événement.
Source : Tufin
Pour en savoir plus concernant la solution Tufin :