Avec des cyberattaquants battant des records de rapidité, chaque équipe de centre d'opérations de sécurité (SOC) doit explorer comment l'IA peut modifier les rapports en sa faveur.
Des révélations récentes de George Kurtz, PDG et co-fondateur de CrowdStrike, soulignent des statistiques alarmantes : les attaquants peuvent se déplacer latéralement dans un système en seulement deux minutes et sept secondes après avoir accédé, et ils peuvent télécharger un kit d'outils en 31 secondes pour commencer la reconnaissance sur les systèmes compromis. Kurtz a partagé ces informations lors de son discours principal à RSAC 2024, intitulé "Next-Gen SIEM : Converging Data, Security, IT, Workflow Automation & AI".
L'Urgence de l'IA en Cybersécurité
Kurtz a insisté sur la nécessité pour les équipes de sécurité d’analyser rapidement d’énormes ensembles de données afin de détecter et de répondre aux menaces. "La rapidité des cyberattaques modernes met à l'épreuve les capacités des systèmes SIEM traditionnels", a-t-il déclaré. "Les organisations recherchent des technologies avancées offrant un retour sur investissement plus rapide, tout en réduisant les coûts de possession. Les données de sécurité critiques sont principalement hébergées sur la plateforme Falcon, minimisant le temps et les coûts associés au transfert de données vers des solutions SIEM obsolètes. Notre architecture unifiée intègre des données natives et tierces grâce à l'IA et à l'automatisation des flux de travail, réalisant ainsi le potentiel d'un SOC natif IA."
Défis des SIEM Hérités
Alors que les attaquants perfectionnent leurs méthodes, les lacunes entre la sécurité des points de terminaison et celle des identités se creusent. Les données des points de terminaison peuvent fournir des vues cruciales pour prédire des tentatives d'intrusion si elles sont agrégées efficacement. "Un problème majeur en cybersécurité est la gestion de la complexité des données", a noté Kurtz. "C'est pourquoi j'ai fondé CrowdStrike. Les équipes SOC peinent à naviguer à travers des volumes de données accablants pour identifier les menaces."
Les SIEM hérités sont devenus des charges pour les équipes SOC qui en dépendent. Les analystes se retrouvent souvent en "intégration de chaise pivotante", passant d'un système à un autre, ce qui entraîne des pertes de temps. Ils doivent faire passer des données de plusieurs sources à travers différents outils pour vérifier les scores de risque, ce qui entraîne des délais, notamment lors d'incidents urgents. Kurtz a souligné : "Interroger des données peut prendre des jours, durant lesquels des alertes cruciales peuvent être négligées. Il est vital de trouver des moyens de devancer les adversaires."
Utilisant l'évolution des plans de téléphonie mobile comme analogie, Kurtz a soutenu que les SIEM de nouvelle génération devraient permettre une ingestion de données évolutive sans augmenter considérablement les coûts, permettant aux organisations de prendre des décisions de sécurité éclairées sans contraintes financières. Il a souligné la nécessité de rompre avec la courbe de productivité des coûts, permettant aux clients d'exploiter efficacement toutes les sources de données disponibles.
Autonomiser les Défenseurs avec l'IA
Kurtz a lancé les innovations SIEM de nouvelle génération de CrowdStrike Falcon à RSAC 2024 pour démontrer la nécessité d'équiper les défenseurs avec les bons outils pour améliorer l'efficacité opérationnelle. Son discours principal a souligné l'importance de lever les limitations imposées par les SIEM hérités et de renforcer les SOC avec des capacités d'IA. Notamment, CrowdStrike offre aux clients de Falcon Insight 10 gigaoctets d'ingestion de données tierces par jour sans frais supplémentaires pour montrer la rapidité et l'efficacité des SIEM de nouvelle génération.
L'IA est au cœur de l'architecture Falcon Next-Gen SIEM, automatisant le traitement et la normalisation des données, enrichissant les ensembles de données pour une identification améliorée des menaces, et soutenant des mécanismes avancés de détection des menaces et de réponse automatique. "Un SOC natif IA apprend en continu", a expliqué Kurtz. "Chaque organisation détient des informations uniques sur ses employés et son environnement, et ne devrait pas uniquement se fier aux fournisseurs pour cette intelligence. Le système doit reconnaître à quoi ressemble un initié malveillant dans son contexte et s'adapter au fil du temps."
Accélérer la Performance des SOC
Le Falcon Next-Gen SIEM de CrowdStrike a pour objectif d'améliorer la performance des SOC en offrant des capacités de recherche jusqu’à 150 fois plus rapides et un coût total de possession 80 % inférieur par rapport aux SIEM traditionnels. Cela s'attaque à des points de douleur majeurs pour les SOC : des performances lentes et des temps de réponse prolongés.
Les innovations clés du Falcon Next-Gen SIEM comprennent :
- IA Générative et Automatisation des Flux de Travail :
- Charlotte AI : L'assistant IA génératif de CrowdStrike peut fournir des données et une documentation Falcon en langage clair, accélérant ainsi les temps de réponse des analystes.
- Efficacité d'Investigation : L'IA corrèle automatiquement le contexte associé en un seul incident, générant des résumés qui accélèrent les investigations.
- Carnets de Commandes Personnalisés : Les analystes peuvent définir des workflows de détection et de réponse réutilisables, permettant une résolution rapide des incidents.
- Intégration SOAR : La nouvelle interface Fusion SOAR permet aux analystes SOC d'optimiser les flux de travail via une interface glisser-déposer, améliorant ainsi l'efficacité opérationnelle.
- Investigations Automatisées : Des workflows automatisés améliorent la recherche de menaces et intègrent les actions à travers Falcon et les outils tiers.
- Ingestion Rapide de Données :
- Écosystème Élargi : De nouveaux connecteurs intègrent diverses données IT et de sécurité tierces dans la plateforme Falcon.
- Connecteurs Cloud : Des connexions complètes pour AWS, Azure et GCP simplifient l'accès et la surveillance des données.
- Normalisation Automatisée des Données : L’intégration simplifiée des données assure une détection rapide et précise à travers toutes les sources.
- Gestion Efficace des Données : Des capacités améliorées simplifient la surveillance et la gestion de l'état et de la santé de l'ingestion des données.
- Amélioration de l’Expérience Analyste avec la Gestion des Incidents :
- Enrichissement Automatisé : Des informations contextuelles sont ajoutées automatiquement aux incidents, accélérant les investigations.
- Outils de Collaboration : Des vues et notifications améliorées facilitent les réponses coordonnées parmi les analystes.
- Intégration de l’Intelligence de Menace : Les analystes peuvent intégrer des renseignements sur des menaces personnalisés dans les recherches en toute transparence.
Les innovations de CrowdStrike positionnent le Falcon Next-Gen SIEM comme une solution cruciale pour améliorer l'efficacité et la réactivité des SOC dans un paysage de cybersécurité en constante évolution.
Classement
